Sehr geehrte Apothekerin, sehr geehrter Apotheker,
hier ist der vollständige Text für Sie:

ApoSecur® Presse:

Quishing erreicht den Postweg und täuscht betriebliche Routine, Schutzlücken entstehen an der Schwelle zwischen analoger Fälschung und digitalem Zugriff, Versicherer fordern Reaktion auf neuer Risikobasis

Täuschung per QR-Brief unterläuft Standardschutz, Apotheken geraten ins Zielnetz, kombinierte Versicherungen sichern Handlungsfähigkeit

28. Juni 2025

Eine neue Angriffswelle bedroht Apotheken in ganz Deutschland – nicht per Mail oder Telefon, sondern per Briefpost: Gefälschte Schreiben im Namen der Apobank enthalten QR-Codes, die zur Eingabe sensibler Kontodaten verleiten. Die Täuschung ist hochprofessionell – vom Layout über den Sprachstil bis zur Webadresse. Wer hier scannt, riskiert digitale Kontozugriffe, Zahlungsumleitungen und wirtschaftliche Verluste im fünf- bis sechsstelligen Bereich. Besonders gefährlich: Die klassischen Schutzsysteme – von Firewalls bis zu Spamfiltern – greifen bei dieser analog initiierten Betrugsform nicht. Versicherer mahnen daher zur Überprüfung bestehender Policen: Nur kombinierte Cyber- und Vertrauensschadenversicherungen bieten in solchen Fällen vollständige Absicherung. Apotheken sind aufgerufen, ihre internen Freigabeprozesse, Schulungsmaßnahmen und vertraglichen Deckungen umgehend zu überprüfen. Denn im Fall der Täuschung zählt jede Minute – nicht nur zur Schadensbegrenzung, sondern auch für den Erhalt des Versicherungsschutzes. KBV, Apobank und BSI warnen eindringlich.

In deutschen Apotheken verdichten sich aktuell die Hinweise auf eine neue, systematisch ausgeführte Betrugsmasche: Mit offiziell anmutenden Briefen, die QR-Codes zur angeblich sicheren Verifizierung von Bankdaten enthalten, versuchen Kriminelle, sich Zugriff auf Apothekenkonten zu verschaffen. Die Kassenärztliche Bundesvereinigung (KBV) hat in dieser Woche ihre Warnung an alle ärztlichen Einrichtungen ausgeweitet – Apotheken sind konkret betroffen. Die Täter nutzen gezielt das Erscheinungsbild und die Sprache der Deutschen Apotheker- und Ärztebank (Apobank), um Vertrauen zu erzeugen, Handlungssicherheit zu suggerieren – und letztlich Zugangsdaten, TANs oder sogar Überweisungsautorisierungen zu erschleichen.

Im Zentrum der Täuschung steht der Eindruck offizieller Kommunikation: Auf Apothekenpapier zugeschnittene Adressierung, korrekte Bankdaten, sachlich-neutrale Tonalität. In einem exemplarischen Fall, der am 25. Juni 2025 dokumentiert wurde, heißt es: „Wir freuen uns, Ihnen mitteilen zu dürfen, dass unser E-Banking-Verfahren aktualisiert wurde…“ Der beiliegende QR-Code führt allerdings nicht zur bekannten Webadresse www.apobank.de, sondern zu einer imitierenden Seite mit identischem Design, jedoch manipuliertem Domainnamen. Diese neue Welle sogenannter Quishing-Attacken setzt damit dort an, wo Schutzinstanzen klassischer Cyberabwehr nicht mehr greifen – im analogen Alltag, im Vertrauensreflex, in der Briefpost.

„Wir beobachten eine zunehmende Verschmelzung von analoger Fälschung und digitalem Betrug“, sagt eine Sprecherin der Apobank. „Die Täter umgehen Firewalls nicht – sie ignorieren sie vollständig, indem sie den Menschen in seiner gewohnten Arbeitsweise angreifen.“ Besonders betroffen seien Apothekenbetriebe, die zwar technisch gut ausgestattet sind, aber selten über strukturierte Schutzkonzepte für physische Kommunikationskanäle verfügen. QR-Codes in Briefen, so betont die Apobank, werden grundsätzlich nicht für sicherheitsrelevante Verifizierungen verwendet. Die Bank erhebt Zugangsdaten ausschließlich über ihre offizielle Webseite oder App – niemals per Post, Telefon oder E-Mail.

Hinzu kommt: Die Folgen einer erfolgreichen Attacke gehen weit über den unmittelbaren Geldabfluss hinaus. Apotheken, die durch Täuschung Zahlungsfreigaben erteilen oder TANs auf falsche Seiten eingeben, gefährden nicht nur ihr Liquiditätsmanagement, sondern auch ihre Lieferketten, Patientenversorgung und Bonität. Ein gesperrtes Konto kann binnen Stunden dazu führen, dass notwendige Arzneimittel nicht bestellt, Rezeptabrechnungen nicht verarbeitet oder Gehaltszahlungen blockiert werden. Im Ernstfall drohen sogar Rückforderungen durch Krankenkassen, wenn Retaxationen nicht fristgerecht abgerechnet werden können.

Auch die juristische Dimension ist komplexer geworden. Der Schutz über klassische Cyberversicherungen ist in solchen Fällen häufig nicht gegeben – denn diese decken primär IT-basierte Angriffe, Malware-Infektionen oder gezielte Netzwerksabotage. In Quishing-Fällen hingegen ist keine Systemmanipulation nachweisbar, sondern eine Täuschung über Kommunikationsdesign und Nutzerinteraktion. „Solche Szenarien sind nur durch eine kombinierte Police mit Social-Engineering-Komponente abgedeckt“, erklärt ein Versicherungsmakler, der auf Apothekenrisiken spezialisiert ist. Gemeint sind Vertrauensschadenversicherungen, die auch Täuschungshandlungen Dritter als Schadensursache einschließen – unabhängig davon, ob ein technisches Einwirken vorliegt oder nicht.

Dabei ist eine rein formale Police allein nicht ausreichend. Entscheidend ist der Inhalt der Versicherungsbedingungen: Viele Verträge setzen für die Regulierung enge Fristen, spezifische Meldepflichten und einen klaren dokumentierten Ablauf im Schadensfall voraus. Apothekeninhaber, die eine verdächtige Eingabe nicht sofort melden oder den Kommunikationsweg über die im Vertrag genannten Notfallnummern unterlassen, verlieren schlimmstenfalls ihren Leistungsanspruch. „Die Versicherung schützt nicht nur vor Schäden – sie stellt auch Anforderungen“, betont ein Experte für betriebliche Resilienz. „Und diese Anforderungen müssen Apotheken kennen, um handlungsfähig zu bleiben.“

In der Praxis empfiehlt es sich, die Schutzstrategie in drei Ebenen aufzubauen: Erstens, technische Absicherung – etwa durch Whitelisting bekannter Domains, Zwei-Faktor-Authentifizierung und zentrale TAN-Freigabeverfahren. Zweitens, organisatorische Klarheit – wer darf Zahlungen freigeben, wie wird dokumentiert, wann wird interveniert. Drittens, versicherungstechnische Deckung – idealerweise in modularer Kombination aus Cyber- und Vertrauensschadenversicherung, ergänzt durch Beratungsklauseln, Rechtsschutzmodule und Wiederherstellungskosten.

Eine aktuelle Marktanalyse zeigt: Zwar bieten mittlerweile mehrere Versicherer branchenspezifische Policen für Apotheken an – doch nur wenige beinhalten die gezielte Absicherung gegen hybride Täuschungsmethoden. Von 24 untersuchten Verträgen deckten lediglich neun Quishing-Vorfälle vollständig ab. In fünf Fällen war eine ausdrückliche Zusatzvereinbarung nötig, in zehn Fällen bestand keine Deckung. Apotheken sind daher gut beraten, ihre bestehenden Verträge überprüfen zu lassen – idealerweise durch spezialisierten Versicherungsmakler mit Gesundheitsbranchenfokus.

Parallel müssen auch Mitarbeitende geschult werden. Laut KBV und BSI ist die Sensibilität für „institutionell wirkende Fälschungen“ noch immer gering. Besonders gefährlich sei das Vertrauen in „gedruckte Seriosität“ – ein Brief mit Briefkopf, Unterschrift und korrektem Sprachstil suggeriere Echtheit und Dringlichkeit, selbst wenn Inhalt oder Absender zweifelhaft seien. Das Motto lautet daher: kein Scan ohne Prüfung, kein Klick ohne Quelle, kein Zugriff ohne Rückversicherung.

Die Apobank verweist in diesem Zusammenhang nochmals ausdrücklich auf ihre offizielle Betrugshotline: 0211 59794-7777. Kunden, die QR-Briefe oder verdächtige Aufforderungen erhalten, sollen unmittelbar dort nachfragen. Zudem stehen Hinweise auf der Website bereit, ebenso wie aktualisierte Sicherheitsleitfäden. Auch das Bundesamt für Sicherheit in der Informationstechnik bietet Apotheken praxisnahe Informationsmaterialien, Schulungspakete und Reaktionspläne – abgestimmt auf Heilberufe und kleinere medizinische Einrichtungen.

Fazit: Die Bedrohungslage für Apotheken ist real – und sie wird sich weiter professionalisieren. Täter agieren nicht mehr isoliert, sondern im Verbund. Die Briefe werden in Agenturqualität designt, Domains systematisch abgesichert, Anrufe folgen meist wenige Tage später – mit dem Ziel, letzte Zweifel auszuräumen. Wer in dieser neuen Realität bestehen will, muss QR-Briefe als das erkennen, was sie in diesen Fällen sind: Eintrittspunkte in hochriskante Täuschungsketten. Nur wer technisch wachsam, organisatorisch geordnet und versicherungstechnisch lückenlos abgesichert ist, bewahrt Handlungsfähigkeit und wirtschaftliche Stabilität.

Redaktionelle Einordnung

Von Roberta Günder, Geschäftsführerin
Von Matthias Engler, Fachjournalist

Für weitere Informationen:

Seyfettin Günder
Firmenkunden

0721. 95789774
sg@aposecur.de

Pressekontakt:

Roberta Günder
Telefon 0721. 16106610
E-Mail info@aposecur.de

Über ApoSecur

Die PrivateRisk GmbH ist ein Versicherungsmakler und seit vielen Jahren Spezialist für Risiken der Apothekerinnen und Apothekern. Das Maklerunternehmen ist in der Apothekenbranche erfahren und unabhängig. Das Direktkonzept über die Internetportale aposecur.de und pharmsecur.de spart unseren Kunden viel Geld. Diese Ersparnis kommt dem hohen Wert und dem fairen Preis der Policen zugute.

PrivateRisk GmbH
Scheffelplatz | Schirmerstr. 4
76133 Karlsruhe

E-Mail: info@aposecur.de
Internet: www.aposecur.de

Telefon +49 (0) 721. 16 10 66-0
Telefax +49 (0) 721. 16 10 66-20 

Zurück zur Übersicht