Auf einen Blick: Cyber-Policen 2026 enthalten neue KI-spezifische Klauseln. Shadow-AI-Ausschluss bei fehlender Policy, Deepfake-Ausschluss in einigen Verträgen, Halluzinations-Schäden noch selten geregelt. Nur 17 Prozent der deutschen KMU haben überhaupt eine Cyber-Versicherung. Was du bei der Vertragsverhandlung prüfen musst und welche Hebel du hast.
Im April 2026 hat ein Mittelständler aus dem Rhein-Main-Gebiet eine Erfahrung gemacht, die exemplarisch für das Jahr ist. Ein Mitarbeiter hat über ChatGPT Free einen Kundenbrief geschrieben, die KI hat einen halluzinierten Rabatt von 18 Prozent eingebaut, der Kunde hat den Rabatt eingefordert. Schaden: 24.000 Euro. Der Cyber-Versicherer hat die Deckung abgelehnt, weil die Firma keine schriftliche KI-Nutzungs-Policy hatte. "Grobe Fahrlässigkeit", so die Begründung. Das ist 2026 keine Ausnahme mehr. Versicherer haben in den letzten 18 Monaten ihre Cyber-Policen umgebaut, und ohne dass man hingeschaut hat, sind neue Ausschlüsse in die AGB gewandert.
Was die deutsche KMU-Realität 2026 ist
Eine Zahl vorweg, die das Problem größer macht, als die meisten ahnen. Stand 2026 haben nur 17 Prozent der KMU in Deutschland eine Cyber-Versicherung abgeschlossen (Quelle: Securitytoday 03/2026). 83 Prozent haben keine. Bei jährlich rund 4.300 ernsthaften Cyber-Vorfällen mit signifikantem Schaden ist die Versicherungslücke groß.
Wer überhaupt versichert ist, hat oft eine Police, die in den letzten zwei Jahren nicht angefasst wurde. Genau in dieser Zeit sind aber die wichtigen KI-Klauseln in den Versicherungsmarkt eingewandert. Wer eine Police aus dem Jahr 2023 oder 2024 ungelesen weiterlaufen lässt, deckt das KI-Risiko 2026 typischerweise nicht ab.
Munich Re hat in einem Branchenbericht von Anfang 2026 zur Einschätzung geschrieben, dass agentische KI eher die Häufigkeit der Cyber-Angriffe beeinflusst als die Schadenshöhe. Konkret: Mehr Angriffe, vor allem durch KI-generiertes Phishing und Deepfakes, aber die durchschnittliche Schadenshöhe pro Vorfall steigt nur moderat. Das ist gute Nachricht und schlechte Nachricht zugleich. Schlecht, weil mehr Versicherte gleichzeitig Schäden melden. Gut, weil die Versicherer den Markt nicht in Panik räumen.
Was die neuen KI-Klauseln konkret regeln
Drei Klauseln tauchen in den Cyber-Policen 2026 immer häufiger auf.
Der Shadow-AI-Ausschluss. Wer KI-Tools nutzt, für die kein offizieller Freigabe-Prozess existiert, handelt nach Auffassung der Versicherer grob fahrlässig. Wenn dadurch ein Schaden entsteht (Datenleck, Halluzinations-Schaden, KI-erzeugter Phishing-Inhalt, der weiterverbreitet wird), wird die Deckung typischerweise verweigert. Die Begründung lautet, dass die Versicherung das Risiko nicht bewerten konnte, weil das Tool im Antrag nicht angegeben war.
Der Deepfake-Ausschluss. Einige Policen schließen Schäden aus KI-generierten Deepfake-Angriffen explizit aus oder verlangen einen Aufpreis. Hintergrund: Im Versicherungsmarkt 2025/26 gab es einige aufsehenerregende Fälle, in denen Mitarbeiter über Deepfake-Calls zu Überweisungen verleitet wurden. Die Versicherer reagieren mit Ausschlüssen oder mit höheren Prämien für diese Risiko-Klasse.
Halluzinations-Schäden. Stand Mai 2026 sind diese in den meisten Policen nicht explizit geregelt. Wenn deine KI einem Kunden eine falsche Auskunft gibt und der Kunde Schaden erleidet, ist nicht klar, ob das unter klassische "Datenverarbeitungs-Schäden" fällt oder nicht. Nach dem OLG-Hamm-Urteil vom 12.05.2026, Az. 4 UKl 3/25, ist das für Versicherer ein konkretes Risiko geworden. Erste Versicherer arbeiten an expliziten Klauseln, vereinzelt mit aktiver Deckung, öfter mit Ausschluss.
Was du als Versicherter aktiv prüfen musst
Vor der Vertragsverhandlung oder Erneuerung prüfst du sechs Punkte.
Eine schriftliche KI-Nutzungs-Policy. Das ist der wichtigste Hebel. Wer schriftlich dokumentiert hat, welche KI-Tools im Unternehmen freigegeben sind, wer sie nutzen darf, welche Daten in welches Tool gehen dürfen und welche tabu sind, hat den Shadow-AI-Ausschluss bereits entschärft. Der Versicherer kann dann nicht mehr argumentieren, dass das KI-Risiko unbekannt war.
Halluzinations-Klausel aktiv ausverhandeln. Stand Mai 2026 gibt es vereinzelt Anbieter mit aktiver Halluzinations-Deckung. Wenn dein Unternehmen KI in der Kundenkommunikation einsetzt (Chatbot auf der Webseite, KI-gestützte E-Mail-Antworten, automatisierte Angebote), solltest du diese Klausel aktiv anfragen. Manche Versicherer bieten sie als Erweiterung an, andere lehnen ab. Beides solltest du dokumentiert haben.
KI-Beauftragter als Schadenminderungs-Faktor. Wer einen bestellten oder beauftragten KI-Beauftragten hat, kann das im Antrag angeben. Versicherer werten das als positiven Faktor, manche räumen Prämien-Reduktionen von 5 bis 10 Prozent ein. Mehr zur Rolle und zum Stundenbudget findest du im Spezial-Artikel zum KI-Beauftragten im KMU.
Audit-Log als Schadensnachweis. Wenn etwas schief geht und der Versicherer die Deckung prüfen will, ist eine vollständige Dokumentation der KI-Aktionen ein Vorteil. Wer pro Bewerbung, pro Angebot, pro Kundenanfrage festhält, welches KI-Tool was geliefert hat und welcher Mensch das geprüft hat, kann im Streitfall belegen, dass die Sorgfaltspflichten erfüllt waren.
Mindest-Anforderungen 2026: MFA, EDR, getesteter Incident-Response-Plan. Diese drei Bausteine sind Stand Mai 2026 in fast allen Cyber-Policen Voraussetzung für Deckung. Wer hier Lücken hat, fällt schon vor der KI-Diskussion durch.
Zusätzliche häufige Voraussetzungen: verschlüsselte Offline-Backups (Schutz gegen Ransomware-Schäden), regelmäßige Vulnerability-Scans, Mitarbeiter-Trainings gegen KI-Phishing. Letztere sind 2026 in den Branchen-Standard gewandert. Wer keine jährlichen Phishing-Schulungen mit aktuellen KI-Bedrohungen durchführt, riskiert die Deckung.
Versicherungssumme und Prämie 2026
Für KMU mit 5 bis 50 Mitarbeitern liegen typische Versicherungssummen zwischen 500.000 Euro und 5 Mio Euro Deckung. Die Prämie liegt typisch zwischen 0,15 und 0,4 Prozent der Versicherungssumme pro Jahr, je nach IT-Reife und Branche.
Ein Beispiel: Ein Maschinenbau-Mittelständler mit 35 Mitarbeitern, der eine Deckung von 2 Mio Euro abschließt, zahlt bei guter IT-Reife etwa 4.000 Euro pro Jahr, bei schwacher IT-Reife eher 6.000 bis 8.000 Euro. Wer Hochrisiko-KI nach Anhang III einsetzt (HR-Scoring, kritische Infrastruktur), zahlt 20 bis 40 Prozent Aufpreis.
Typische Deckungsbereiche 2026: System-Ausfall (Betriebsunterbrechung), Incident Response (forensische Untersuchung, Rechtsberatung), Datenwiederherstellung, Cyber-Erpressung (Lösegeld nach Vorab-Genehmigung). Hinzu kommen oft Haftpflicht-Bausteine für Schäden bei Geschäftspartnern.
Praxis: Vogel Elektronik in Nürnberg
Ein anonymisiertes Beispiel aus dem Beratungsalltag. Vogel Elektronik, ein Mittelständler mit 110 Mitarbeitern in Nürnberg, hat im Februar 2026 die Cyber-Versicherung erneuert. Bestehende Police aus 2023 mit 1,5 Mio Euro Deckung und 3.200 Euro Jahresbeitrag.
Was hat das Team gemacht? Erstens eine Bestandsaufnahme aller KI-Tools im Unternehmen. Ergebnis: 12 produktive Tools, davon vier mit klarem Geschäftsbezug (Personio mit KI-Modul, ChatGPT Team, Claude Team, ein Branchenspezifisches Diagnose-Tool). Acht weitere wurden als "im Einzelfall genutzt" identifiziert, davon einige Free-Accounts.
Zweitens eine schriftliche KI-Nutzungs-Policy. Drei Tools wurden offiziell freigegeben, mit AVV nach Art. 28 DSGVO und Schulung der Mitarbeiter. Die übrigen wurden entweder genehmigt und in Team-Tarife migriert oder explizit verboten. Die Policy umfasst zwei DIN-A4-Seiten und ist Bestandteil des Mitarbeiter-Handbuchs.
Drittens die Verhandlung mit dem Versicherer. Der Erstanbieter hat die Police mit Shadow-AI-Ausschluss und ohne Halluzinations-Deckung erneuert. Ein zweites Angebot von einem Konkurrenz-Anbieter enthielt eine aktive Halluzinations-Klausel und keine Deepfake-Ausnahmen. Vogel hat gewechselt. Neue Police: 2 Mio Euro Deckung, 4.100 Euro Jahresbeitrag, Halluzinations-Klausel aktiv, Deepfake-Schutz inkludiert.
Vier Monate später, im Juni 2026, hat ein Mitarbeiter über den freigegebenen Claude Team einen Kundenbrief geschrieben. Die KI hat eine falsche Preisangabe halluziniert, der Kunde hat reklamiert, der Schaden lag bei 6.800 Euro. Die Versicherung hat gezahlt, weil die Nutzungs-Policy bestand und das Tool freigegeben war. Ohne den Wechsel wäre die Deckung verweigert worden.
Wer das unterschätzt
In Beratungsmandaten sehen wir regelmäßig drei typische Fehlmuster. Das erste ist die ungeoffnete Police. Der Vertrag läuft seit 2023, niemand hat ihn seitdem angefasst, im Schadensfall stellt sich heraus, dass die Klauseln das aktuelle KI-Risiko gar nicht abdecken.
Das zweite ist die "wir sind doch versichert"-Annahme. Geschäftsführer gehen davon aus, dass die bestehende Police alles abdeckt, was mit Computer-Schäden zu tun hat. Die Realität 2026 ist anders. KI-Schäden sind eine eigene Risiko-Klasse mit eigenen Klauseln.
Das dritte ist die Shadow-AI-Falle. Mitarbeiter nutzen ChatGPT Free, Gemini, Perplexity privat für berufliche Aufgaben, ohne dass die Geschäftsführung das weiß. Wenn dadurch ein Schaden entsteht, fällt das unter Shadow AI, und die Cyber-Versicherung lehnt ab.
Wer das vermeiden will, geht in drei Schritten vor. KI-Inventory, schriftliche Policy, Versicherungs-Verhandlung. Wer einen davon überspringt, hat das Risiko nicht reduziert, sondern nur verschoben. Mehr dazu, wie du Shadow AI im KMU strukturiert in den Griff bekommst, steht im Artikel über Datenschutz bei KI-Tools.
Wer das Thema systematisch durchdringen will, findet im Digitalisierungsmanager die passenden Module. Vier Monate, komplett online, mit Bildungsgutschein 0 Euro. Die Module zu KI-Compliance, Cybersecurity und Lieferanten-Management decken auch die Versicherungs-Themen ab.
Welche Anbieter Stand Mai 2026 KI-Klauseln anbieten
Der Markt ist 2026 in Bewegung. Folgende Anbieter bieten KI-erweiterte Cyber-Policen an: AIG, Allianz, ERGO, Munich Re, Zürich, Hiscox. Die Tiefe der KI-Klauseln variiert deutlich. Bei der Auswahl achtest du auf vier Punkte: Shadow-AI-Ausschluss-Bedingungen, Deepfake-Deckung, Halluzinations-Klausel, AGG- und DSGVO-Schäden bei KI-bedingten Diskriminierungen.
Wer auf Nummer sicher gehen will, holt drei Angebote ein und vergleicht nicht nur die Prämie, sondern die Ausschluss-Liste. Ein Angebot kann auf den ersten Blick günstiger sein, weil die wichtigen KI-Schäden ausgeschlossen sind. Ein zweites Angebot kann teurer wirken, aber den entscheidenden Fall im Streit decken.
Versicherungsmakler mit Cyber-Spezialisierung sind 2026 ein klarer Mehrwert. Wer keinen hat, sollte beim VV (Versicherungsvermittler) im Antrag explizit nach KI-Klauseln fragen. Wenn der VV nichts dazu sagen kann, wechselt der VV.
Häufige Fragen
Was ist der Shadow-AI-Ausschluss in Cyber-Policen 2026?
Die Klausel besagt, dass Schäden durch KI-Tools, die nicht in einer schriftlichen Nutzungs-Policy freigegeben sind, als grobe Fahrlässigkeit gelten und damit nicht gedeckt sind. Hintergrund: Versicherer wollen verhindern, dass Mitarbeiter heimlich Free-Accounts nutzen und der Versicherer für Schäden aufkommt, die er im Antrag nicht bewerten konnte.
Sind Halluzinations-Schäden 2026 in Cyber-Policen abgedeckt?
In den meisten Standard-Policen ausdrücklich nicht. Stand Mai 2026 gibt es vereinzelt Anbieter mit aktiver Halluzinations-Deckung, oft als kostenpflichtige Erweiterung. Nach dem OLG-Hamm-Urteil vom 12.05.2026 reagiert der Markt. Wer die Klausel wichtig findet, muss sie aktiv ausverhandeln, sonst ist sie nicht enthalten.
Wieviel kostet eine Cyber-Versicherung für KMU 2026?
Typisch zwischen 0,15 und 0,4 Prozent der Versicherungssumme pro Jahr. Bei einer Deckung von 2 Mio Euro und guter IT-Reife sind das etwa 3.000 bis 4.500 Euro pro Jahr. Wer Hochrisiko-KI nach Anhang III einsetzt, zahlt 20 bis 40 Prozent Aufpreis. Mindest-Anforderungen wie MFA, EDR und getesteter Incident-Response-Plan sind 2026 Voraussetzung für überhaupt eine Police.
Was passiert, wenn ein Mitarbeiter unerlaubt KI nutzt und dabei ein Schaden entsteht?
In der Regel verweigert der Versicherer die Deckung unter Verweis auf den Shadow-AI-Ausschluss. Wer eine schriftliche KI-Nutzungs-Policy hat, die den Einsatz unerlaubter Tools explizit verbietet, kann argumentieren, dass das Fehlverhalten dem Mitarbeiter zuzurechnen ist. Im Idealfall greifen dann ergänzende Bausteine der Police (z.B. Vertrauensschaden). Ohne Policy ist der Versicherungsschutz im Streitfall sehr schwach.
Über den Autor
Dr. Jens Aichinger ist promovierter Wirtschaftspädagoge und Inhaber von SkillSprinters, einem DEKRA-zertifizierten Bildungsträger. Er entwickelt seit 2024 KI-gestützte Weiterbildungs- und Prozessautomatisierungslösungen für den Mittelstand. Über Skill-Sprinters läuft auch der Digitalisierungsmanager, eine 4-monatige geförderte Weiterbildung.
Bereit für den nächsten Schritt? Wenn du KI-Risiken im KMU systematisch absichern willst, statt nur auf den Versicherer zu hoffen, schau dir den Digitalisierungsmanager an. Vier Monate, komplett online, mit Bildungsgutschein 0 Euro.
Zuletzt geprüft am 25. Mai 2026.
Bereit für deinen nächsten Karriereschritt?
Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.