Die Police lag drei Jahre lang auf dem Schreibtisch des CFO, wurde stillschweigend für 2,3 Millionen Dollar jährlich verlängert – eine finanzielle Sicherheitsdecke, die sich als hauchdünnes Seidenpapier entpuppte.
Als eine mit Nordkorea verbundene Ransomware-Gruppe im Februar 2026 das in Baltimore ansässige Logistikunternehmen Meridian Freight Partners lahmlegte, 14 Terabyte Betriebsdaten verschlüsselte und 47 Millionen Dollar in Monero forderte, tat der Cyberversicherer des Unternehmens etwas, das die Branche schockierte: Er zahlte nichts. Null. Unter Berufung auf eine "Ausschlussklausel für staatlich gesponserte Akteure", die in Abschnitt 14(b) des Kleingedruckten der Police vergraben war, zog sich der Versicherer sauber – und vollkommen legal – aus der Affäre.
Meridian Freight ist nicht allein. In den Vereinigten Staaten und Westeuropa entfaltet sich gleichzeitig eine stille Katastrophe in den Vorstandsetagen und Gerichtssälen. Das Cyberversicherungsmodell, einst als finanzielles Rückgrat der unternehmerischen Resilienz gefeiert, zerbricht unter dem Gewicht einer Bedrohung, für die es nie konzipiert wurde.
Die Ausschlussklausel, die die Branche verschlungen hat
Das Problem entstand nicht über Nacht. Lloyd's of London verordnete seinen Syndikaten erstmals im August 2022, staatlich gesponserte Cyberangriffe von Standard-Geschäftspolicen auszuschließen. Bis 2024 hatte sich diese Formulierung in die Standardklauseln praktisch jedes großen Versicherers – Chubb, AIG, Beazley, Travelers – verlagert, wobei jeder seine eigene Variante dessen entwarf, was die Branche jetzt kalt "die Kriegsausschlussklausel" nennt.
Die Logik war versicherungsmathematisch fundiert: Versicherer können systemische Risiken auf Nationalstaaten-Ebene nicht modellieren, bepreisen oder absorbieren, so wie sie einen Ransomware-Angriff durch ein kriminelles Kollektiv, das aus Osteuropa gewinnorientiert agiert, absorbieren können. Wenn eine Regierung Cyberwaffen als Instrument der Außenpolitik einsetzt, gleicht das Potenzial für kaskadierende, gesamtwirtschaftliche Schäden eher einer Naturkatastrophe als einem einzelnen Unternehmensvorfall.
Das Problem ist die Zuschreibung – und genau hier bricht die gesamte Struktur für die Versicherungsnehmer zusammen.
"Die Ausschlussklauseln sind mit außerordentlicher Mehrdeutigkeit verfasst", sagt Dr. Priya Venkataramaiah, Cyberrisikoökonomin bei der Brookings Institution. "Versicherer müssen eine staatliche Förderung nicht zweifelsfrei beweisen. Sie müssen sie nur plausibel behaupten, und im aktuellen Bedrohungsumfeld kann fast jede hochentwickelte Ransomware-Gruppe mit genügend Indizien lose mit einem staatlichen Akteur in Verbindung gebracht werden."
Die Zuschreibung ist das neue juristische Schlachtfeld
Im Jahr 2025 schrieb die U.S. Cybersecurity and Infrastructure Security Agency (CISA) formal 61 % der Ransomware-Vorfälle mit hoher Auswirkung Gruppen zu, die "bestätigte oder wahrscheinliche" Verbindungen zu Russland, China, Iran oder Nordkorea aufweisen. Diese Statistik, die zur Information der nationalen Sicherheitspolitik dienen sollte, lieferte den Versicherern eine geladene juristische Waffe.
Betrachten Sie die Rechnung aus Sicht eines Versicherers. Wenn die Mehrheit der bedeutenden Angriffe eine Sprache aufweist, die einen staatlichen Bezug zuschreibt, kann die Ausschlussklausel theoretisch auf die Mehrheit der größten und teuersten Schadensfälle angewendet werden. Das Ergebnis ist ein Finanzinstrument, das bei ruhigem Wetter Prämien einsammelt und das Gebäude evakuiert, wenn der Sturm aufzieht.
Drei separate Bundesklagen, die im ersten Quartal 2026 eingereicht wurden – betreffend ein texanisches Krankenhausnetzwerk, einen kalifornischen Halbleiterhersteller und eine in Chicago ansässige Finanzclearingstelle – fechten alle Ablehnungen der Deckung an, die auf Ausschlussklauseln für staatliche Akteure basieren. Rechtsexperten erwarten, dass diese Fälle bis Ende 2027 die Bundesberufungsgerichte erreichen werden, aber für Unternehmen, die jetzt Liquidität benötigen, ist ein Rechtsstreit ein schwacher Trost.
Das Prämienparadoxon
Hier ist die grausame Ironie, die Unternehmensrisikobudgets zerreißt: Auch wenn der Versicherungsschutz schrumpft, sind die Prämien nicht gesunken.
Die Tarife für Cyberversicherungen stiegen 2025 um durchschnittlich 34 %, laut der jährlichen Benchmarking-Umfrage der Risk & Insurance Management Society. Versicherer rechtfertigen die Erhöhungen mit der steigenden Vorfallsfrequenz und den eskalierenden Kosten für Vorfallsreaktion, forensische Untersuchung und Regulierungsabwehr – Kosten, die weiterhin gedeckt sind, auch wenn die eigentliche Lösegeld- und Wiederherstellungszahlung ausgeschlossen ist.
Was Unternehmen jetzt praktisch kaufen, ist eine teure Police, die die Krankenwagenfahrt, aber nicht den Krankenhausaufenthalt abdeckt.