Die Nachrichten sind voll davon: Staatlich gelenkte Hackerangriffe auf kritische Infrastrukturen, koordinierte Cyberoperationen im Zuge internationaler Konflikte, hybride Bedrohungslagen. In der Öffentlichkeit wirkt das zunächst wie ein eher entferntes Thema. Für viele Unternehmen stellt sich allerdings ganz konkret die Frage nach dem Versicherungsschutz: Was passiert, wenn der eigene Betrieb von solchen Angriffen betroffen ist?
Hier ist Genauigkeit wichtig, denn die Ausschlüsse greifen nicht pauschal. Im Kern geht es um zwei Szenarien:
Wenn ein Staat nachweislich einen anderen angreift und dabei Cyberoperationen einsetzt, können Schäden in den unmittelbar betroffenen Konfliktstaaten vom Versicherungsschutz ausgenommen sein.
Trifft ein solcher Angriff zum Beispiel Deutschland, greift der Ausschluss nur dann, wenn es zu einer sogenannten „erheblichen Beeinträchtigung" der Staatsfunktionen kommt, also wenn etwa die Energieversorgung, die innere Sicherheit oder andere kritische Infrastrukturen auf breiter Ebene ausfallen.
Ein Unternehmen, das durch einen staatlich gesteuerten oder staatlich beeinflussten Cyberangriff betroffen ist, verliert seinen Versicherungsschutz nicht automatisch. Entscheidend ist vielmehr, ob die konkreten Voraussetzungen des jeweiligen Kriegsausschlusses erfüllt sind – insbesondere staatliche Zuordnung, Kausalität und gegebenenfalls eine erhebliche Beeinträchtigung staatlicher Funktionen. Kollateralschäden in Deutschland oder anderen EU-Staaten sind daher nicht automatisch ausgeschlossen. Häufig bleiben sie versichert, sofern keine erhebliche Beeinträchtigung staatlicher Funktionen im betroffenen Staat vorliegt und die weiteren Voraussetzungen des Ausschlusses nicht erfüllt sind.
Die folgende Übersicht zeigt, welche Voraussetzungen alle gleichzeitig erfüllt sein müssen, damit ein Kriegsausschluss überhaupt greift:
Die Beweislast liegt in der Regel beim Versicherer
Ein wichtiger Punkt, der in der Debatte oft untergeht: Nicht der Versicherungsnehmer muss beweisen, dass ein Angriff nicht staatlich gesteuert war. Die Darlegungs- und Beweislast für die Voraussetzungen des Ausschlusses liegt grundsätzlich beim Versicherer. Das ist in der Praxis schwer, denn die sogenannte Attribution, also die eindeutige Zuordnung eines Angriffs zu einem staatlichen Akteur, ist technisch und juristisch ausgesprochen komplex. Genau diese Komplexität macht eine genaue Prüfung Ihrer Police so wichtig: Denn ob und wie ein Ausschluss im Einzelfall greift, hängt stark von der konkreten Klauselformulierung ab – und die unterscheidet sich je nach Anbieter erheblich.
Deshalb empfehlen wir unseren Kunden drei konkrete Schritte:
1. Policecheck. Prüfen Sie gemeinsam mit uns, welche Kriegsausschlussklausel in Ihrer Cyberversicherung enthalten ist und wie sie formuliert ist. Die Unterschiede zwischen einzelnen Anbietern sind erheblich.
2. Deckungsklarheit schaffen. Haben Sie Geschäftsbeziehungen in Länder, die derzeit in geopolitische Konflikte eingebunden sind? Dann sollten wir gezielt prüfen, welche Risiken sich daraus für Ihren Versicherungsschutz ergeben könnten.
3. Prävention nicht vergessen. Ein Kriegsausschluss ändert nichts daran, dass die meisten Cyberangriffe auf Unternehmen keinen staatlichen Kriegs- oder Konfliktbezug haben. Solche Schäden sind daher grundsätzlich nach den regulären Bedingungen der Cyberversicherung zu prüfen. Gute Prävention und ein solides Sicherheitskonzept bleiben die wichtigste Grundlage.
Die Welt der Cyberversicherung wird komplexer, das ist keine Frage. Aber sie bleibt für die allermeisten Unternehmen ein unverzichtbares Sicherheitsnetz. WIR helfen Ihnen, Ihren Schutz zu verstehen, Lücken zu erkennen und die richtigen Schlüsse zu ziehen.
Sprechen Sie uns an! WIR analysieren Ihre Police und beraten Sie zu Ihrer individuellen Situation.