KI-Versicherung 2026: Cyber- und Haftpflicht-Policen für KI-spezifische Risiken

Für viele CFOs im Mittelstand gehören Cyber- und Haftpflichtversicherungen zur Grundausstattung. Seit generative KI, Deepfakes und automatisierte Entscheidungssysteme im Alltag angekommen sind, stellt sich jedoch eine neue Frage: Deckt Ihre bestehende Police einen KI-Schaden klar ab oder bewegt sich der Versicherer in einem Graubereich?

Hier setzt eine moderne Kombination aus Cyber-Police und spezialisierter KI-Haftpflichtversicherung an. Entscheidend ist, wie verständlich KI-Risiken beschrieben, bewertet und mit Nachweisen belegt sind. Ohne diese Vorarbeit bleiben Deckungslücken, die im Ernstfall schnell existenzbedrohend werden können.

Wie KI Cyber- und Haftungsrisiken seit 2025 verändert hat

Seit 2025 hat sich das Risikoprofil im Mittelstand deutlich verändert. KI-Systeme schreiben E-Mails, bewerten Angebote, steuern Produktionsanlagen und kommunizieren mit Kunden. Fehler, Manipulation oder Missbrauch dieser Systeme führen zu neuen Schadenbildern, die klassische Policen oft nur teilweise erfassen.

Ein Beispiel sind Deepfake-CEO-Anrufe, die Zahlungsfreigaben auslösen, oder KI-gestützte Phishing-Kampagnen, die echte Lieferantenkommunikation nachahmen. Laut Hiscox waren 2025 rund 64 % der deutschen Unternehmen innerhalb eines Jahres von mindestens einem Cyberangriff betroffen. Die Kombination aus KI und Cyberkriminalität verschärft diese Angriffe qualitativ deutlich.

Parallel steigt der regulatorische Druck. Der EU AI Act verlangt ein strukturiertes Risikomanagement für bestimmte KI-Systeme. NIS2 erhöht die Anforderungen an die IT-Sicherheit. Die DSGVO bleibt der Maßstab für den Umgang mit personenbezogenen Daten. Versicherer reagieren darauf, fragen gezielt nach KI-Risiken und nehmen KI-Klauseln in Versicherungsverträge auf.

KI-Risiko ist kein reines IT-Thema mehr

KI-Risiken wirken direkt auf Haftung, Bilanz und Versicherbarkeit. Wer sie nur als IT-Sicherheitsfrage behandelt, verhandelt seine Policen mit stumpfen Waffen.

Was Sie davon mitnehmen: KI-Risiken wirken direkt auf Haftung, Bilanz und Versicherbarkeit.

Was klassische Cyber-Policen bei KI-Vorfällen tatsächlich abdecken

Viele Cyber-Policen wurden entwickelt, als KI im Mittelstand kaum genutzt wurde. Sie decken meist Datenverlust, Betriebsunterbrechung nach einem Angriff, forensische Dienstleistungen und Haftpflichtansprüche Dritter ab. Ob ein KI-System den Angriff ausgelöst, verstärkt oder nur verarbeitet hat, ist häufig nicht ausdrücklich geregelt.

In der Praxis bedeutet das: Ein klassischer Ransomware-Angriff ist meist klar abgedeckt. Wenn jedoch ein KI-System fehlerhaft trainiert wurde, dadurch falsche Zahlungsanweisungen erstellt und ein Angreifer diese Schwachstelle ausnutzt, kann der Versicherer dies als nicht versicherten Bedien- oder Konfigurationsfehler einstufen. Hier braucht es eine eindeutige KI-Klausel in der Cyber-Police.

Hinzu kommt die Frage der Vermögensschäden. Eine eigenständige KI-Haftpflichtversicherung oder eine erweiterte Vermögensschadenhaftpflicht kann nötig sein, wenn KI-gestützte Entscheidungen bei Kunden oder Lieferanten zu finanziellen Schäden führen. Ohne klare Definition, was ein „KI-Schaden“ ist, drohen langwierige Streitfälle.

Viele Versicherer beginnen daher, eine explizite Cyber-Police mit KI-Klausel zu verlangen. Parallel erwarten laut Branchenumfragen ein Großteil der IT-Unternehmen klare KI-Regelungen in Versicherungsverträgen. Das erhöht den Druck auf CFOs, ihre Verträge zu aktualisieren und intern eine belastbare KI-Risiko-Inventur aufzubauen.

Was Sie davon mitnehmen: Viele Versicherer beginnen daher, eine explizite Cyber-Police mit KI-Klausel zu verlangen.

Praxisbeispiel: Maschinenbau

Ein mittelständischer Anlagenbauer mit 280 Mitarbeitenden nutzte im Vertrieb ein KI-System, das Angebotsanfragen vorqualifizierte und automatisch Antwortentwürfe erstellte. Ein Angreifer setzte KI-gestütztes Phishing ein und gab sich als langjähriger Kunde aus. Die KI stufte die Anfrage als „Top-Priorität“ ein. Ein Mitarbeiter übernahm den Entwurf fast unverändert. Es kam zu einer sechsstelligen Fehlüberweisung. Die bestehende Cyber-Police beschrieb KI-Fälle nur vage. Der Versicherer stellte die Deckung in Frage.

In einem KI-Projekt mit sensified wurde zunächst eine technische und prozessuale KI-Risikoanalyse durchgeführt. Auf Basis von VVG, EU AI Act und NIS2 wurden die relevanten KI-Systeme erfasst, ihre Kritikalität bewertet und mögliche Angriffspfade dokumentiert. Anschließend implementierte sensified ein Monitoring auf einer gemanagten KI-Plattform. Diese erkannte KI-gestützte Kommunikationsmuster und Auffälligkeiten in Zahlungsprozessen. Die Ergebnisse flossen in eine strukturierte Dokumentation ein, die als Grundlage für die Verhandlung einer klaren KI-Klausel in der Cyber-Police diente.

Der Versicherer akzeptierte die Dokumentation als Nachweis für ein angemessenes Risikomanagement. Die Police wurde um eine spezifische KI-Klausel ergänzt, die KI-getriebene Phishing-Angriffe ausdrücklich als versicherten Fall nennt. Gleichzeitig wurde die Deckungssumme so angepasst, dass Sie zur Risikomanagementpflicht nach EU AI Act passt. Für den CFO ergab sich ein klarer Nutzen: Die Deckungssumme für KI-relevante Schäden konnte erhöht werden, ohne dass die Prämie im Verhältnis zur möglichen Schadenshöhe stark anstieg. Der nächste Security-Audit verlief nachweislich reibungsloser.

Was Sie davon mitnehmen: Der Versicherer akzeptierte die Dokumentation als Nachweis für ein angemessenes Risikomanagement.

Praxisbeispiel: Handel

Ein technischer Großhändler mit 220 Mitarbeitenden war innerhalb weniger Monate mit mehreren Deepfake-CEO-Fraud-Versuchen konfrontiert. Angreifer nutzten täuschend echte Sprach- und Videoimitate der Geschäftsführung, um eilige Überweisungen und vertrauliche Kundendaten zu verlangen. Der Versicherer kündigte an, künftige Vertragsverlängerungen nur noch mit dokumentierter KI-Inventur und nachweisbarem Schulungsstand der Mitarbeitenden zu zeichnen.

sensified setzte hier auf eine Kombination aus KI-Plattform und KI-Result. Zunächst wurde auf Basis von VVG, DSGVO und EU AI Act Art. 4 eine vollständige KI-Risiko-Inventur erstellt. Alle eingesetzten KI-Systeme, von Chatbots bis zu automatisierten Bestellvorschlägen, wurden erfasst, klassifiziert und mit Verantwortlichkeiten versehen. Über die KI-Plattform wurden Schulungsinhalte und simulierte Deepfake-Angriffe bereitgestellt. Die Auswertungen erhielt der Großhändler als KI-Result in Form von Berichten und Kennzahlen.

Diese Berichte dienten dem Versicherer als Nachweis für ein angemessenes KI-Risikomanagement und einen belastbaren Schulungsstand. Die Folge: Die Police wurde um eine Deepfake-Komponente erweitert, ohne Risikozuschlag auf die Prämie. Für den CFO war der Nutzen klar messbar. Die Prämie blieb stabil, während das Risiko eines nicht gedeckten KI-Schadens deutlich sank.

Was Sie davon mitnehmen: Diese Berichte dienten dem Versicherer als Nachweis für ein angemessenes KI-Risikomanagement und einen belastbaren Schulungsstand.

Praxisbeispiel: Steuerberatung

Eine Steuerkanzlei mit 36 Mitarbeitenden setzte ein KI-System zur Vorstrukturierung der Mandantenkommunikation ein. E-Mails und Belege wurden automatisch kategorisiert und mit Handlungsempfehlungen versehen. Die Berufshaftpflicht und die bestehende Cyber-Police enthielten jedoch keine klaren Regelungen zu KI-Vorfällen in der Mandantenkommunikation. Die Geschäftsführung war unsicher, ob ein durch KI verursachter Beratungsfehler oder eine fehlerhafte Datenweitergabe versichert wäre.

In einem fokussierten KI-Projekt analysierte sensified die relevanten Prozesse entlang der Vorgaben von VVG, StBerG und DSGVO. Es wurde festgelegt, welche Teile des Mandantenpostfachs als besonders schützenswert gelten und wie KI-Systeme dort nur unter klaren Leitplanken agieren dürfen. Technisch wurden auf einer KI-Plattform Audit-Logs, Zugriffskontrollen und ein Vier-Augen-Freigabeprozess für KI-generierte Empfehlungen eingerichtet. Ergänzend lieferte sensified im Modell KI-Result regelmäßige Auswertungen über KI-Fehlklassifikationen und deren Korrekturquote.

Mit dieser Dokumentation konnte die Kanzlei eine präzise KI-Schadenklausel verhandeln. Das Mandantenpostfach wurde als besonders geschützter Bereich definiert, in dem KI-Einsätze nur unter dokumentierten Kontrollen stattfinden. Die Berufshaftpflicht deckt nun bestimmte KI-Schäden ausdrücklich ab, ohne dass die Prämie unverhältnismäßig steigt. Für die Geschäftsführung bedeutet dies höhere Rechtssicherheit bei kalkulierbaren Kosten.

Was Sie davon mitnehmen: Mit dieser Dokumentation konnte die Kanzlei eine präzise KI-Schadenklausel verhandeln.

Die KI-Klauseln, die Versicherer ab 2026 fordern

Versicherer entwickeln derzeit eigene Standards für KI-Klauseln in Cyber- und Haftpflichtpolicen. Wer als CFO vorbereitet in die nächste Vertragsrunde geht, kann den inhaltlichen Rahmen aktiv mitgestalten, statt nur auf vorformulierte Bedingungen zu reagieren.

Typische Elemente einer modernen KI-Klausel im Versicherungsvertrag sind:

• Eine Definition, was als „KI-System“ und „KI-Schaden“ gilt,
• Regelungen, ob und wie Schäden durch fehlerhafte Trainingsdaten oder Modelle abgedeckt sind,
• Vorgaben zum Monitoring und zur Protokollierung von KI-Entscheidungen,
• Anforderungen an Schulungen und organisatorische Kontrollen,
• Gegebenenfalls Ausschlüsse für bestimmte Hochrisiko-Anwendungen.

Für Deepfake-Szenarien gewinnt eine spezialisierte Deepfake-Versicherung an Bedeutung. Sie adressiert zum Beispiel CEO-Fraud-Fälle mit KI-Bezug ausdrücklich. Ebenso rückt die KI-Haftpflichtversicherung in den Fokus, wenn KI-gestützte Entscheidungen direkte Vermögensschäden bei Kunden auslösen können. Ohne klare KI-Klausel im Versicherungsvertrag bleibt oft unklar, ob der Versicherer einen solchen Fall als gedeckt ansieht.

sensified unterstützt Unternehmen dabei, die technischen und organisatorischen Voraussetzungen für diese Klauseln zu schaffen. In einem KI-Projekt werden die relevanten Systeme identifiziert, Risiken bewertet und notwendige Kontrollen umgesetzt. Die Ergebnisse dienen als Grundlage für die Verhandlung mit dem Versicherer und können in eine dauerhafte KI-Plattform überführt werden, die Monitoring, Auditierbarkeit und Reporting bündelt.

Was Sie davon mitnehmen: sensified unterstützt Unternehmen dabei, die technischen und organisatorischen Voraussetzungen für diese Klauseln zu schaffen.

Risiko-Inventur und Nachweise für den Versicherer

Ohne strukturierte KI-Risiko-Inventur bleibt jede Diskussion mit dem Versicherer abstrakt. Viele Versicherer verlangen inzwischen, dass Unternehmen Ihre KI-Systeme, deren Einsatzzweck und die getroffenen Sicherheitsmaßnahmen nachvollziehbar dokumentieren. Wer diese Hausaufgaben nicht erledigt, riskiert Ausschlüsse oder hohe Selbstbehalte.

Eine belastbare KI-Risiko-Inventur umfasst typischerweise:

• Eine vollständige Liste aller produktiven und experimentellen KI-Systeme,
• Eine Bewertung der Kritikalität nach Datenart, Prozessrelevanz und möglicher Schadenshöhe,
• Die Zuordnung von Verantwortlichkeiten für Betrieb, Training und Freigabe,
• Eine Beschreibung der technischen und organisatorischen Schutzmaßnahmen,
• Nachweise über Schulungen und Awareness-Maßnahmen.

Hier setzt sensified mit drei Modellen an. In einem klar abgegrenzten KI-Projekt entsteht in acht bis zwölf Wochen eine vollständige KI-Risiko-Inventur, inklusive der notwendigen Dokumentation für den Versicherer. Auf einer KI-Plattform können diese Informationen aktuell gehalten, mit Monitoring verknüpft und revisionssicher archiviert werden. Wenn der Versicherer periodische Reports oder bestimmte Kennzahlen verlangt, liefert sensified diese im Modell KI-Result als geprüften Output. Ihr Team muss dafür keine zusätzlichen Projektkapazitäten bereitstellen.

Für CFOs entsteht so eine durchgängige Linie von der technischen Realität der KI-Systeme bis zur verhandelten KI-Klausel im Versicherungsvertrag. Die Diskussion mit dem Versicherer basiert nicht mehr auf Bauchgefühl, sondern auf nachvollziehbaren Fakten.

Was Sie davon mitnehmen: Für CFOs entsteht so eine durchgängige Linie von der technischen Realität der KI-Systeme bis zur verhandelten KI-Klausel im Versicherungsvertrag.

Deckungssummen, Selbstbehalt und realistische Prämien

Die passende Deckungssumme für KI-relevante Risiken ist für CFOs zentral. Zu niedrige Summen gefährden die Existenz, zu hohe Summen treiben die Prämien unnötig in die Höhe. Branchenempfehlungen sehen eine Mindestdeckungssumme von 5 Mio. EUR für KI-bezogene Datenrisiken vor. Die konkrete Ausgestaltung hängt jedoch vom Geschäftsmodell und der Kritikalität der Daten ab.

Eine fundierte Entscheidung über Deckungssummen und Selbstbehalte setzt voraus, dass Sie die potenzielle Schadenshöhe Ihrer KI-Systeme kennen. Welche Umsätze hängen an KI-gestützten Prozessen? Welche Vertragsstrafen drohen bei Ausfall oder Fehlfunktion? Welche Bußgelder können bei DSGVO-Verstößen entstehen? Ohne diese Zahlen bleibt die Verhandlung mit dem Versicherer ein Ratespiel.

Mit einer strukturierten KI-Risiko-Inventur und den Auswertungen aus einer KI-Plattform lassen sich diese Fragen deutlich genauer beantworten. CFOs können Szenarien durchspielen, etwa den Ausfall eines KI-gestützten Angebotsprozesses oder einen KI-bedingten Datenabfluss, und daraus realistische Deckungssummen ableiten. Ein sinnvoll gewählter Selbstbehalt kann die Prämie spürbar senken, ohne das Unternehmen im Ernstfall zu überfordern.

Eine spezialisierte KI-Haftpflichtversicherung ergänzt diese Betrachtung, wenn KI-Entscheidungen direkt zu Vermögensschäden bei Kunden führen können. Hier ist es wichtig, dass die Police klar beschreibt, welche Arten von KI-Schäden versichert sind und welche Pflichten das Unternehmen beim Monitoring, bei der Dokumentation und bei Schulungen erfüllen muss.

Versicherbarkeit folgt Transparenz

Je besser ein Unternehmen seine KI-Risiken quantifiziert und dokumentiert, desto eher ist der Versicherer bereit, hohe Deckungssummen zu akzeptieren und Prämien stabil zu halten.

Was Sie davon mitnehmen: Je besser ein Unternehmen seine KI-Risiken quantifiziert und dokumentiert, desto eher ist der Versicherer bereit, hohe Deckungssummen zu akzeptieren und Prämien stabil zu halten.

Schnittstelle zur EU-KI-Act-Risikomanagement-Pflicht

Der EU AI Act verpflichtet Unternehmen, für bestimmte KI-Systeme ein strukturiertes Risikomanagement einzuführen. Dazu gehören Risikoanalysen, Tests, Monitoring, Dokumentation und gegebenenfalls Meldepflichten. Viele dieser Anforderungen überschneiden sich mit den Informationen, die Versicherer für die Bewertung von KI-Risiken benötigen.

Wer seine KI-Implementierung an den Vorgaben des EU AI Act ausrichtet, kann diese Arbeit doppelt nutzen. Eine KI-Plattform, die Audit-Logs, Modellversionen, Quellen der Trainingsdaten und Monitoring-Ergebnisse verwaltet, bildet die Grundlage für die Compliance und für die Argumentation gegenüber dem Versicherer. Die KI-Risiko-Inventur wird damit zum verbindenden Element zwischen Regulierung und Versicherung.

sensified setzt hier an. Statt reiner Konzeptberatung übernimmt sensified die Umsetzung und den Betrieb der notwendigen KI-Infrastruktur. Die Plattform ist EU-gehostet, TISAX®-konform und bleibt unter der Kontrolle des Kunden. In einem KI-Projekt wird die Architektur so gestaltet, dass sowohl die Anforderungen des EU AI Act als auch die Nachweispflichten gegenüber Versicherern erfüllt werden. Mit KI-Result können Sie anschließend spezifische Reports, etwa zur Wirksamkeit von Kontrollen oder zur Häufigkeit von KI-Fehlentscheidungen, als Service beziehen.

Im Ergebnis entsteht eine integrierte Sicht auf KI-Risiko, Compliance und Versicherbarkeit. CFOs erhalten damit eine belastbare Grundlage für Entscheidungen über Investitionen in KI, Anpassungen der Versicherungsstruktur und die Priorisierung von Sicherheitsmaßnahmen.

Drei Sofort-Hebel vor dem Versicherer-Termin

Wenn Ihr nächster Versicherungstermin näher rückt, schaffen drei Schritte verhandlungsfähige Unterlagen, ohne ein vollständiges KI-Risikomanagement aufzusetzen. Sie senken die geforderte Prämie spürbar und vermeiden Deckungslücken im Schadensfall.

• KI-Inventur in 90 Minuten: Ein Workshop mit IT, Fachbereich und Datenschutz benennt alle aktiven KI-Anwendungen samt Datenklassen.
• Vorfall-Liste der letzten zwölf Monate: Falsche Klassifikationen, Halluzinationen und manuelle Korrekturen werden quantifiziert; das beruhigt jeden Underwriter.
• Notfall-Drehbuch auf einer Seite: Wer schaltet die KI-Anwendung ab, wer informiert betroffene Kunden, und wer dokumentiert den Vorfall in der Police?

Mit diesen Bausteinen treten Sie deutlich souveräner auf und reduzieren das Risiko, dass der Versicherer pauschale Ausschlüsse für KI-Schäden in den Vertrag schreibt.

Was Sie davon mitnehmen: Mit diesen Bausteinen treten Sie deutlich souveräner auf und reduzieren das Risiko, dass der Versicherer pauschale Ausschlüsse für KI-Schäden in den Vertrag schreibt.

Nächste Schritte

Wenn Sie Ihre bestehenden Cyber- und Haftpflicht-Policen auf KI-Tauglichkeit prüfen möchten, ist der erste Schritt eine ehrliche Bestandsaufnahme Ihrer KI-Systeme und Risiken. Auf dieser Basis lässt sich klären, welche KI-Klauseln im Versicherungsvertrag fehlen und welche Nachweise Sie kurzfristig liefern können.

sensified unterstützt Sie dabei mit klar abgegrenzten KI-Projekten, einer gemanagten KI-Plattform und KI-Result-Services, die auf die Anforderungen von Versicherern und Regulierung ausgerichtet sind. In einem Strategiegespräch definieren wir gemeinsam, welche Kombination dieser Bausteine für Ihr Unternehmen sinnvoll ist und wie Sie in wenigen Wochen zu verhandlungsfähigen Unterlagen kommen.