Überall schnell in KI-Projekte rein hüpfen, und wenn es schief geht, weil Regulierer ein fettes Bußgeld verhängen oder ein Cyberangriff das Unternehmen schädigt, eine Cyberversicherung beteiligen? Die Versicherer unternehmen inzwischen Schritte, um die Regulierung bei KI-Risiken zu begrenzen – und solche Versicherungen werden teuer.
Wer sich als Beobachter die diversen KI-Lösungen, die so propagiert werden, und auch durchgeführte KI-Projekte ansieht, muss gelegentlich am Verstand der Verantwortlichen zweifeln. Da werden durch AI-Agenten riesige Sicherheitslücken aufgerissen und täglich kann man über entsprechende Untersuchungen lesen. Für die Anbieter von Cyberversicherungen gäbe es eigentlich ein riesiges Geschäftsfeld, aber deren Mathematiker haben zu rechnen begonnen. Und jetzt werden die Folge sichtbar. Gerade bin ich über nachfolgenden Tweet auf das Thema gestoßen.
Die Aussage lautet, dass KI-Risiken zum "Pricing-Problem" für die Cyberversicherung werden. Die Anbieter von Cybersecurity-Versicherungen beginnen, die Zahlungen im Fall von KI-bedingten Cyberschäden aktiv zu begrenzen. Vidhya Edwards Munnangi hat zum 23. April 2026 auf Yahoo-Finance den Beitrag Insurers move to cap payouts for AI-related cyber losses and fines veröffentlicht.
Versicherer versuchen potenzielle Haftungsrisiken im Zusammenhang mit der Entwicklung der KI-Technologie einzudämmen und zu begrenzen. In den Policen werden neue Einschränkungen bei der Auszahlung von Entschädigungen für Cybervorfälle und behördliche Strafen im Zusammenhang mit KI eingeführt, heißt es.
Die Anbieter QBE und Beazley gehören zu den Versicherern, die strengere Obergrenzen für bestimmte KI-bezogene Schadensfälle in ihren Versicherungsbedingungen eingefügt haben. Das berichtete die Financial Times (FT) unter Berufung auf Makler und eingesehene Dokumente.
QBE habe eine "Haftungsgrenzen" für Vorfälle im Zusammenhang mit "Large Language Model (LLM) Jacking" eingeführt. Das ist einer Form des Missbrauchs, bei der Kriminelle in von Unternehmen genutzte LLMs eindringen, um diese LLMs zu nutzen und Nutzungsgebühren zu umgehen. Im Artikel heißt es, dass nach dem Wortlaut von QBE eine Cyber-Police mit einer Gesamtdeckungssumme von bis zu 5 Millionen US-Dollar nur rund 250.000 US-Dollar für Schäden aus LLM-Jacking bereitstellen würde.
Auch Versicherer Beazley hat wohl Vertragsbedingungen vorgelegt, die darauf abzielen, seine Haftung für KI-bezogene Schäden im Zusammenhang mit Verstößen gegen Vorschriften zu beschränken.
Die Versicherer argumentieren, dass diese Haftungsbegrenzungen bestätigen, dass KI-Risiken im Versicherungsschutz enthalten sind. Versicherungsmakler und Anwälte, die Unternehmen als Versicherungsnehmer beraten, äußerten jedoch Bedenken, dass die Bestimmungen später weiter gefasst werden könnten. Dadurch würde der Schutz vor anderen sich entwickelnden KI-bezogenen Risiken über LLMjacking hinaus eingeschränkt.
Aus Makleraussagen und der FT vorliegenden Unterlagen lässt sich herauslesen, dass die Höchstdeckungssummen für KI-bedingte Schäden bei beiden Versicherern auf etwa 10 % der gesamten Versicherungssumme begrenzen würden. Die Versicherer negieren zwar, dass sie sich aus der Haftung für KI-Schäden zurückziehen. Aber Versicherer hätten bereits zuvor die Genehmigung der US-Aufsichtsbehörden eingeholt, um KI-bezogene Schäden aus Unternehmensversicherungen auszuschließen.
Sieht ein wenig wie "Götterdämmerung" bei der Regulierung von KI-bedingten Schäden aus. Die Versicherer können offenbar rechnen und die Entwicklung interpretieren. Die sehen eher Risiken und Kosten, und nicht die gigantischen Fortschritte, die Unternehmen beim KI-Einsatz von den Anbietern versprochen werden.
MVP: 2013 – 2016
Meiner Meinung nach mehr als richtig! Wenn du dir KI ins Haus holst und da Löcher reißt und Schiffsbruch erleidest ist das grob fahrlässig! Warum also sollten da Versicherungen überhaupt zahlen? Mehr als fair, das die sagen ok wir decken das ab aber nur zu xx % oder zum xxxfachen der Prämie.
Versicherungen leben von Statistik der bisherigen Schadensfälle.
Vor zehn Jahren waren diese Produkte neu und man mußte schätzen – damals viel zu niedrig. Zudem ist IT ein sehr variables Geschäftsfeld, viele Risiken (und gesetzliche Auflagen) gab es da so noch nicht.
Sehr ich prinzipiell genauso. Allerdings: Wenn die Versicherungen die Kosten im Schadensfall nicht übernehmen, wer dann? Die meisten Firmen haben gar nicht die finanziellen Ressourcen, um erhebliche Schäden zu begleichen. Dann wären im Schadensfall die Kunden und Lieferant die Gelackmeierten.
Dann gehen zu risikoreiche Unternehmen in die Insolvenz. Wer KI einsetzt ohne auf die Sicherheit zu achten muss dann die Folgen tragen bis hin zur Insolvenz. So etwas nennt sich unternehmerisches Risiko.
…und es wäre in dem Fall auch schön, wenn die verantwortlichen Entscheider dann auch tatsächlich zur Verantwortung gezogen würden, was ja leider aus der Mode gekommen ist.
So ist das dann eben wenn man als Firma unwägbare Risiken eingeht.
Nachvollziehbar. Im Grunde wie bei Atomkraftwerken: Nicht versicherbar. Also werden die Zahlungen gedeckelt. Und wie bei Atomkraftwerken wird die Politik IMHO die Unternehmen aus der vollständigen Haftung entlassen. Wahlweise durch Übernahme wie bei den AKWs oder Freistellung per Gesetz.
Dafür muß man nicht immer gleich Atomkraftwerke bemühen. Auch Krankenversicherungen können von der Risikolast überfordert werden (konkret z.B. die damalige BKK Mann+Hummel, die u.a. wegen einem sehr teuren medizinischen Eintelfall 2010 in Schieflage geriet und fusionieren mußte). Von der aktuellen Situation ganz abgesehen.
Kein Wunder bei aktuell 65% AI-Einsatz in der deutschen Industrie, das ganze wird sonst zu teuer. :-)
Wer will schon gerne Lemminge gegen Stürze versichern, die im Blindflug über die Klippe springen?
ob mit oder ohne KI: IT ist nicht versicherbar.
Es sei denn, man trennt alles vom Internet und kann ein (funktionierendes) Backup außer Haus vorweisen.
Es kommt immer wieder mal vor, dass ich von Kunden auf die Sinnhaftigkeit von IT-Versicherungen angesprochen werde. Ich entgegne dann immer gerne: "Schaut euch die geforderten Voraussetzungen der Versicherung in den AGB's oder Vertragsentwürfen an.". Und siehe da: keine Firma hat bisher einen Vertrag abgeschlossen – denn das Problem ist folgendes: wenn die Firma alle Voraussetzungen für so einen Vertrag erfüllt, dann braucht sie diesen eigentlich nicht mehr. Die Hard- und Software muss derart vernagelt und geprüft/getestet sein, dass danach sowieso (fast) nix mehr passieren kann. (Ironie an:) Optimal wäre natürlich noch zusätzlich das Abschalten des Internent (/Ironie aus).