Sehr geehrte Apothekerin, sehr geehrter Apotheker,
hier ist der vollständige Text für Sie:

MySecur® Presse:

Wie Apotheken durch gefälschte Apobank-Schreiben ins Visier geraten, betriebliche Sicherheitslücken sichtbar werden und nur moderne Policen Schutz vor Täuschung bieten

Täuschung trickst Technik aus, QR-Vertrauen wird zur Falle, Versicherungsschutz bleibt trügerisch

14. Juni 2025

Gefälschte Apobank-Schreiben bringen Apotheken in ganz Deutschland in eine neue Risikozone: Die Angriffe erfolgen nicht über Technik, sondern über betriebliches Vertrauen. Ein geschickt aufbereiteter Brief fordert zur Verifizierung per QR-Code auf – mit dem Hinweis, dass ohne Reaktion sämtliche Bankzugänge deaktiviert würden. Diese Form des analogen Social Engineerings ist darauf ausgelegt, interne Routinen zu unterwandern: QR-Code scannen, Formular ausfüllen, Bankdaten weitergeben. Doch genau dieser Ablauf führt ins Leere, wenn die Prozesse nicht doppelt gesichert sind. Apotheken, die keine 4-Augen-Prinzipien etabliert, keine dokumentierten Rückversicherungsschritte bei Bankforderungen definiert und keine Versicherungsprüfungen auf Täuschungsschäden vorgenommen haben, geraten ungewollt in eine Absicherungsfalle. Die meisten Cyberversicherungen greifen hier nicht – Vertrauensschadenversicherungen nur mit aktualisierter Klausellogik. Wer digitale Sicherheit heute auf Software begrenzt, übersieht das Entscheidende: Verhalten ist angreifbar, wenn es nicht systemisch geschützt wird – durch Führung, Schulung und Struktur.

Ein Brief mit Apobank-Logo, eine Frist zur „Verifizierung“, ein QR-Code: Was wie ein Routinevorgang aussieht, entpuppt sich als präzise geplante Täuschung. Apothekenbetriebe in ganz Deutschland erhalten aktuell gefälschte Schreiben, die unter dem Vorwand der Sicherheit zur Preisgabe sensibler Bankdaten auffordern. Der Clou: Die Schreiben kommen nicht per E-Mail, sondern klassisch per Post – und wirken dadurch besonders glaubwürdig.

Die Täter nutzen systematisch betriebliche Muster. Der Brief ist visuell professionell, sprachlich offiziell und inhaltlich auf Dringlichkeit inszeniert. Der enthaltene QR-Code führt jedoch nicht zur Apobank, sondern auf eine manipulierte Website, die vorgibt, die digitalen Zugänge zu authentifizieren. Damit entsteht kein technischer Angriff, sondern ein psychologischer – über vertraute Abläufe.

Apotheken sind tagtäglich mit Bankdokumenten, Fristen und Online-Zugängen konfrontiert. Das Scannen von QR-Codes gehört zur Routine. Genau hier setzen die Angreifer an. Die klassische IT-Sicherheit greift ins Leere, weil der Angriff nicht in den Code dringt, sondern in die Handlung. Diese Form des Social Engineerings stellt die Sicherheitslogik vieler Betriebe infrage – und entlarvt, wie gefährlich veraltete Versicherungslösungen, fehlende Prozesssicherungen und unklare Zuständigkeiten geworden sind.

Denn die wenigsten Standard-Cyberpolicen decken Täuschungsschäden ab, wenn Mitarbeitende durch eigenes Verhalten den Zugriff ermöglichen – zum Beispiel durch Eingabe vertraulicher Daten auf einer manipulierten Seite. Vertrauensschadenversicherungen greifen nur, wenn sie explizit Social Engineering einbeziehen und sämtliche internen Prüfpflichten nachweislich eingehalten wurden: Rückversicherungsanrufe bei angeblicher Bankpost, 4-Augen-Prinzip bei Bankänderungen, geschulte Teamprozesse.

Juristisch handelt es sich um versuchten Eingehungsbetrug. Doch unabhängig vom Strafrecht bleibt die Verantwortung beim Betrieb. Kommt es zur Weitergabe sensibler Daten oder Überweisungen auf falsche Konten, drohen nicht nur finanzielle Verluste, sondern auch Datenschutzverstöße, Meldepflichten nach DSGVO und operative Unterbrechungen. Selbst ohne tatsächlichen Schaden muss der Vorfall analysiert, dokumentiert und bewertet werden – die Datenschutz-Grundverordnung lässt hier keinen Spielraum.

Apotheken, die glauben, digitale Sicherheit sei allein durch Firewalls oder Softwarelösungen gewährleistet, übersehen die zentrale Schwachstelle: das menschliche Verhalten im betrieblichen Ablauf. Resilienz beginnt nicht mit Technik, sondern mit Verantwortung. Es braucht klar definierte interne Prozesse für den Umgang mit bankbezogener Kommunikation, verbindliche Freigabeschritte für jede Verifizierungsaufforderung und eine durchgängige Führungslinie, die Sicherheit als Führungsaufgabe begreift – nicht als technische Zusatzleistung.

Redaktionelle Einordnung

Diese Pressemitteilung richtet sich an Apothekerinnen und Apotheker, Berufsverbände, Versicherungsberater, Redaktionen und Fachdienste mit Fokus auf Gesundheitsversorgung, Betriebsführung und IT-Risiken. Die Auswertung basiert auf einem dokumentierten Fallmuster aus dem Apothekenbereich, dient der journalistischen Einordnung eines realen Täuschungsversuchs und benennt systemisch relevante Schwächen in Versicherungsschutz, Verhaltenstraining und Führungsstruktur. Eine redaktionelle Bearbeitung, Dokumentation oder Weiterverbreitung ist ausdrücklich vorgesehen.

Von Matthias Engler, Fachjournalist

Für weitere Informationen:

Seyfettin Günder
Firmenkunden

0721. 95789774
sg@mysecur.de

Pressekontakt:

Roberta Günder
Telefon 0721. 16106610
E-Mail info@mysecur.de

Über MySecur

Die PrivateRisk GmbH ist ein Versicherungsmakler und seit vielen Jahren Spezialist für Risiken des Mittelstandes. Das Maklerunternehmen ist in den Nischenberufe erfahren und unabhängig. Das Direktkonzept über das Internetportal mysecur.de spart unseren Kunden viel Geld. Diese Ersparnis kommt dem hohen Wert und dem fairen Preis der Policen zugute.

PrivateRisk GmbH
Scheffelplatz | Schirmerstr. 4
76133 Karlsruhe

E-Mail: info@mysecur.de
Internet: www.mysecur.de

Telefon +49 (0) 721. 16 10 66-0
Telefax +49 (0) 721. 16 10 66-20 

Zurück zur Übersicht