Cyber-Versicherung im Umfeld internationaler Konflikte und hybrider Konflikte – Wirkung moderner Cyber-Kriegs-Ausschlüsse
Kurzüberblick zur aktuellen geopolitischen Lage (Stand März 2026) und Relevanz des Themas
Seit dem 28.02.2026 eskaliert ein hybrider internationaler Konflikt (Iran–Israel/USA), in dem neben konventionellen militärischen Auseinandersetzungen zunehmend koordinierte, staatlich gelenkte Cyberoperationen beobachtet werden. Berichte umfassen unter anderem massive Internetstörungen sowie Angriffe auf kritische Infrastrukturen. Auch die Beteiligung staatsnaher und Proxy-Akteure wird vermutet, was die Lage zusätzlich komplex macht. [dsci.in], [hacked.com], [axios.com]
Auswirkungen internationaler Konflikte auf den Versicherungsschutz in Cyber-Policen
In den Jahren 2023 und 2024 wurden in praktisch allen Cyber-Versicherungsprodukten moderne Cyber-Kriegsklauseln eingeführt. Diese berücksichtigen nicht nur physische Kriegshandlungen, sondern schließen unter bestimmten Bedingungen auch Cyberoperationen zwischen Staaten vom Versicherungsschutz aus. Die deutschen Varianten orientieren sich eng an der von Lloyd’s veröffentlichten LMA5567A, sowie der durch Munich Re entwickelten Cyber-War-Klausel.
Im Mittelpunkt dieser Ausschlüsse stehen insbesondere:
- Cyberoperationen als Teil eines bewaffneten Konflikts zwischen Staaten, sowie
- Staatlich gesteuerte Cyberoperationen außerhalb eines Krieges, sofern sie zu einer „erheblichen Beeinträchtigung“ der Funktionsfähigkeit eines Staates führen (Impacted-State-Konzept).
Eine solche erhebliche Beeinträchtigung liegt beispielsweise dann vor, wenn kritische Infrastrukturen oder die innere Sicherheit und Verteidigung eines Staates maßgeblich betroffen sind.
Ziel der Versicherer ist die Begrenzung systemischer Kumule. Deshalb greift der Ausschluss grundsätzlich nicht, wenn Angriffe regional begrenzt bleiben und keine gesamtwirtschaftlichen oder versorgungs-kritischen Auswirkungen hervorrufen.
Schnell-Einordnung für Versicherungsnehmer mit Exposure in Konfliktregionen
Wie in jedem Schadenfall gilt: die konkreten Umstände des Einzelfalls sind entscheidend für die Deckungsprüfung. Die nachfolgende Übersicht dient lediglich einer ersten Orientierung und ersetzt keine individuelle Einzelfallprüfung. Für die finale Deckungsbeurteilung eines konkreten Schadenfalls sind stets die tatsächlichen Umstände, der individuelle technische und zeitliche Ablauf, die konkreten Ursachen, die vertraglich vereinbarten Versicherungsbedingungen sowie die vorliegenden Nachweise und Attributionsergebnisse maßgeblich. Bereits kleine Unterschiede im Sachverhalt können zu einer erheblich anderen Bewertung der Deckung führen.
Generell ist im Rahmen der Kriegs-Ausschlüsse zwischen zwei verschiedenen Szenarien zu differenzieren:
- Direkte staatliche Cyberangriffe im Rahmen eines bewaffneten Konflikts – „Cyberangriffe als Teil des Krieges“: Schäden in betroffenen Konfliktstaaten, die nachweislich durch einen Staat, oder auf dessen Anweisung bzw. unter dessen Kontrolle verursacht wurden, können vom Ausschluss betroffen sein.
- Staatlich gesteuerte Cyberoperationen gegen Drittstaaten (z. B. Deutschland/ Europa) -ohne „Erheblichkeit“: Auch hier ist zunächst ein staatlicher Bezug notwendig. Liegt jedoch keine erhebliche Beeinträchtigung im betroffenen Drittstaat vor (z. B. keine systemrelevanten oder landesweiten KRITIS-Ausfälle), greift der Ausschluss grundsätzlich nicht.
Auch Kollateraleffekte in anderen Staaten (z. B. in Deutschland oder EU-Mitgliedsstaaten) werden differenziert betrachtet und sind i.d.R. nicht vom Versicherungsschutz ausgeschlossen.
Prüfkriterienkatalog zur detaillierten Schadenprüfung
Der nachfolgende Prüfkatalog kann als Orientierung bei der Prüfung der Anwendbarkeit des Ausschlusses dienen:
Fazit
Moderne Cyber-Kriegs-Ausschlüsse greifen nur unter engen, klar definierten Voraussetzungen. Damit der Ausschluss wirkt, müssen staatliche Steuerung, ein Kriegskontext oder eine erhebliche staatliche Beeinträchtigung und eine nachweisbare Kausalität vorliegen. Die Beweislast für das Vorliegen dieser Voraussetzungen – und damit für die Anwendbarkeit des Ausschlusses – trägt in der Regel der Versicherer.
In der aktuellen Schadenpraxis (Stand März 2026) ist uns bisher kein Fall bekannt, in dem Versicherer versucht haben, im Zusammenhang mit der geopolitischen Lage den CyberKriegsAusschluss anzuwenden. Die Hürden bleiben hoch – insbesondere aufgrund der schwierigen Attribution und des Erfordernisses klarer Nachweise.
Sollten Sie zu diesem oder anderen Themen rund um die Cyber-Versicherung Fragen haben, so sprechen Sie unser Team gerne an!
