Für Sie gelesen

Sehr geehrte Apothekerin, sehr geehrter Apotheker,
hier ist der vollständige Text für Sie:

MySecur® Nachrichten - APOTHEKE:

APOTHEKE | Medienspiegel & Presse |

Apothekenprozesse und Zahlungswege, Social-Engineering und E-Mail-Betrug, Nachweis und Haftungssicherheit

Der Bericht ordnet stille Angriffe auf Zahlungswege, die Logik manipulierter Anweisungen und die Bedeutung belastbarer Prüfspuren für Erstattbarkeit und Haftung nüchtern ein.

Stand: Donnerstag, 06. November 2025, um 19:05 Uhr

Apotheken-News: Bericht von heute

E-Mail-Betrug fällt selten durch technische Alarme auf, sondern durch Tempo in vertrauten Abläufen: eine Antwort in einem echten Faden, eine plausibel begründete Kontenumstellung, eine „heute noch“ formulierte Dringlichkeit kurz vor Feierabend. Für Apotheken liegt das Risiko daher weniger in Firewalls, sondern in der Ordnung der Schritte. Entscheidend ist, ob Bankdatenänderungen unabhängig bestätigt, Freigaben gestaffelt und Stellvertretungen mit denselben Prüfpflichten ausgestattet sind. Daten zeigen, dass ein Großteil der Unternehmen Cybervorfälle nicht über Verschlüsselungsschäden, sondern über umgebogene Zahlungsströme spürt; Schätzwerte zur gesamtwirtschaftlichen Schadenshöhe bewegten sich 2025 im dreistelligen Milliardenbereich, während operative Einzelfälle oft unsichtbar bleiben. Dieser Bericht fasst drei Linien: Prozessmuster der Angriffe, die in realen Threads beginnen; Nachweise, die Erstattbarkeit und Regress stützen; Resilienz aus einfachen Standards, die Cut-off-Zeiten der Banken nutzbar halten.

Der tägliche Zahlungsverkehr von Apotheken bündelt Bestellungen beim Großhandel, Direktverträge mit Herstellern, Serviceentgelte externer Anbieter und Gehaltsläufe. Genau in diese Routine zielen Social-Engineering-Angriffe, die sich nicht als Fremdkörper ankündigen, sondern sich in echte E-Mail-Stränge einklinken. Die Täter nutzen wiederkehrende Muster: identischer Betreff, bekannte Signatur, authentische Grußformeln, aber ein minimal veränderter Absender oder ein neu erstellter Anhang mit geänderter Bankverbindung. In Phasen erhöhter Taktung – Monatsabschlüsse, Urlaubszeiten, Inventurfenster – steigt die Wahrscheinlichkeit, dass ein „bitte heute noch“ Entscheidungen beschleunigt. Die Erfahrung zeigt, dass nicht die Komplexität der Technik, sondern die Verlässlichkeit einfacher Schritte schützt: unabhängiger Rückruf über hinterlegte Stammdaten, dokumentierte Vier-Augen-Freigaben und klare Zuständigkeiten, die auch bei Abwesenheit greifen.

Auffällig ist, wie stark die Manipulation über echte Kommunikationsspuren wirkt. Beim sogenannten Thread-Hijacking laufen Antworten in bestehenden Konversationen ein, die ursprünglich legitime Rechnungen, Terminabsprachen oder Lieferungen betrafen. Der Unterschied liegt in Details, etwa einer leicht abweichenden Top-Level-Domain oder einer angeblich umstrukturierten Treasury-Abteilung. In Apothekenverbünden verschärfen sich diese Effekte, wenn Einkauf, Buchhaltung und Freigabe in Personalunion organisiert sind. Ohne hart hinterlegte Schwellenwerte löst ein glaubhaftes Schreiben eine Einzelentscheidung aus, die den Freigabeplan faktisch ersetzt. Operative Kennzahlen wie Zeit bis zum Rückruf, Fehlerquote bei IBAN-Prüfungen oder Anteil der freigegebenen Änderungen ohne zweite Bestätigung werden in der Praxis selten gemessen, obwohl sie die Widerstandskraft eines Betriebs besser beschreiben als aggregierte IT-Metriken.

Rechtlich entscheidet die Ordnung der Schritte über Rückabwicklung und Haftung. Zahlungsdienstleister arbeiten mit engen Zeitachsen; in vielen Fällen muss eine Sperre noch am Buchungstag begründet und angestoßen werden. Je lückenloser die Dokumentation der Stammdatenänderung, desto höher die Chance, Gelder zu stoppen oder Regressansprüche zu stützen. Maßgeblich ist, ob Zuständigkeiten definiert, Vertretungen funktionsfähig und Prüfungen unabhängig waren. Bei Personalzahlungen gelten erhöhte Anforderungen; Änderungen sensibler Angaben benötigen eine Bestätigung außerhalb des primären Kommunikationskanals, damit der Abgleich nicht im kompromittierten Strang stattfindet. Datenschutzrechtlich rücken Weiterleitungsregeln, Postfach-Automatisierungen und Fernzugriffe in den Blick, weil sie die Wahrscheinlichkeit von Abfluss und Fremdsteuerung beeinflussen. Aus Compliance-Sicht schützt nicht der längste Katalog, sondern der nachweisbare Vollzug einfacher Regeln.

Versicherungstechnisch unterscheiden Bedingungen zwischen Täuschung eines Mitarbeiters, Computer-Missbrauch und Vertrauensschaden. Für den Social-Engineering-Baustein verlangen viele Anbieter Mindeststandards. Dazu zählen protokollierte Vier-Augen-Freigaben, eine obligatorische Rückrufpflicht bei Kontowechseln, Schulungen und Betragslimits, die zusätzliche Prüfungen auslösen. Fehlen diese Elemente, drohen Kürzungen mit Verweis auf Obliegenheiten. Praktisch relevant sind auch Fristen: In etlichen Policen ist eine sehr frühe Erstmeldung vorgesehen, verbunden mit dem Auftrag, umgehend eine Kontosperre zu versuchen. Ergänzende Module für forensische Analyse und Kommunikationsunterstützung können die Aufarbeitung erleichtern, ersetzen aber nicht den vorrangigen Versuch, Wertflüsse innerhalb des Banktages aufzuhalten. Die Wirksamkeit einer Police zeigt sich am Ende an der Passfähigkeit zwischen vertraglich geforderter Organisation und gelebter Praxis.

Operativ ist der gehärtete Lieferantenstamm der größte Einzeleffekt. Hinterlegte Bankverbindungen sind schreibgeschützt und werden nur über ein Verfahren geändert, das eine unabhängige Bestätigung zwingend vorsieht. Die für Rückrufe genutzten Nummern stammen nicht aus E-Mail-Signaturen, sondern aus einem separat gepflegten Verzeichnis. Jede Änderung wird mit Zeitpunkt, handelnden Personen und Begründung protokolliert. Zahlungsfreigaben folgen einem Staffelplan: Betrags- und Ereignis-Schwellen – insbesondere jede Kontenänderung – verlangen zusätzliche Prüfschritte. Postfach-Hygiene umfasst Mehrfaktor-Anmeldung, regelmäßige Audits von Weiterleitungs- und Regel-Setups sowie das Verbot externer Auto-Forwards, weil sie die verdeckte Steuerung von Konversationen erleichtern. Gerade in Phasen hoher Belastung zeigt ein wiederholbarer Standard seinen Wert, da er Entscheidungsgeschwindigkeit ohne Verlust an Sorgfalt ermöglicht.

Die Kommunikation nach innen vermeidet Schuldzuweisung und arbeitet mit wiedererkennbaren Mustern. Mitarbeitende werden auf charakteristische Signale sensibilisiert: untypische Dringlichkeit, abweichende Dateitypen, unerwartete IBAN-Wechsel, kleine Domain-Varianten. Wichtig ist das Prinzip des zweiten Mediums: Eine Anweisung, die über E-Mail erfolgt, wird telefonisch bestätigt – und umgekehrt. Nach außen empfiehlt sich ein knapper Hinweis an wesentliche Lieferanten, dass Bankdatenänderungen nur nach schriftlicher Vorankündigung und unabhängiger Bestätigung wirksam werden. Banken erhalten feste Kontaktpunkte, damit Eskalationen nicht in allgemeinen Hotlines hängenbleiben. Werden Hinweise auf Datenabfluss sichtbar, folgt eine strukturierte Folgenabschätzung mit Blick auf Betroffene; Transparenz und Rücksprachen mit Partnern schaffen Vertrauen und reduzieren Reibungsverluste in der Aufarbeitung.

Die Erfahrung aus Einzelfällen zeigt, dass Übungsläufe die Robustheit eines Systems spürbar erhöhen. Simulationen eines konturgeänderten Rechnungsfalles bilden den gesamten Ablauf ab: Erkennen der Auffälligkeit, Auslösen des Rückrufpfads, Dokumentation der Bestätigung, Entscheidung über Freigabe oder Sperre, Information der Beteiligten und gegebenenfalls Kontakt mit der Bank. Messpunkte wie Zeit bis zur unabhängigen Bestätigung oder Qualität der Notiz im Änderungsprotokoll schaffen Vergleichbarkeit über Zeiträume und Teams. Auswertungen dieser Läufe führen oft zu kleinen, aber wirksamen Anpassungen, etwa fixen Uhrzeiten für Sammelrückrufe, Standardformulierungen für Bestätigungen oder klaren Regeln, wie mit verspäteten Antworten umgegangen wird. So wächst Resilienz an Stellen, die im Tagesgeschäft kaum sichtbar sind.

Ein zusätzlicher Blick gilt der Verzahnung mit externen Dienstleistern. Digitale Buchhaltungs-, HR- oder Einkaufsplattformen bilden Teile des Zahlungswegs ab und bringen eigene Freigabelogiken mit. Entscheidend ist, dass interne Standards nicht durch voreingestellte Workflows unterlaufen werden. Das betrifft insbesondere die Frage, ob eine Plattform Kontenänderungen ohne zweite Person zulässt, wie Berechtigungen verwaltet werden und ob Änderungen revisionssicher exportiert werden können. Auch hier zählt der Abgleich zwischen Vertrag, Technik und täglicher Praxis. Werden diese Linien zusammengeführt, entsteht eine geschlossene Kette aus Identifikation, Bestätigung, Freigabe und Dokumentation, die auch unter Belastung trägt.

Sicherheit im Zahlungsverkehr entsteht nicht aus seltenen Großmaßnahmen, sondern aus wiederholbaren, kleinen Schritten, die jeden Tag gleich bleiben. Eine geänderte Kontonummer bleibt eine geänderte Kontonummer, unabhängig davon, ob der Kalender Monatsende zeigt oder eine Rückkehr aus dem Urlaub ansteht. Wo Rollen klar getrennt, Vertretungen funktionsfähig und Rückrufe über verlässliche Stammdaten verankert sind, verlieren Täuschungen ihren Zeitvorteil. Aus der Ruhe regelmäßiger Prüfung erwächst die Fähigkeit, die engen Taktungen des Bankgeschäfts für sich zu nutzen. Je einfacher der Standard, desto stabiler die Ausführung; je sauberer die Dokumentation, desto stärker die Position gegenüber Bank, Versicherer und Partnern. So wird aus nüchternen Regeln eine verlässliche Praxis, die Fehler verzeiht und dennoch Konsequenz wahrt.

Dies ist kein Schluss, der gelesen werden will – sondern eine Wirkung, die bleibt. Wirkung bleibt, wenn ein Rückrufpfad nicht diskutiert werden muss, wenn Stellvertretungen identische Prüfpflichten tragen, wenn Freigaben den gleichen Maßstab behalten, auch wenn der Tag drängt. Was nachweisbar ist, schützt: wer eine Änderung veranlasst hat, wer sie unabhängig bestätigt hat, auf welchem Kanal und aus welchem Grund. Resilienz zeigt sich in der stillen Korrektur einer fehlerhaften Zahlung noch am selben Banktag und in der Gelassenheit, mit der Teams Ausnahmen nicht über Regeln stellen. Wenn Prüfspuren tragen, gewinnen Apotheken Zeit, Geld und Vertrauen zurück.

Journalistischer Kurzhinweis: Reine Redaktionsproduktion auf Basis festgelegter Prüfschritte; weder Beratung noch Vertrieb waren an Themenwahl, Textfassung oder Tonalität beteiligt.

Tagesthemenüberblick: https://mysecur.de/aktuell

Zurück zur Übersicht