Betrug bei Versicherungsansprüchen beginnt im Posteingang: Wie gefälschte E-Mails routinemäßige Versicherungsabläufe in Auszahlungsbetrug verwandeln

Versicherungsbetrug beginnt nicht immer mit einem vorgetäuschten Unfall oder einem gefälschten Verletzungsbericht.

Manchmal beginnt alles mit einer ganz gewöhnlichen E-Mail. Ein Schadensregulierer bittet um ein weiteres Dokument. Ein Geschädigter teilt seine neue Adresse mit. Ein Sanierungsunternehmen schickt eine korrigierte Rechnung. Nichts an dieser Abfolge wirkt ungewöhnlich, und genau deshalb funktioniert sie.

Versicherungsteams sind darauf ausgerichtet, Akten zügig zu bearbeiten. Nach einem Sturm, einem sprunghaften Anstieg der Haftpflichtfälle oder einem Rückstau bei Arbeitsunfällen bearbeiten die Mitarbeiter Kostenvoranschläge, Anlagen, Genehmigungen und Auszahlungsdetails in hohem Tempo. Wenn eine Nachricht im Rahmen eines konkreten Schadensfalls eingeht, übernimmt sie die Glaubwürdigkeit des sie umgebenden Arbeitsablaufs.

Das macht den Posteingang zu einem lohnenden Ziel für Diebe. Sie müssen keinen neuen Vorwand erfinden, wenn sie sich in einen bestehenden Thread einschalten und Geld, Dokumente oder Vertrauen umleiten können.

Warum die Bearbeitung von Versicherungsansprüchen leicht missbraucht werden kann

Die Schadenbearbeitung weist drei Merkmale auf, die Angreifern besonders zusagen: Dringlichkeit, Wiederholungen und eine umfangreiche Koordination per E-Mail. An einer einzigen Akte können der Versicherte, ein Makler, ein Schadensregulierer, ein Ansprechpartner aus der Finanzabteilung, ein Reparaturdienstleister und ein externer Rechtsberater beteiligt sein. Bei einem Katastrophenereignis können in einem gemeinsamen Postfach schon vor Mittag Dutzende nahezu identischer Anfragen eingehen.

Deshalb ist der Zusammenhang zwischen Cyberkriminalität und Versicherungsbetrug im Versicherungsgeschäft so naheliegend. Sobald Kriminelle Zugriff auf ein Postfach, eine Rechnung oder einen Lieferanten-Chat erhalten haben, brauchen sie keine dramatische Geschichte über einen Datenleck. Sie können auf einen tatsächlichen Zahlungszeitpunkt warten und sich dort einschalten, wo ohnehin mit einer Transaktion gerechnet wird.

Unternehmen, die wissen, was DMARC ist, sind sich bereits bewusst, dass es dabei um mehr geht als nur um die Zustellbarkeit. DMARC arbeitet mit SPF und DKIM zusammen, um Domaininhabern dabei zu helfen, zu überprüfen, wer E-Mails unter ihrer Domain versenden darf, und zu entscheiden, wie empfangende Server mit Nachrichten umgehen sollen, die diese Prüfungen nicht bestehen. Dies ist im Zusammenhang mit Schadensersatzansprüchen von Bedeutung, da Identitätsbetrug oft lukrativer ist als Störangriffe durch Brute-Force-Methoden.

Wie Auszahlungsdiebstahl tatsächlich abläuft

Stellen Sie sich einen Schadensfall nach einem Hagelschaden vor. Ein Bauunternehmer hat die Notfallmaßnahmen abgeschlossen, der Schadensregulierer hat den Kostenvoranschlag genehmigt, und die Finanzabteilung wartet darauf, eine Zahlung in Höhe von 28.400 Dollar freizugeben. Ein Angreifer, der Zugriff auf eine Mailbox in dieser Kette hat, beobachtet die Situation einige Tage lang stillschweigend und sendet dann eine kurze Nachricht, in der er mitteilt, dass der Bauunternehmer die Bank gewechselt habe, und fügt ein aktualisiertes Überweisungsformular bei.

Die E-Mail muss nicht auffällig sein. Sie muss lediglich genau dann eintreffen, wenn das Team bereits eine Schlussrechnung oder eine ACH-Bestätigung erwartet. Laut der öffentlichen Bekanntmachung des FBI-IC3 zu Business E-Mail Compromise beliefen sich die gemeldeten Verluste im Zusammenhang mit BEC von Oktober 2013 bis Dezember 2023 weltweit auf über 55 Milliarden US-Dollar. Diese Zahl verdeutlicht, warum eine „einfache“ E-Mail mit einer Zahlungsänderung niemals als Routineangelegenheit behandelt werden sollte.

Die Spielmechanik ist absichtlich langweilig:

• Ein echter Anspruch führt zu einem echten E-Mail-Verlauf mit Namen, Antragsnummern und Anhängen.
• Ein Angreifer verschafft sich Zugang durch Phishing, wiederverwendete Anmeldedaten oder Weiterleitungsregeln für E-Mail-Postfächer.
• Sie warten so lange, bis der Zeitpunkt der Zahlung, Erstattung oder Abrechnung die Forderung glaubwürdig erscheinen lässt.
• Eine korrigierte Rechnung, eine Banküberweisung oder eine Auszahlungsanweisung wird von einem gefälschten oder gehackten Konto gesendet.
• Das Geld wird transferiert, bevor jemand die Änderung über einen zweiten Kanal überprüft hat.

Das gleiche Muster gilt für die Arbeitsunfallversicherung, die Haftpflichtversicherung, die gewerbliche Kfz-Versicherung und den Regress. Wenn eine Nachricht darüber entscheidet, wer bezahlt wird, wohin vertrauliche Dokumente gelangen oder welche Unterlagen als echt behandelt werden, hat der Schadensfall bereits genug Wert, um Missbrauch anzuziehen.

Was man übersieht, wenn der Absender einem bekannt vorkommt

Die meisten Teams wissen, wie man eine schlampig gestaltete Phishing-E-Mail erkennt. Schwieriger sind die Fälle, in denen die Nachrichten zu 95 Prozent echt wirken. Ein gefälschter Absender kann beispielsweise einen Buchstaben in einer Domain austauschen, auf einen bestehenden Thread antworten oder genau den Tonfall verwenden, den ein Anbieter normalerweise verwendet.

Deshalb besteht die beste Vorgehensweise bei der Prüfung nicht darin, „nach Grammatikfehlern zu suchen“, sondern zu prüfen, „ob die Anfrage zum Arbeitsablauf passt“. Ein Reparaturdienstleister, der seit 18 Monaten dieselbe Domain nutzt, sollte nicht plötzlich eine Bankverbindung von einer neuen Adresse aus übermitteln – und das eine Stunde vor der Auszahlung. Der Anwalt eines Anspruchstellers, der normalerweise PDF-Dateien über ein sicheres Portal versendet, sollte nicht plötzlich Zahlungsanweisungen per Einzeiler-Antwort vom Handy aus anfordern.

Viele der typischen Warnsignale für Phishing in Versicherungsakten sind kaum wahrnehmbar: eine geänderte Absenderadresse, ein ungewohnter Anhangstyp, ein Hinweis auf Dringlichkeit in letzter Minute oder die Aufforderung, das übliche Portal zu umgehen, weil „dieses hier schneller ist“. Das sind zwar nur kleine Details, doch im Schadenbearbeitungsprozess entscheiden sie oft darüber, ob es sich um eine normale Bearbeitung oder um eine betrügerische Umleitung handelt.

Die Leitlinien des FBI zum Thema „Business Email Compromise“ machen die praktische Vorgehensweise sehr deutlich: Überprüfen Sie Zahlungs- oder Kontoänderungen über einen separaten Kanal, prüfen Sie die vollständige Absenderadresse und seien Sie besonders vorsichtig, wenn in der Anfrage Dringlichkeit suggeriert wird. Gute Schadenbearbeitungsteams befolgen diese Regel auch dann, wenn die Nachricht vertraut wirkt, denn gerade der Eindruck von Vertrautheit ist das Ziel des Angriffs.

So sieht ein sicherer Schadenbearbeitungsprozess in der Praxis aus

Ein optimierter Schadenbearbeitungsablauf behandelt nicht jede E-Mail als dringenden Notfall. Er sorgt nur dort für zusätzliche Hürden, wo Betrug hohe Kosten verursacht: bei Kontoänderungen, Zahlungsanweisungen, korrigierten Rechnungen und der Weiterleitung vertraulicher Dokumente.

Beginnen Sie mit der Domain-Seite. Ein kurzer Durchlauf durch einen Domain-Analysator kann aufzeigen, ob Ihre Absender-Domain offensichtliche Sicherheitslücken bei der Authentifizierung in Bezug auf DMARC, SPF, DKIM und damit verbundene Kontrollmechanismen aufweist. PowerDMARC ist speziell darauf ausgerichtet, Risiken durch Phishing, Spoofing, Betrug und Identitätsdiebstahl zu identifizieren. Das ist nützlich, da Betrugsfälle oft schon lange erfolgreich sind, bevor jemand ein Auszahlungsproblem in der Buchhaltung bemerkt.

Schärfen Sie dann die Übergaberegeln innerhalb des Forderungsprozesses. Wenn eine Änderung der Bankverbindung nach der Zahlungsfreigabe, aber vor der Auszahlung eintrifft, sollte dies einen anderen Kontrollpfad auslösen als eine routinemäßige Statusaktualisierung. Ein Vorgang mit einem Erstattungsantrag über 1.200 Dollar erfordert möglicherweise einen raschen Rückruf. Ein Vorgang mit einer Abrechnungskorrektur über 40.000 Dollar erfordert möglicherweise einen Rückruf sowie eine zweite Genehmigung innerhalb desselben Werktags.

Ein praktikabler Kontrollsatz sieht in der Regel so aus:

• Jede Überweisung oder ACH-Änderung wird anhand einer bereits hinterlegten Telefonnummer überprüft, nicht anhand der in der E-Mail angegebenen Nummer.
• Jede Änderung der Auszahlungsanweisungen innerhalb von 30 Tagen nach der Aufnahme des Lieferanten wird an die nächsthöhere Ebene weitergeleitet.
• Gemeinsame Posteingänge für Schadensfälle lassen keine automatische Weiterleitung an externe Adressen zu.
• Die Finanzabteilung und die Schadenabteilung verwenden dieselbe Prüfcheckliste, damit Angreifer nicht gezielt das schwächere Team ins Visier nehmen können.
• Jede überprüfte Bankänderung wird mit Datum, Prüfer und Ergebnis der Rückmeldung protokolliert.

Auch hier spielt die E-Mail-Authentifizierung eine wichtige Rolle. In den Absenderrichtlinien von Google wird von Massenversendern an private Gmail-Konten erwartet, dass sie SPF und DKIM verwenden, DMARC veröffentlichen und die Unternehmensdomain im „From“-Header mit SPF oder DKIM abgleichen. Diese Anforderungen dienen der Absenderauthentifizierung in großem Maßstab, doch dieselben Maßnahmen helfen Versicherungsunternehmen dabei, das Risiko von Spoofing zu verringern und die Signale zu bereinigen, auf die sich Mitarbeiter stützen, wenn sie beurteilen, ob eine Nachricht echt ist.

Die besten Versicherungsteams überprüfen ihre Prozesse zudem anhand realer Fälle. Nehmen Sie einen aktuellen Sachschadenfall, einen Fall aus dem Bereich der Arbeitsunfallversicherung und einen Haftpflichtfall zur Hand. Stellen Sie zu jedem Fall eine direkte Frage: Wenn gerade jetzt eine gefälschte E-Mail mit einer Änderung der Auszahlungssumme eintreffen würde, wo genau würde sie abgefangen werden und von wem? Ist die Antwort vage, ist auch die Kontrollmaßnahme vage.

Zusammenfassung

Betrug im Schadenfall wird teuer, wenn gewöhnliche Lücken im Prozess als harmloses administratives Rauschen abgetan werden. Eine gefälschte Nachricht kann eine Zahlung an einen Auftragnehmer umleiten, eine Abwicklung verzögern oder sensible Daten von Anspruchstellern in die falschen Hände gelangen lassen, ohne dass dabei ein offensichtlicher Alarm ausgelöst wird. Die Lösung ist meist weniger dramatisch, als man erwartet: strengere Vertrauensregeln für Absender, klarere Verifizierungsregeln und eine kurze Liste von Momenten, die niemals als „Routine“ abgetan werden dürfen. Wenn Bankwechsel, Rechnungsänderungen und Auszahlungsanweisungen immer einen Rückruf und eine zweite Überprüfung auslösen, verliert der Angreifer den Vorteil des richtigen Zeitpunkts. Wählen Sie noch heute einen aktiven Schadenbearbeitungs-Workflow aus und testen Sie, wie eine gefälschte E-Mail zur Zahlungsänderung vom Posteingang bis zur Auszahlung gelangen würde. Schließen Sie dann die Lücke, bevor die nächste harmlos aussehende Nachricht eintrifft.

• Über
• Neueste Beiträge

Ahona Rudra

Experte für Domain- und E-Mail-Sicherheit bei PowerDMARC

Ahona ist Marketing-Managerin bei PowerDMARC und verfügt über mehr als 5 Jahre Erfahrung im Schreiben über Cybersicherheitsthemen, insbesondere im Bereich Domain- und E-Mail-Sicherheit. Ahona hat einen Postgraduierten-Abschluss in Journalismus und Kommunikation und ist seit 2019 in der Sicherheitsbranche tätig.

Neueste Beiträge von Ahona Rudra (alle anzeigen)

• IP-Reputation vs. Domain-Reputation: Was sorgt dafür, dass Ihre E-Mails im Posteingang landen? – 1. April 2026
• Versicherungsbetrug beginnt im Posteingang: Wie gefälschte E-Mails routinemäßige Versicherungsabläufe in Auszahlungsbetrug verwandeln – 25. März 2026
• FTC-Sicherheitsvorschrift: Benötigt Ihr Finanzunternehmen DMARC? – 23. März 2026