Falsche Rechnung: „Haben 13.000 Euro verloren“

Eine Bestellung beim Pharmakonzern Merck ist der Elisabethen-Apotheke in Leutkirch im Allgäu zum Verhängnis geworden. Denn die Rechnung wurde von Cyberkriminellen gefälscht. „Es war wirklich kaum zu sehen. Da es unsere erste Bestellung bei Merck war, hatten wir auch keine Vergleichsmöglichkeit“, erklärt Inhaberin Stephanie Harlacher. „Jetzt sind leider erst mal 13.000 Euro futsch“, beklagt sie.

Ware kam, Patient versorgt

Schon Mitte Dezember habe sie die Rechnung bezahlt: „Bestellt hatten wir den Hochpreiser Mavenclad mit dem Wirkstoff Cladribin.“ Die Ware sei auch pünktlich eingetroffen und der Patient versorgt worden, erklärt die Inhaberin. „Erst als ich wieder bei Merck bestellen wollte, hieß es, die Ware könne erst verschickt werden, wenn ich die alte Rechnung beglichen hätte.“ So sei ihr aufgefallen, dass etwas nicht stimmt.

Im nachfolgenden Datenabgleich habe sie dann gesehen, dass die gefälschte Rechnung sich nur in der IBAN von der echten unterschied. „Selbst die Mailadresse stimmte exakt überein“, ärgert sich die Apothekerin. Es sei unmöglich gewesen, dies zu erkennen. „Auch der Zeitpunkt war denkbar ungünstig mitten im Weihnachts- und Feiertagsgeschäft.“

Ungewiss, ob Versicherung greift

In der ohnehin schon angespannten Lage der Apotheken sei dies „furchtbar ärgerlich“, so Harlacher. Jetzt könne man nur hoffen, dass „Merck sich kulant verhält“. Die Apothekerin ist sich auch nicht sicher, ob ihre Cyber-Versicherung zahlt. Sie wisse noch nichts Genaues. Die Warnung auf der Homepage des Herstellers sei nicht ausreichend gewesen, stellt sie klar. „Ich fand diese sehr dürftig.“

Hinzu komme, dass die Einkäufe nicht nur durch eine Person erfolgten. „Meistens bestellt eine Person und wieder jemand anderes bezahlt die Rechnung“, sagt sie. So sei es schwer gewesen, die Rechnung als Fälschung zu erkennen.

Im Nachhinein sei deutlich geworden, dass die Rechnung vor dem Eintreffen in der Apotheke abgefangen wurde. „Merck verschickte wohl die echte Rechnung morgens um 7 Uhr, aber diese traf nie bei mir ein“, erklärt Harlacher. „Nachmittags kam dann die Fälschung bei mir an.“

Fälschungen bekannt

Apotheken erhielten zuletzt vermehrt Rechnungen per E-Mail, die angeblich von Merck stammen. „Wir nehmen dieses Thema sehr ernst“, erklärte ein Konzernsprecher dazu im vergangenen Jahr. Es habe „vereinzelte“ Fälle gegeben, bei denen Rechnungen, die man ordnungsgemäß ausgestellt habe, auf dem Übermittlungsweg manipuliert worden seien. „Nach unseren Erkenntnissen handelt es sich hierbei um gezielte Cyberangriffe auf die IT-Systeme der Rechnungsempfänger, in diesem Fall Apotheken.“

Auf der Startseite des Webshops, über den Apotheken unmittelbar die Produkte beziehen, habe man gut sichtbar einen Warnhinweis platziert. „Dieser weist auf die Wichtigkeit der Überprüfung von Bankverbindungen auf unseren Rechnungen hin“, so der Sprecher.

Vorfälle noch selten

Zum Versicherungsschutz der Apotheken sagt Versicherungsexperte Michael Jeinsen: „Die gute Nachricht zuerst: Bisher kam es eher selten vor, dass Apotheken gezielt aus dem Internet angegriffen werden – und das dürfte auch so bleiben.“ Das bedeute aber nicht, dass Inhaberinnen und Inhaber die Internetkriminalität auf die leichte Schulter nehmen könnten. „Ganz im Gegenteil: Gesundheitsdaten stehen bei Kriminellen hoch in Kurs“, weiß Jeinsen.

„IT-Dienstleister geraten immer öfter ins Visier und damit unmittelbar auch deren Kunden, wie etwa Apotheken“, betont der Experte. „Aktuell haben KI-gestützte Mails, die denen echter Dienstleister wie Botendiensten, Banken, Online-Händlern, Bezahldienste und neuerdings auch Pharmaunternehmen täuschend ähneln, epidemieartig zugenommen“, weiß Jeinsen.

„Cyber-Risiken nehmen zu“

Gefahr drohe im Schadenfall aber noch von einer anderen bekannten Seite: „Opfer von Cyber-Angriffen müssen aufwendigen Informationspflichten entsprechend der Europäischen Datenschutz-Grundverordnung (EU-DSGVO) nachkommen, sonst drohen hohe Bußgelder“, erklärt der Experte. „Deshalb sollten Apotheken über eine Cyber-Police verfügen, die auch dabei hilft, Meldepflichten zu erfüllen“, rät er. Denn Cyber-Risiken seien in den letzten Jahren dynamisch gewachsen.

Was Inhaber aber unbedingt kennen sollten, sei die Funktion einer Cyber-Police. „Die allermeisten denken, sie kaufen nur eine weitere Police, diesmal gegen Cybergefahren. Aber das ist einfach nur komplett falsch – denn Cyber-Policen leisten viel mehr, als irgendwas in irgendeiner Höhe gegen Cybergefahren zu versichern.“

Heißt laut Jeinsen konkret: „Cyber-Policen ergänzen alle bestehenden Versicherungspolicen um das neue Risiko aus dem Cyber-Raum. Sie fügen also allen Policen einen bisher nicht versicherten Tatbestand hinzu.“ In absolut allen Inhalts-/Werte/Haftpflicht-/BU-/Elektronik-/Transport/Kühlgut und Rechtsschutz-Deckungen sei dieser Schutz nicht enthalten: „Einfach deshalb, weil dieses Risiko zum Zeitpunkt der Zulassung des Tarifes noch überhauptnicht relevant und in seiner heutigen Ausprägung nicht existent war.“

Was die Cyber-Versicherung leistet

Ein für Apotheken geeigneter Cyber-Schutz muss laut Jeinsen den Schutz von Betriebshaftpflichtversicherungen, Inhaltsversicherungen (oder technischen Versicherungen) und Rechtsschutzversicherungen erweitern. Darüber hinaus sollten unbedingt diese vier weiteren apothekenspezifischen Komponenten beinhaltet sein:

• eine Revision der IT-Sicherheit in der Apotheke
• eine Erhebung des Sachstandes im Datenschutz- und QM-Bereich
• eine hinreichende Absicherung des Restrisikos bei Datenschutzverletzungen
• zwingend der sofortige Zugriff auf alle notwendigen externen Dienstleister (zum Beispiel IT-Forensik, Fachanwälte für juristisch sichere Pflichtmeldungen)