HAFTE ICH, WENN ICH IN DER APOTHEKE EINE PHISHING-MAIL ÖFFNE?

Phishing-Mails sind längst zu einem Problem der IT-Sicherheit in Apotheken geworden: Täuschend echt gestaltete Nachrichten von vermeintlich seriösen Absendern locken mit Links oder Anhängen, hinter denen Schadsoftware oder Datenklau lauern. Besonders gefährlich wird es, wenn Angriffe gezielt auf Apotheken zugeschnitten sind. Ein einziger Klick kann reichen, um IT-Systeme lahmzulegen, sensible Patientendaten preiszugeben und gravierende Schäden zu verursachen.

Der Begriff „Phishing“ leitet sich vom englischen „fishing“ ab – sinnbildlich für das „Angeln“ nach Informationen, wobei Cyber-Kriminelle betrügerische Köder auslegen.

Phishing ist eine der größten Gefahren der Cyberkriminalität. Verbrecher schicken Phishing-Mails oder eine SMS mit Phishing-Link an Apotheken. Sie geben sich als bekannte Kontakte, Banken oder Online-Shops aus und versuchen so, an sensible Daten zu gelangen. Oft erzeugen sie künstlichen Druck, damit Betroffene in der Eile vertrauliche Informationen preisgeben.

Die Folge: Fremdzugriff auf Konten, E-Mails oder ganze IT-Systeme.

Cyber-Angriffe dieser Art treten immer häufiger auf – davor warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI). Eine der wichtigsten Strategien:

Phishing-Mails sind eine Betrugsmethode, bei der Cyberkriminelle gefälschte, seriös aussehende E-Mails beispielsweise an Apotheken versenden. Ziel des E-Mail-Phishings ist, Empfangende dazu zu bringen, auf Links zu klicken oder Anhänge zu öffnen, um so Passwörter, Kontodaten oder andere sensible Informationen abzugreifen. Häufig wird in den Nachrichten Druck aufgebaut – etwa mit angeblichen Sicherheitswarnungen oder Zahlungsaufforderungen – um schnelles, unüberlegtes Handeln zu provozieren.

Spear-Phishing ist eine gezielte Form des Phishings, bei der die Angreifenden ihre Opfer individuell auswählen und Phishing-Mails speziell auf sie zuschneiden, etwa auf die Apotheke. Dafür nutzen sie persönliche Informationen – etwa Namen, Positionen oder berufliche Kontakte – um die E-Mails besonders glaubwürdig wirken zu lassen. Ziel ist es, Vertrauen zu erwecken und so Zugang zu sensiblen Daten oder internen Systemen zu erlangen.

Whaling ist eine spezielle Form des Spear-Phishings, bei der gezielt Führungskräfte, beispielsweise die Apotheken- oder die Filialleitung, angegriffen werden – also die „großen Fische“ (die „Wale“, daher der Name). Denkbar sind Phishing-Mails an die Leitung der Apotheke. Ziel ist es, vertrauliche Informationen zu erbeuten, Zahlungen auszulösen oder Zugriff auf sensible Unternehmensbereiche zu erhalten.

Vishing ist eine Form des Phishings, das auch Apotheken betrifft. Betrüger nehmen jedoch nicht per Phishing-Mail, sondern per Telefon Kontakt mit ihren Opfern auf, um an vertrauliche Informationen zu gelangen. Der Name leitet sich von der Kombination der Wörter „Voice“ (Stimme) und „Phishing“ ab.

Smishing ist eine Phishing-Methode, bei der Cyberkriminelle gefälschte SMS oder Messenger-Nachrichten versenden, um persönliche Daten zu stehlen – aber keine Phishing-Mail an die Apotheke schicken. Die Nachrichten enthalten meist einen Link zu einer betrügerischen Website oder fordern zur direkten Antwort auf. Begriff „Smishing“ ist eine Wortkreuzung aus „SMS“ und „Phishing“.

Clone-Phishing ist eine besonders hinterhältige Methode, bei der echte, zuvor versendete E-Mails kopiert (geklont) und leicht manipuliert werden. Solche Phishing-Mails an die Apotheke enthalten etwa Links zu Schadsoftware, wirken im Betreff, Layout und Absender täuschend echt.

Angler-Phishing ist eine Form des Phishings, die über soziale Netzwerke wie Facebook, X (ehemals Twitter) oder Instagram erfolgt. Die Täter geben sich dabei etwa als Kundenservice bekannter Unternehmen aus und reagieren auf öffentliche Nutzeranfragen oder Beschwerden. Mit solchen Phishing-Mails an Apotheken wollen Cyber-Kriminelle sensible Daten erbeuten.

Pharming ist eine besonders heimtückische Variante, bei der Nutzer über Links in Phishing-Mails an Apotheken unbemerkt auf gefälschte Webseiten umgeleitet werden – selbst wenn die Internetadresse korrekt zu sein scheint. Der Begriff setzt sich aus den Wörtern „Phishing“ und „Farming“ (bildlich „Ernten“) zusammen.

Evil-Twin-Phishing ist eine Angriffsmethode, bei der Cyberkriminelle ein gefälschtes WLAN-Netzwerk einrichten, das einem echten öffentlichen Netzwerk täuschend ähnlich ist. Nutzer verbinden sich nichtsahnend mit dem „bösen Zwilling“ („evil twin“) und geben dort Login-Daten oder andere sensible Informationen ein. Diese werden von den Angreifern abgefangen und können für Identitätsdiebstahl oder den Zugriff auf Unternehmenssysteme zweckentfremdet werden.

Um sich wirksam vor Cyber-Kriminalität zu schützen, setzen Apotheken auf eine Kombination aus technischer Absicherung, klaren Prozessen und gezielter Schulung. Technisch kommen unter anderem Spam-Filter, Firewalls, Virenscanner sowie Gateways, die Phishing-Mails erkennen, zum Einsatz. Ebenso wichtig ist die Einführung einer Zwei-Faktor-Authentifizierung, um unbefugte Zugriffe auf Systeme zu verhindern. Zusätzlich werden Mitarbeitende der Apotheke regelmäßig für typische Merkmale von Phishing-Mails, Phishing-Links und Co. sensibilisiert, etwa durch E-Learnings oder Verhaltensrichtlinien.

Die private Nutzung der Apotheken-IT – etwa das Abrufen von E-Mails, Online-Shopping oder Social Media – birgt erhebliche Risiken für Cyber-Angriffe. Solche Aktivitäten erhöhen in Apotheken die Wahrscheinlichkeit, dass Schadsoftware eingeschleust oder Phishing-Mails unbewusst geöffnet werden. Auch der Besuch unseriöser Webseiten oder das Herunterladen privater Dateien kann gefährlich sein.

Da Apotheken mit sensiblen Gesundheitsdaten arbeiten und oft an zentrale Systeme wie Warenwirtschaft oder Telematikinfrastruktur angebunden sind, hat womöglich schon eine einzige Phishing-Mail Konsequenzen. Umso wichtiger ist es, klare Regeln für die IT-Nutzung aufzustellen und konsequent auf private Anwendungen am Arbeitsplatz zu verzichten. In den meisten Arbeitsverträgen ist dies laut Erfahrung von ADEXA ohnehin ausdrücklich verboten.

Wenn Sie versehentlich in der Apotheke eine Phishing-Mail geöffnet oder einen Phishing-Link angeklickt haben, ist schnelles und überlegtes Handeln entscheidend, um schwerwiegende Folgen eines Cyber-Angriffs zu vermeiden.

Hier sind die wichtigsten Schritte:

• Nicht weiterklicken; keine Daten eingeben: Schließen Sie die verdächtige Seite sofort, wenn Sie noch keine Informationen eingegeben haben.
• IT-Verantwortliche informieren: Melden Sie den Vorfall umgehend Ihrem externen IT-Dienstleister oder Ihrem Datenschutzbeauftragten. Nur so kann schnell reagiert werden, etwa durch das Trennen vom Netzwerk oder das Prüfen auf Schadsoftware. Verschweigen Sie den Vorfall nicht!
• Passwörter ändern: Haben Sie Login-Daten eingegeben, ändern Sie die betreffenden Passwörter sofort – insbesondere bei E-Mail-Konten, Apotheken-Software oder Bankzugängen. Nutzen Sie dabei möglichst sichere, neue Passwörter.
• Den Vorfall dokumentieren: Halten Sie fest, wann und wie der Angriff erfolgt ist. Das ist wichtig für interne Schutzmaßnahmen und – bei gravierenden Vorfällen – auch für eventuelle Meldungen an Datenschutzbehörden.

Die Haftung nach einem Phishing-Angriff beziehungsweise Cyber-Angriff hängt stark vom Einzelfall ab – insbesondere davon, wer wie gehandelt hat und ob geltende Sorgfaltspflichten verletzt wurden.

In Apotheken haftet grundsätzlich die Inhaberin oder der Inhaber für den ordnungsgemäßen IT-Betrieb, einschließlich Datenschutz und IT-Sicherheit. Mitarbeitende haften nur eingeschränkt: Bei einfacher Fahrlässigkeit (z. B. versehentliches Klicken auf einen Phishing-Link oder Öffnen einer Phishing-Mail in der Apotheke) greift meist keine oder nur eine anteilige Haftung. Nur bei grober Fahrlässigkeit oder Vorsatz – etwa, wenn trotz klarer Warnhinweise wiederholt gefährliche Mails geöffnet worden sind – kann es zur persönlichen Haftung kommen.

Entscheidend ist immer der Einzelfall – und ob das Fehlverhalten vermeidbar gewesen wäre. Arbeitgeber sind allerdings verpflichtet, vorab für ausreichende IT-Sicherheit und Mitarbeiterschulungen zu sorgen. Fehlt es daran, verringert sich die persönliche Verantwortung der Angestellten entsprechend.

Für Apotheken kann eine Cyber-Versicherung eine gute Wahl sein. Sie deckt je nach Vertrag nicht nur Kosten für IT-Forensik, Systemwiederherstellung und Datenverlust, sondern auch Haftpflichtansprüche bei Datenschutzverstößen.

Anders ist die Situation aus Sicht von ADEXA bei Apothekenangestellten. Sie benötigen in der Regel keine eigene Cyber-Versicherung, da sie im beruflichen Kontext meist über die Betriebshaftpflicht und ggf. die Cyber-Police der Apotheke mitversichert sind. Auch im Fall eines Fehlverhaltens, etwa beim Öffnen einer Phishing-Mail in der Apotheke, haften Mitarbeitende nur bei grober Fahrlässigkeit oder Vorsatz. Für den privaten Bereich können Cyber-Versicherungen hingegen sinnvoll sein, z. B. bei Identitätsdiebstahl oder Online-Betrug – das hat aber nichts mit der beruflichen Tätigkeit in der Apotheke zu tun.

Fazit
Cyber-Angriffe auf Apotheken, etwa durch Phishing-Mails, sind eine reale und wachsende Bedrohung. Ein unbedachter Klick auf einen manipulierten Link kann schnell zu Datenlecks, Systemausfällen oder finanziellen Verlusten führen. Dabei haften Chefin oder Chef für die IT-Sicherheit. Mitarbeitende wiederum haften nur bei grober Fahrlässigkeit oder Vorsatz. Um sich zu schützen, sind klare IT-Richtlinien, regelmäßige Schulungen und technische Sicherheitsvorkehrungen unerlässlich. Kommt es dennoch zum Vorfall, zählt schnelles Handeln: IT-Dienstleister informieren, Passwörter ändern, Systeme prüfen.

Sie haben ein arbeitsrechtliches Anliegen oder Problem?

Dann können Sie Ihre Frage hier einreichen und von erfahrenen Expert*innen beantworten lassen. Schreiben Sie dazu einfach eine Mail an die Redaktion und erläutern Sie in ein paar Sätzen, um was es geht. Ihre Frage wird dann an einen der Expert*innen für Arbeitsrecht weitergeleitet und in einem der folgenden Artikel thematisiert, wenn die Fragestellung von allgemeinem Interesse ist. Eine individuelle Rechtsberatung findet nicht statt.

Hier Ihre Frage einreichen!