Was ist ein Cyber-Vertrauensschaden? Ein Experte erklärt

Was zählt als Vertrauensschaden im Unternehmen?

Ein Vertrauensschaden liegt vor, wenn eigene Mitarbeiter dem Unternehmen einen finanziellen Schaden zufügen. Früher hatten nur besonders vertrauenswürdige Mitarbeitende Zugriff auf Kassen und Akten – daher die Bezeichnung „Vertrauensschaden“ im Versicherungjargon. Entweder handeln Mitarbeitende bei Vertrauensschäden bewusst (juristisch: vorsätzlich), um sich selbst zu bereichern beziehungsweise das Unternehmen zu schädigen. Oder sie werden von Außenstehenden in betrügerischer Absicht als „Mittel zum Zweck“ benutzt.

Typische Beispiele sind:

• Unterschlagung von Kundenzahlungen oder Firmengeldern
• Manipulation von Rechnungen oder Buchhaltungsdaten
• Weitergabe vertraulicher Daten gegen Bezahlung
• Missbrauch von Zugriffsrechten auf Konten oder Systeme

Wie entstehen Cyber-Vertrauensschäden?

In der heutigen Zeit ist ein digitales System fast immer der Ausgangspunkt eines Vertrauensschadens. Ob IT-Systeme, Online-Banking oder Cloud-Dienste - die Auswahl ist groß und die Vorgehensweisen mittlerweile „erprobt“.

Beispiele aus der Praxis:

• Ein Mitarbeitender verändert im ERP- oder Buchhaltungssystem den Zahlungsempfänger und leitet Beträge auf private Konten um.
• Eine Angestellte gibt über den Firmen-Mailaccount Kundendaten an Dritte weiter.
• Ein Administrator verkauft Zugangsdaten aus internen Systemen an Unbefugte.
• Ein Betrüger gibt sich per E-Mail als CEO aus und erteilt den Auftrag zu einer Überweisung.

Wie entstehen Vertrauensschäden? 3 Praxisbeispiele

Die folgenden drei Praxisbeispiele zeigen, wie unterschiedlich und gleichzeitig einfach solche Fälle aussehen können – und wie der Cyber-Vertrauensschaden-Baustein von exali dabei hilft, finanzielle Schäden abzufedern.

Innentäter: Wenn Vertrauen missbraucht wird

Situation:
Eine Buchhaltungsmitarbeiterin manipuliert die Bankverbindung eines Lieferanten im ERP-System und leitet mehrere Zahlungen auf ein eigenes Konto um.

Hintergrund:
Studien zeigen: Über 80% der Unternehmen haben im letzten Jahr mindestens einen Sicherheitsvorfall erlebt, in denen Mitarbeitende bewusst oder unbewusst involviert waren. Viele Fachleute stufen Mitarbeitende daher als extrem kritisches Risiko im Cyber-Umfeld ein. Die wachsende Nutzung von KI dürfte potenziellen Missbrauch noch weiter begünstigen.

Payment Diversion Fraud: Manipulierte Rechnungen und falsche IBANs

Situation:
Kriminelle fangen die E-Mail-Rechnung eines Handwerksbetriebs ab, ändern die IBAN und leiten die Zahlung auf ein fremdes Konto weiter. Die Kundschaft zahlt auf das falsche Konto und die echte Rechnung bleibt offen. Laut Gerichten gilt die Schuld in diesem Fall als nicht getilgt.

Hintergrund:
Auffällig oft fehlt bei solchen Schadenfällen das Vier-Augen-Prinzip – oder es wird außer Kraft gesetzt. Zwar müssen Banken ab Oktober 2025 EU-weit einen IBAN-Namensabgleich anbieten, um genau solche Betrugsfälle zu verhindern. Dies ersetzt jedoch keinen internen Prüfprozess.

Fake-President Fraud und Social Engineering: Täuschung mit Deepfakes

Situation:
Die Finanzabteilung erhält eine vermeintliche Nachricht des Geschäftsführers mit dem Betreff: „Dringend, streng vertraulich – bitte sofort überweisen!“ In neueren Fällen werden sogar Deepfake-Videoanrufe eingesetzt, um Mitarbeitende zu täuschen – mit Schäden in Millionenhöhe.

Hintergrund:
Lauf dem BKA und internationale Sicherheitsberichten sind Social Engineering und Pretexting zentrale Einfallstore. Versicherer melden wachsende Großschäden durch Fake-President- und Payment-Diversion-Angriffe, die durch realistische KI-Clones und gefälschte Stimmen verstärkt werden.

Ralph Günther betont:

Wer haftet bei einem Cyber-Vertrauensschaden durch Mitarbeitende?

Wenn Mitarbeitende das eigene Unternehmen schädigen, stellt sich schnell die Frage nach der Haftung. Grundsätzlich haften Mitarbeitende zwar persönlich für vorsätzlich verursachte Schäden, doch in der Praxis ist die Durchsetzung schwierig. Oft fehlen ausreichende Beweise oder die betroffene Person ist finanziell nicht in der Lage, den Schaden zu ersetzen. Auch viele Standardversicherungen, wie die Betriebshaftpflicht oder Berufshaftpflicht decken interne Betrugsfälle nicht ab, weil sie nur für Schäden gegenüber Dritten greifen.

„Ein klassischer und gefährlicher Denkfehler“, sagt Ralph Günther.

Wie können sich Unternehmen vor Vertrauensschäden schützen?

Neben dem Abschluss einer passenden Versicherung können Unternehmen selbst viel tun, um das Risiko von Vertrauensschäden zu reduzieren. Dazu ist es entscheidend, organisatorische, technische und kulturelle Schutzmaßnahmen zu kombinieren.

1. Klare Abläufe und Kontrolle bei Finanzprozessen

Das Vier-Augen-Prinzip sollte bei allen Zahlungen, Buchungen und sensiblen Freigaben Standard sein. Auch regelmäßige interne oder externe Prüfungen helfen dabei, Manipulationen frühzeitig zu erkennen. Akzeptieren Sie IBAN-Änderungen beispielsweise nie per E-Mail. Testüberweisungen bieten zusätzlichen Schutz. Richten Sie zusätzlich Limits für Sofortüberweisungen ein.

2. Strenges Zugriffsmanagement in IT-Systemen

Nur wer bestimmte Daten oder Systeme wirklich benötigt, sollte Zugriff haben. Nach Rollen definierte Berechtigungen und regelmäßige Überprüfungen senken das Risiko erheblich.

3. Sensibilisierung und Schulung der Mitarbeitenden

Ein gutes Sicherheitsbewusstsein im Team ist essenziell. Schulungen zu Themen wie Compliance, Datenschutz und Cybersicherheit fördern Verantwortungsbewusstsein und Vertrauen. Legen Sie bei außerplanmäßigen Zahlungen verbindliche Rückrufregeln fest.

4. Unternehmenskultur mit offener Kommunikation

Vertrauensschäden gedeihen dort, wo Misstrauen oder Angst herrschen. Offene Kommunikationswege und ein respektvolles Miteinander senken die Hemmschwelle, Unregelmäßigkeiten anzusprechen. Saubere Offboarding-Prozesse (Zugänge entziehen, Datenrückgabe sicherstellen) vermeiden böse Überraschungen zum Ende des Arbeitsverhältnisses.

5. Frühwarnsysteme und interne Meldewege

Ein anonymes Hinweisgebersystem kann dabei helfen, Betrugsversuche schnell aufzudecken, bevor sie größeren Schaden anrichten.

 Ralph Günther betont:

6. Passende Versicherung für Notfälle

Auch in gut organisierten Unternehmen lässt sich ein Restrisiko nie ganz ausschließen. Wenn trotz aller Vorsorge doch ein Schaden entsteht, schützt eine Cyber-Vertrauensschadenversicherung – wie sie etwa exali anbietet – das Unternehmen zuverlässig vor den finanziellen Folgen.

Wie schützt die Cyber-Versicherung bei Vertrauensschäden durch Mitarbeitende?

Cyber-Vertrauensschäden lassen sich mit dem mit dem speziellen Zusatzbaustein Vertrauensschaden der Cyber-Versicherung von exali absichern. Der Baustein ersetzt unmittelbare Vermögensschäden, die durch mitversicherte Personen oder Dritte entstehen, zum Beispiel durch Phishing oder Payment Diversion. Zusätzlich werden notwendige Krisen- und Beratungsleistungen übernommen, um den Schaden zu begrenzen.

Der Baustein deckt folgende Leistungen ab:

• Finanzielle Schäden durch Mitarbeitende (zum Beispiel Veruntreuung von Firmengeldern)
• Vorsätzliche Handlungen wie Betrug, Unterschlagung oder Sabotage
• Digitale Manipulationen an Daten, Systemen oder Zahlungsvorgängen
• Ermittlungskosten zur Aufklärung des Vorfalls

Damit schließt die exali Cyber-Versicherung eine oft übersehene Lücke im Versicherungsschutz. Der Baustein greift auch dann, wenn der Schaden nicht sofort auffällt, beispielsweise, weil Manipulationen erst Wochen oder Monate später entdeckt werden.

exali Tipp: Der Zusatzbaustein kann direkt bei Abschluss oder nachträglich zur bestehenden Cyber-Versicherung hinzugefügt werden. Ein Upgrade ist bei uns jederzeit online möglich.