Cyber-Versicherungen: Wenn Phishing-Schäden nicht mehr gedeckt sind

Cyber-Versicherungen geraten an ihre Grenzen – während Phishing-Angriffe in Deutschland Rekordschäden verursachen. Neue Gesetze verschärfen den Druck auf Unternehmen.

Die deutsche Wirtschaft steht 2026 vor einer milliardenschweren Cyber-Bedrohung. Die Schäden durch Hackerangriffe erreichten 2025 mit 202 bis 290 Milliarden Euro einen neuen Höchststand. Gleichzeitig zwingen verschärfte Gesetze wie NIS2 Zehntausende Unternehmen zu teuren IT-Sicherheits-Upgrades. In diesem Spannungsfeld geraten die Policen von Cyber-Versicherungen unter Druck – besonders bei Schäden durch betrügerische Phishing-E-Mails.

KI-gesteuerte Angriffswelle rollt an

Die Gefahr ist professioneller geworden. Hacker nutzen zunehmend künstliche Intelligenz, um Phishing-Kampagnen zu automatisieren und persönlich anzupassen. Aktuelle Warnungen der Verbraucherzentrale zeigen: Betrüger geben sich als große Banken wie die DKB aus und fordern unter dem Vorwand neuer „Verifizierungsrichtlinien“ sensible Kundendaten an.

Die Bundesregierung reagiert mit einer neuen Cyberstrategie, die auch aktive Gegenmaßnahmen vorsieht. Die Dimension ist gewaltig: Allein die IT-Systeme der Bundesbank werden minütlich mit Tausenden Angriffsversuchen bombardiert.

Phishing-Angriffe werden immer professioneller – KI-gestützte Mails und CEO‑Fraud täuschen inzwischen selbst geschulte Mitarbeitende. Das kostenlose Anti‑Phishing‑Paket zeigt in einer praxisnahen 4‑Schritte‑Anleitung, wie Sie Angriffe identifizieren, technische Kontrollen stärken, Mitarbeitende effektiv schulen und Meldewege einrichten. Enthalten sind Checklisten, Muster‑Kommunikation und branchenspezifische Gefahrenanalysen – ideal für IT‑Verantwortliche, Geschäftsführung und Compliance‑Teams, die ihre Organisation schnell und wirksam schützen wollen. Besonders relevant in Zeiten von NIS2 und steigenden Versicherungsanforderungen. Jetzt Anti‑Phishing‑Paket gratis herunterladen

Die Gretchenfrage: Wann ist es grobe Fahrlässigkeit?

Im Ernstfall entscheidet oft eine Frage über die Versicherungsleistung: Handelte das Opfer grob fahrlässig? Ein wegweisendes Urteil des Bundesgerichtshofs (BGH) vom Juli 2025 brachte hier Klarheit. Nicht jede Preisgabe von Daten gilt automatisch als grob fahrlässig.

Ein entschuldbares „Augenblicksversagen“ – etwa durch eine überraschend professionelle Täuschung – kann den Vorwurf entkräften. Doch die Grenze ist schmal. Im selben Fall werteten die Richter die wiederholte TAN-Weitergabe am Folgetag als grob fahrlässig, weil hier Bedenkzeit bestand. Andere Gerichte bestätigen: Bei nachgewiesener grober Fahrlässigkeit erlischt der Erstattungsanspruch vollständig.

Kleingedrucktes wird zur Falle

Selbst ohne grobe Fahrlässigkeit ist eine Erstattung nicht garantiert. Die exakten Formulierungen in den Versicherungsbedingungen sind entscheidend. Das Landgericht Bielefeld urteilte 2025: Eine Police, die explizit Schäden durch „Phishing“ per E-Mail abdeckt, muss nicht für Betrug per SMS („Smishing“) aufkommen.

Der Wortlaut ist bindend und wird nicht stillschweigend auf neue Angriffsformen erweitert. Zudem legen Versicherer hohe Maßstäbe an die Angaben beim Vertragsabschluss. Wer Sicherheitslücken verschweigt, riskiert den kompletten Versicherungsschutz – wie ein Beschluss des OLG Schleswig im Januar 2025 zeigte.

NIS2 setzt neuen Sorgfaltsmaßstab

Die rechtlichen Rahmenbedingungen ändern sich grundlegend. Seit Dezember 2025 müssen rund 30.000 Unternehmen aus kritischen Sektoren die Anforderungen des NIS2-Umsetzungsgesetzes erfüllen. Sie haben kurze Fristen, um ihre Systeme zu registrieren, umfassende Risikomanagement-Maßnahmen nachzuweisen und Vorfälle sofort zu melden.

Diese gesetzlichen Vorgaben definieren einen neuen Mindeststandard für IT-Sicherheit. Für Versicherungen entsteht ein wirksamer Hebel: Die Nichteinhaltung der NIS2-Anforderungen könnte künftig als Verletzung vertraglicher Pflichten oder sogar als Indiz für grobe Fahrlässigkeit gewertet werden.

Wettlauf gegen die Zeit beginnt

Die kommenden Monate werden für viele Unternehmen zum Wettlauf. Sie müssen nicht nur die NIS2-Konformität fristgerecht erreichen, sondern sich auch auf mehr Rechtsstreits mit Versicherern einstellen. Der Begriff „angemessene Sicherheitsmaßnahmen“ wird nun maßgeblich durch das NIS2-Gesetz definiert – nicht mehr nur durch die Rechtsprechung.

Unternehmen, die hier Lücken aufweisen, riskieren doppelt: hohe Bußgelder und den Verlust ihres Versicherungsschutzes. In einer Zeit, in der Phishing-Angriffe immer raffinierter werden, ist das eine gefährliche Kombination.

PS: Angesichts knapper NIS2‑Fristen und wachsender Rechtsrisiken ist schnelle Prävention entscheidend. Das Anti‑Phishing‑Paket liefert sofort einsetzbare Vorlagen für Schulungen, CEO‑Fraud‑Checks und Incident‑Response‑Abläufe sowie eine Schritt‑für‑Schritt‑Checkliste zur internen Umsetzung – inklusive Praxisbeispielen und Melde‑Templates. So reduzieren Sie das Risiko teurer Versicherungsausfälle und Bußgelder, ohne großen Mehraufwand. Anti‑Phishing‑Sicherheitsleitfaden jetzt herunterladen