Was ist ein Cyber-Vertrauensschaden? Ein Experte erklärt
Ein falscher Klick, ein manipuliertes Konto oder eine Unterschlagung in der Buchhaltung – Cyber-Schäden kommen in der digitalen Welt von außen wie von innen. Oft entsteht der größte finanzielle Schaden durch vertraute Personen im eigenen Unternehmen. Besonders kleine und mittlere Betriebe sind davon betroffen. Versicherungsexperte Ralph Günther, CEO von exali, erklärt, was genau ein Cyber-Vertrauensschaden ist, wie solche Fälle entstehen und wie Sie Ihr Unternehmen effektiv absichern können.
Artikelübersicht:
Was zählt als Vertrauensschaden im Unternehmen?
Wie entstehen Cyber-Vertrauensschäden in der digitalen Welt?
Wie entstehen Vertrauensschäden? 3 Praxisbeispiele
Wer haftet bei einem Cyber-Vertrauensschaden durch Mitarbeitende?
Wie können sich Unternehmen vor Vertrauensschäden schützen?
Wie schützt die Cyber-Versicherung vor Vertrauensschäden durch Mitarbeitende?
Was zählt als Vertrauensschaden im Unternehmen?
Ein Vertrauensschaden liegt vor, wenn eigene Mitarbeiter dem Unternehmen einen finanziellen Schaden zufügen. Früher hatten nur besonders vertrauenswürdige Mitarbeitende Zugriff auf Kassen und Akten – daher die Bezeichnung „Vertrauensschaden“ im Versicherungjargon. Entweder handeln Mitarbeitende bei Vertrauensschäden bewusst (juristisch: vorsätzlich), um sich selbst zu bereichern beziehungsweise das Unternehmen zu schädigen. Oder sie werden von Außenstehenden in betrügerischer Absicht als „Mittel zum Zweck“ benutzt.
Typische Beispiele sind:
- Unterschlagung von Kundenzahlungen oder Firmengeldern
- Manipulation von Rechnungen oder Buchhaltungsdaten
- Weitergabe vertraulicher Daten gegen Bezahlung
- Missbrauch von Zugriffsrechten auf Konten oder Systeme
Wie entstehen Cyber-Vertrauensschäden?
In der heutigen Zeit ist ein digitales System fast immer der Ausgangspunkt eines Vertrauensschadens. Ob IT-Systeme, Online-Banking oder Cloud-Dienste - die Auswahl ist groß und die Vorgehensweisen mittlerweile „erprobt“.
Beispiele aus der Praxis:
- Ein Mitarbeitender verändert im ERP- oder Buchhaltungssystem den Zahlungsempfänger und leitet Beträge auf private Konten um.
- Eine Angestellte gibt über den Firmen-Mailaccount Kundendaten an Dritte weiter.
- Ein Administrator verkauft Zugangsdaten aus internen Systemen an Unbefugte.
- Ein Betrüger gibt sich per E-Mail als CEO aus und erteilt den Auftrag zu einer Überweisung.
Die Cyber-Risiken für Unternehmen sind vielfältig. Mit dem Vormarsch von KI entwickeln sich Betrugsmaschen rasant. Was dabei auf Sie zukommt und wie Sie Ihr Business schützen können, lesen Sie im Artikel KI-Risiken absichern: So schützt eine Cyber-Versicherung Ihr Business.
Wie entstehen Vertrauensschäden? 3 Praxisbeispiele
Die folgenden drei Praxisbeispiele zeigen, wie unterschiedlich und gleichzeitig einfach solche Fälle aussehen können – und wie der Cyber-Vertrauensschaden-Baustein von exali dabei hilft, finanzielle Schäden abzufedern.
Innentäter: Wenn Vertrauen missbraucht wird
Situation:
Eine Buchhaltungsmitarbeiterin manipuliert die Bankverbindung eines Lieferanten im ERP-System und leitet mehrere Zahlungen auf ein eigenes Konto um.
Hintergrund:
Studien zeigen: Über 80% der Unternehmen haben im letzten Jahr mindestens einen Sicherheitsvorfall erlebt, in denen Mitarbeitende bewusst oder unbewusst involviert waren. Viele Fachleute stufen Mitarbeitende daher als extrem kritisches Risiko im Cyber-Umfeld ein. Die wachsende Nutzung von KI dürfte potenziellen Missbrauch noch weiter begünstigen.
Payment Diversion Fraud: Manipulierte Rechnungen und falsche IBANs
Situation:
Kriminelle fangen die E-Mail-Rechnung eines Handwerksbetriebs ab, ändern die IBAN und leiten die Zahlung auf ein fremdes Konto weiter. Die Kundschaft zahlt auf das falsche Konto und die echte Rechnung bleibt offen. Laut Gerichten gilt die Schuld in diesem Fall als nicht getilgt.
Hintergrund:
Auffällig oft fehlt bei solchen Schadenfällen das Vier-Augen-Prinzip – oder es wird außer Kraft gesetzt. Zwar müssen Banken ab Oktober 2025 EU-weit einen IBAN-Namensabgleich anbieten, um genau solche Betrugsfälle zu verhindern. Dies ersetzt jedoch keinen internen Prüfprozess.
Fake-President Fraud und Social Engineering: Täuschung mit Deepfakes
Situation:
Die Finanzabteilung erhält eine vermeintliche Nachricht des Geschäftsführers mit dem Betreff: „Dringend, streng vertraulich – bitte sofort überweisen!“ In neueren Fällen werden sogar Deepfake-Videoanrufe eingesetzt, um Mitarbeitende zu täuschen – mit Schäden in Millionenhöhe.
Hintergrund:
Lauf dem BKA und internationale Sicherheitsberichten sind Social Engineering und Pretexting zentrale Einfallstore. Versicherer melden wachsende Großschäden durch Fake-President- und Payment-Diversion-Angriffe, die durch realistische KI-Clones und gefälschte Stimmen verstärkt werden.
Ralph Günther betont:
Wer haftet bei einem Cyber-Vertrauensschaden durch Mitarbeitende?
Wenn Mitarbeitende das eigene Unternehmen schädigen, stellt sich schnell die Frage nach der Haftung. Grundsätzlich haften Mitarbeitende zwar persönlich für vorsätzlich verursachte Schäden, doch in der Praxis ist die Durchsetzung schwierig. Oft fehlen ausreichende Beweise oder die betroffene Person ist finanziell nicht in der Lage, den Schaden zu ersetzen. Auch viele Standardversicherungen, wie die Betriebshaftpflicht oder Berufshaftpflicht decken interne Betrugsfälle nicht ab, weil sie nur für Schäden gegenüber Dritten greifen.
„Ein klassischer und gefährlicher Denkfehler“, sagt Ralph Günther.
Wie können sich Unternehmen vor Vertrauensschäden schützen?
Neben dem Abschluss einer passenden Versicherung können Unternehmen selbst viel tun, um das Risiko von Vertrauensschäden zu reduzieren. Dazu ist es entscheidend, organisatorische, technische und kulturelle Schutzmaßnahmen zu kombinieren.
1. Klare Abläufe und Kontrolle bei Finanzprozessen
Das Vier-Augen-Prinzip sollte bei allen Zahlungen, Buchungen und sensiblen Freigaben Standard sein. Auch regelmäßige interne oder externe Prüfungen helfen dabei, Manipulationen frühzeitig zu erkennen. Akzeptieren Sie IBAN-Änderungen beispielsweise nie per E-Mail. Testüberweisungen bieten zusätzlichen Schutz. Richten Sie zusätzlich Limits für Sofortüberweisungen ein.
2. Strenges Zugriffsmanagement in IT-Systemen
Nur wer bestimmte Daten oder Systeme wirklich benötigt, sollte Zugriff haben. Nach Rollen definierte Berechtigungen und regelmäßige Überprüfungen senken das Risiko erheblich.
3. Sensibilisierung und Schulung der Mitarbeitenden
Ein gutes Sicherheitsbewusstsein im Team ist essenziell. Schulungen zu Themen wie Compliance, Datenschutz und Cybersicherheit fördern Verantwortungsbewusstsein und Vertrauen. Legen Sie bei außerplanmäßigen Zahlungen verbindliche Rückrufregeln fest.
4. Unternehmenskultur mit offener Kommunikation
Vertrauensschäden gedeihen dort, wo Misstrauen oder Angst herrschen. Offene Kommunikationswege und ein respektvolles Miteinander senken die Hemmschwelle, Unregelmäßigkeiten anzusprechen. Saubere Offboarding-Prozesse (Zugänge entziehen, Datenrückgabe sicherstellen) vermeiden böse Überraschungen zum Ende des Arbeitsverhältnisses.
5. Frühwarnsysteme und interne Meldewege
Ein anonymes Hinweisgebersystem kann dabei helfen, Betrugsversuche schnell aufzudecken, bevor sie größeren Schaden anrichten.
Wie Selbständige und KMU wirksame Maßnahmen für Ihre Cybersicherheit ergreifen können, erläutert Experte Dominik Münsterer im Interview.
Ralph Günther betont:
6. Passende Versicherung für Notfälle
Auch in gut organisierten Unternehmen lässt sich ein Restrisiko nie ganz ausschließen. Wenn trotz aller Vorsorge doch ein Schaden entsteht, schützt eine Cyber-Vertrauensschadenversicherung – wie sie etwa exali anbietet – das Unternehmen zuverlässig vor den finanziellen Folgen.
Wie schützt die Cyber-Versicherung bei Vertrauensschäden durch Mitarbeitende?
Cyber-Vertrauensschäden lassen sich mit dem mit dem speziellen Zusatzbaustein Vertrauensschaden der Cyber-Versicherung von exali absichern. Der Baustein ersetzt unmittelbare Vermögensschäden, die durch mitversicherte Personen oder Dritte entstehen, zum Beispiel durch Phishing oder Payment Diversion. Zusätzlich werden notwendige Krisen- und Beratungsleistungen übernommen, um den Schaden zu begrenzen.
Der Baustein deckt folgende Leistungen ab:
- Finanzielle Schäden durch Mitarbeitende (zum Beispiel Veruntreuung von Firmengeldern)
- Vorsätzliche Handlungen wie Betrug, Unterschlagung oder Sabotage
- Digitale Manipulationen an Daten, Systemen oder Zahlungsvorgängen
- Ermittlungskosten zur Aufklärung des Vorfalls
Damit schließt die exali Cyber-Versicherung eine oft übersehene Lücke im Versicherungsschutz. Der Baustein greift auch dann, wenn der Schaden nicht sofort auffällt, beispielsweise, weil Manipulationen erst Wochen oder Monate später entdeckt werden.
auf internen Schäden sitzen bleiben"
, erklärt Ralph Günther.
"Mit dem Vertrauensschaden-Baustein in der Cyber-Versicherung schließen wir genau diese Lücke und schützen Betriebe auch dann, wenn der Angriff von innen kommt."
exali Tipp: Der Zusatzbaustein kann direkt bei Abschluss oder nachträglich zur bestehenden Cyber-Versicherung hinzugefügt werden. Ein Upgrade ist bei uns jederzeit online möglich.
Ralph Günther ist Gründer und CEO der exali AG und seit über 20 Jahren Pionier an der Schnittstelle von Digitalisierung und Versicherung. Bereits im Jahr 2004 erkannte er den Bedarf an passgenauen Absicherungen für IT-Experten und digitale Berufe.
Mit exali schuf er eines der ersten digitalen Versicherungsportale für Freelancer, Agenturen und Unternehmen in der Onlinewelt. Sein Ziel ist es, komplexe Risiken wie Cyberangriffe oder KI-Bedrohungen verständlich und versicherbar zu machen – praxisnah, transparent und ohne Versicherungs-Blabla.
Vivien Gebhardt ist Onlineredakteurin bei exali. Hier erstellt sie Content zu Themen, die Selbständigen, Freiberuflern und Unternehmern unter den Nägeln brennen. Ihre Spezialgebiete sind Risiken im E-Commerce, Rechtsthemen und Schadenfälle, die bei exali versicherten Freelancern passiert sind.
