Schnelle Antwort: Die meisten Cyberversicherungen für KMU, die vor 2024 abgeschlossen wurden, enthalten Ausschlussklauseln und Deckungslücken, die sie gegen KI-gestützte Angriffe — insbesondere Deepfake-Betrug, autonome Ransomware und KI-gesteuerte Social Engineering — praktisch nutzlos machen. Sie müssen Ihre Police jetzt überprüfen, bevor Ihr nächster Verlängerungszyklus beginnt, und zwar anhand der unten beschriebenen fünf Kriterien.
Ihr Versicherer hat Ihnen das wahrscheinlich nicht gesagt. Die Police, die in Ihrem Aktenschrank liegt — die Sie letzten April verlängert haben, ohne sie zu lesen — wurde mit ziemlicher Sicherheit für die Bedrohungslandschaft von 2019 konzipiert. Phishing-E-Mails von nigerianischen Prinzen. Script-Kiddie-Ransomware. Ein verärgerter Mitarbeiter, der mit einem USB-Stick abzieht.
Diese Welt ist verschwunden.
Was sie ersetzt hat, ist strukturell anders. KI-gestützte Cyberangriffe operieren jetzt mit Maschinengeschwindigkeit, mit menschlicher Überzeugungskraft, gegen Ziele jeder Größe. Und die unbequeme Wahrheit für KMU-Inhaber ist: Ihre Cyberversicherung könnte Ihr teuerstes falsches Sicherheitsgefühl sein.
Lassen Sie uns das Wesentliche klären.
Warum traditionelle Cyberversicherungen nie für KI-Bedrohungen konzipiert waren
Cyberversicherungen als Produktkategorie entwickelten sich zwischen 2012 und 2020. Versicherer bauten ihre aktuariellen Modelle auf bekannten Angriffsvektoren auf: Datenlecks, Ransomware mit festen Entschlüsselungsforderungen und Business Email Compromise (BEC), bei dem ein menschlicher Angreifer manuell betrügerische Überweisungsanfragen erstellt.
Die Rechnung ging auf. Verluste waren einigermaßen vorhersehbar. Die Vertragssprache wurde entsprechend formuliert.
Dann änderte sich die Angriffsfläche grundlegend auf drei Arten:
- Geschwindigkeit: KI-gesteuerte Ransomware-Kampagnen, wie solche, die autonome Tools zur Lateralbewegung nutzen, können ein gesamtes KMU-Netzwerk in weniger als vier Minuten kompromittieren — schneller, als jedes menschliche Incident-Response-Team mobilisieren kann.
- Skalierbarkeit: Angreifer nutzen jetzt große Sprachmodelle, um Tausende hyperpersonalisierter Phishing-Nachrichten gleichzeitig zu generieren. Ein Bedrohungsakteur. Millionen von Zielen. Keine Grenzkosten.
- Glaubwürdigkeit: Deepfake-Audio- und Video-Betrug (ein CFO erhält einen Echtzeit-Videoanruf von jemandem, der genau wie sein CEO aussieht und klingt) überwindet die "Rückruf zur Verifizierung"-Kontrollen, die Versicherer als Bedingung für die Deckung verlangen.
Dieser letzte Punkt sollte Ihnen schlaflose Nächte bereiten.
Die fünf Vertragsklauseln, die Ihren KI-Angriffsanspruch ablehnen werden
Nehmen Sie Ihre Police jetzt heraus. Suchen Sie nach jedem dieser Punkte:
1. Die "freiwillige Übertragung"-Ausschlussklausel
Wenn ein Mitarbeiter durch Social Engineering — selbst durch eine synthetische KI-Stimme oder einen Deepfake — dazu gebracht wurde, eine Zahlung zu autorisieren, stufen viele Versicherer dies als freiwillige Geldüberweisung ein. Deckung abgelehnt. Dieser Ausschluss wurde seit 2022 in mehreren Gerichtsverfahren in Großbritannien und den USA bestätigt.
2. "Unbewiesene Technologie" oder "neuartiger Angriffsvektor"-Sprache
Einige Policen schließen Verluste, die auf Angriffsmethoden zurückzuführen sind, die zum Zeitpunkt des Abschlusses der Police keine anerkannten Kategorien waren, ausdrücklich aus. KI-autonome Angriffe werden zunehmend unter dieser Klausel geprüft.
3. Kriegs- und feindliche Nationalstaaten-Ausschlüsse
Mercks wegweisender Streit mit seinen Versicherern über den NotPetya-Angriff im Wert von 1,4 Milliarden Dollar schuf einen Präzedenzfall. Viele KI-gestützte Angriffstools sind staatlich gesponsert oder staatsnah. Wenn ein Versicherer argumentieren kann, dass der Angriff von einem feindlichen Nationalstaatsapparat ausging, wird er dies tun.
4. Versagen "angemessener Sicherheitskontrollen"
Hier schaffen KI-Angriffe ein brutales Dilemma. Ihre Police verlangt "angemessene" Sicherheitskontrollen — MFA, Endpoint-Schutz, regelmäßiges Patchen. Aber KI-gestützte Angriffe überwinden diese Kontrollen gezielt. Eine KI, die MFA durch einen Echtzeit-Adversarial-in-the-Middle-Proxy-Angriff umgeht, kümmert es nicht, dass Sie die Zwei-Faktor-Authentifizierung aktiviert haben. Ihr Versicherer könnte argumentieren, die Kontrolle sei "fehlgeschlagen", was impliziert, dass Ihre Implementierung unangemessen war.
5. Untergrenzen für Social Engineering und Betrug
Selbst Policen, die BEC und Social Engineering-Betrug nominell abdecken, begrenzen diese Auszahlungen häufig auf 25.000 bis 50.000 £ — eine separate, viel niedrigere Untergrenze, die in einem Anhang versteckt ist. Die Hauptversicherungssumme von 1 Million £ ist für die häufigste Art von KI-gestützten Angriffen funktional irrelevant.
Wie KI-gestützte Angriffe im Jahr 2026 tatsächlich aussehen
Das Verständnis der Angriffsmechanismen hilft Ihnen, bessere Fragen zu stellen, wenn Sie die Deckung neu verhandeln.
Autonome Ransomware-as-a-Service (RaaS): Gruppen wie die Nachfolger von LockBit bieten jetzt KI-Module an, die Netzwerke automatisch nach den wertvollsten Daten durchsuchen, den optimalen Verschlüsselungszeitpunkt (3 Uhr morgens, Gehaltswoche) wählen und Lösegeldforderungen, die auf die Finanzgröße des Opfers zugeschnitten sind, unter Verwendung von gescrapten öffentlichen Daten automatisch generieren.