Top Themen Cyber Ecclesia Gruppe Versicherungen Digitale Sicherheit & Technik Cyberversicherung

Orientierung in unsicheren Zeiten

Versicherungsschutz bei Krieg und Terror: Gestaltungsspielräume und Haftungsfragen
Krieg und Terror sind keine neuen Phänomene, ihre versicherungstechnische Bewertung bleibt jedoch hochkomplex. In Zeiten wachsender Unsicherheit rücken Fragen nach dem Versicherungsschutz bei kriegsähnlichen Ereignissen und terroristischen Angriffen zunehmend in den Fokus. Für Unternehmen und Institutionen stellt sich die Herausforderung, Risiken richtig einzuschätzen und geeignete Absicherungen zu finden. Wir, die Ecclesia, stehen unseren Kunden dabei als verlässlicher Partner
zur Seite – mit fundiertem Risikomanagement, gezielten Risikoanalysen und tragfähigen Versicherungslösungen.

Katrin Gutseel, Teamleiterin Sach-/Technische Versicherung Markets, Daniel Schaefer, Spartenleiter Haftpflicht – Gesundheit, Kirche und Soziales, und Ben Schmidt, Teamleiter eccyber, geben Einblicke in die aktuelle Diskussion und zeigen, wie Unternehmen und Institutionen sich absichern können.

Sach- und Haftpflichtversicherung

Bei der Bewertung konkreter Szenarien ist eine Differenzierung nach Versicherungssparte unerlässlich. In der Sachversicherung sind bestimmte Ereignisse – etwa der Absturz oder Anprall von Flugkörpern wie Drohnen oder Flugzeugen – typischerweise über die Gefahr Feuer versichert. Auch wenn solche Schäden indirekt verursacht werden, sind sie in vielen Fällen mitversichert. Anders verhält es sich, wenn die vorgenannten Schäden in Zusammenhang mit einem Krieg stehen. Kriegsschäden gelten spartenübergreifend als nicht kalkulierbares
Risiko. „Ein Kriegsereignis ist für Versicherer nicht kalkulierbar – weder in der Sach- noch in der Haftpflichtversicherung. Deshalb sind solche Risiken traditionell ausgeschlossen“, verdeutlicht Daniel Schaefer.

Krieg: Definition und Abgrenzung

In der Sachversicherung gilt ein zentraler Grundsatz: der absolute Kriegsausschluss. Das bedeutet, Schäden sind nicht versichert, sobald Krieg auch nur eine Rolle spielt – egal ob als direkte oder indirekte Ursache. Ein Beispiel: Führt ein Stromausfall nach einer Bombardierung zu einem Feuer in einer Maschine, ist der Schaden nicht gedeckt – obwohl Feuer normalerweise eine versicherte Gefahr ist.

„Wenn irgendwo Krieg mitwirkt, ist der Schaden nicht versichert – auch wenn es nur eine indirekte Ursache ist. Durch die Formulierung ,ohne mitwirkende Ursachen‘ muss der Schaden nicht unmittelbar durch eine kriegerische Handlung entstehen. Es genügt, dass er ohne das
Kriegsereignis nicht eingetreten wäre“, betont Katrin Gutseel.

Die Beweislast für ein Kriegsereignis liegt dabei klar beim Versicherer. „Selbst wenn mehrere Drohnen gezielt eingesetzt werden, reicht das allein nicht aus, um ein Kriegsereignis im versicherungsrechtlichen Sinne zu begründen. Die Hürde für den Nachweis ist hoch – die Beurteilung hängt stark vom konkreten Kontext ab“, erklärt Daniel Schaefer.

Wenn irgendwo Krieg mitwirkt, ist der Schaden nicht versichert – selbst dann, wenn es nur eine indirekte Ursache ist.

– Katrin Gutseel, Teamleiterin Sach-/Technische Versicherung Markets

Terrorakte: Definition und Abgrenzung

Auch beim Thema Terror ist eine Einordnung nicht immer eindeutig. „Wenn eine Privatperson eine Drohne über ein Krankenhaus fliegt, um zu provozieren, ist das kein Terror. Solche Fälle wären in der Sachversicherung grundsätzlich versichert“, sagt Katrin Gutseel. Entscheidend ist die Absicht der handelnden Person für die Einordnung des Ereignisses im versicherungsrechtlichen Sinne. Terrorakte setzen voraus, dass Angst und Schrecken verbreitet werden sollen – mit politischer oder ideologischer Zielsetzung. Nicht jede Störung gilt als Terrorakt.
Auch hier gilt: Der Versicherer muss den Ausschluss beweisen.

Terrorrisiken und Deckungsmöglichkeiten

In der Haftpflichtversicherung sind entsprechende Ausschlüsse erst seit wenigen Jahren etabliert. Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) hat inzwischen Musterklauseln zum Kriegsausschluss entwickelt, welche am Markt gängig sind. Für Terror-
risiken existiert in Deutschland mit Extremus eine besondere Lösung. Extremus ist ein Spezialversicherer, der Großrisiken gegen Sach- und Betriebsunterbrechungsschäden durch Terrorakte absichert. Terrorrisiken sind seit den Anschlägen vom 11. September 2001 in New York ein fester Bestandteil versicherungstechnischer Diskussionen.

Katrin Gutseel: „Extremus springt ein, wenn es um sehr große Risiken geht – ab einer Versicherungssumme von 25 Millionen Euro. Für kleinere Summen kann in der Regel der Erstversicherer Lösungen anbieten.“

Gesetzliche Anforderungen und technische Schutzmaßnahmen

Das neue KRITIS-Dachgesetz verpflichtet Betreiber kritischer Infrastrukturen zu mehr Eigenverantwortung beim Objektschutz – etwa in Krankenhäusern. Was genau unter Objektschutz zu verstehen ist, bleibt von politischer Seite bislang offen. Die Anforderungen sind bewusst allgemein gehalten und reichen von Zugangskontrollen bis hin zu zumutbaren technischen Schutzmaßnahmen. „Die Diskussion über Objektschutz wird kommen – und sie muss geführt werden. Aber die Anforderungen sind noch nicht konkret definiert“, sagt Daniel
Schaefer. Im technischen Bereich gibt es bereits erste Lösungen, etwa zivile Drohnenabwehrsysteme, die über Störsender das Funksignal unterbrechen und eine automatische Rückkehr oder Notlandung auslösen. „Bei zivilen Drohnen kann ein Störsignal die Verbindung zur Fernsteuerung unterbrechen – die Drohne geht dann in den Notlandemodus oder kehrt zum Startpunkt zurück“, erklärt Daniel Schaefer. Ob solche Systeme auch gegen militärische Drohnen wirksam wären, ist derzeit unklar. „Es wäre verfrüht, Krankenhäusern jetzt zum Kauf solcher Systeme zu raten – die Technik ist noch nicht so weit und die Frage der Zumutbarkeit im Hinblick auf nicht bezifferbare Kosten wurde bislang nicht geklärt.“

Cyberversicherung und hybride Szenarien

Der Kriegsbegriff spielt auch in der Cyberversicherung eine Rolle. „Ein reiner Cyberangriff erfüllt nicht die Voraussetzungen für ein Kriegsereignis, denn hier liegt keine staatenübergreifende Auseinandersetzung mit Waffengewalt vor“, verdeutlicht Daniel Schaefer. Erst wenn ein bewaffneter Konflikt und ein Cyberangriff gleichzeitig stattfinden, kann von einem versicherungsrechtlich relevanten Kriegsereignis gesprochen werden. „Die gute Nachricht ist: Von einem solchen Szenario sind wir derzeit noch weit entfernt.“

Das KRITIS-Dachgesetz ist ein vom Bundeskabinett im September 2025 beschlossener Gesetzentwurf, der den Schutz kritischer Infrastrukturen (KRITIS) in Deutschland verbessern soll. Es schafft erstmals einen bundeseinheitlichen, sektorübergreifenden Rahmen für den physischen und organisatorischen Schutz dieser Einrichtungen.

Ein Kriegsereignis ist für Versicherer nicht kalkulierbar – weder in der Sach- noch in der Haftpflichtversicherung.
Deshalb sind solche Risiken traditionell ausgeschlossen.

– Daniel Schaefer Spartenleiter Haftpflicht – Gesundheit, Kirche und Soziales

Zwischen Versicherbarkeit und Grauzonen

„Cyberrisiken bergen immer ein hohes Schadenpotenzial“, betont Ben Schmidt. Besonders flächendeckende Angriffe auf kritische Infrastrukturen durch staatlich gesteuerte Akteure gelten als kaum versicherbar. „Die Gründe liegen in der hohen Kumulgefahr, der schwierigen Risikobewertung und der mangelnden Zurechenbarkeit.“ Kriegsähnliche Cyberattacken sind besonders problematisch, da sie „oft nicht klar von konventionellen Kriegshandlungen abgrenzbar sind und staatliche Beteiligung schwer nachweisbar ist“. Die Abgrenzung zu gewöhnlicher Cyberkriminalität bleibt eine Grauzone. „Wir orientieren uns an Kriterien wie Zurechenbarkeit zu einem Staat, geheimdienstlichen Informationen und Zielsetzung des Angriffs“, sagt Ben Schmidt. Präzedenzfälle wie Not-Petya zeigen, dass die Beweisführung komplex ist und meist nur auf Indizien basiert.

Cyberresilienz beginnt mit Risikoanalyse

eccyber kombiniert technische Sicherheitsanalysen mit versicherungsfachlicher Bewertung. Ben Schmidt: „Wir identifizieren Schwachstellen, bewerten die aktuelle Versicherbarkeit und leiten Optimierungsmaßnahmen ab.“ Unternehmen und Institutionen profitieren von „besseren Verhandlungspositionen, höheren Deckungschancen und einer schnelleren Reaktion im Schadenfall.“ Die
Verbindung von Prävention und Risikotransfer schafft „eine belastbare Grundlage für Cyberresilienz“.

Neue Anforderungen durch das KRITIS-Dachgesetz

Das KRITIS-Dachgesetz verpflichtet Betreiber kritischer Infrastrukturen zu Risikoanalysen, Resilienzplänen und Meldepflichten. „Versäumnisse bei der Umsetzung können haftungsrechtliche Konsequenzen haben – insbesondere bei Schäden durch Cyberangriffe oder
Systemausfälle“, warnt Ben Schmidt.

Wenn Cyberangriffe physisch werden

Digitale Angriffe mit physischen Auswirkungen gewinnen an Bedeutung. Ben Schmidt: „Cyber-Physical-Attacks, bei denen digitale Angriffe physische Schäden verursachen, berücksichtigen wir durch interdisziplinäre Risikoanalysen.“ Beispiele sind die Manipulation von Produktionsanlagen, die Übernahme von Fahrzeugen oder Drohnen sowie Angriffe auf medizinische Geräte.

Fazit: Sicherheit durch Expertise

Die jüngsten Ereignisse zeigen, dass die Bedrohungs- lage ernst genommen werden muss. Gleichzeitig ist es wichtig, realistisch zu bleiben. „Wir sollten das Thema ernst nehmen, aber nicht aufbauschen“, sagt Katrin Gutseel. Eine fundierte Risikoanalyse ist möglich, doch viele gesetzliche Regelungen sind noch nicht beschlossen. Die Ecclesia Gruppe begleitet ihre Kunden aktiv bei der Einschätzung und Absicherung komplexer Risiken – mit fachlicher Tiefe, Erfahrung und dem klaren Ziel, tragfähige Lösungen zu schaffen.

Cyberrisiken bergen immer ein hohes Schadenpotenzial. Die Gründe liegen in der hohen Kumulgefahr, der schwierigen Risikobewertung und der mangelnden Zurechenbarkeit.

– Ben Schmidt, Teamleiter eccyber

Orientierung in unsicheren Zeiten

Cyberversicherung

Neue Trends und Risiken bei der Managerhaftung

Cyberrisiken – Das ganzheitliche IT-Sicherheitsmanagement