24. September 2025 Cyber
Mehr Informationen +
In der digitalen Welt verschwimmen heutzutage die Grenzen zwischen gewöhnlicher Kriminalität und staatlich gelenkter Kriegsführung. Jüngstes Beispiel dafür sind die Cyberangriffe auf den IT-Dienstleister Collins Aerospace, wodurch die Gepäckabfertigung mehrerer europäischer Flughäfen beeinträchtigt war.
Eine besondere Rolle spielen dabei sogenannte Cyber-Söldner – Hackergruppen oder Einzelakteure, die im Auftrag von Staaten oder anderen Auftraggebern Cyberangriffe ausführen. Gleichzeitig rücken Cyberversicherungen als Schutzinstrument für Unternehmen in den Fokus. Doch was passiert, wenn ein Angriff als “kriegerischer Akt” eingestuft wird? Genau hier entsteht eine Grauzone: Handelt es sich um einen versicherten Cybervorfall oder um eine vom Versicherungsvertrag ausgeschlossene Kriegshandlung?
Dieser Beitrag beleuchtet die Herausforderungen bei der Attribution (Zuordnung) von Cyberangriffen und analysiert die Auswirkungen dieser Grauzone im Kontext der Kriegsausschlussklauseln in Cyber-Versicherungspolicen – verständlich aufbereitet für alle, die sich für Cybervorfällen und -versicherungen interessieren.
Cyber-Söldner: Digitale Auftragskrieger im staatlichen Auftrag
Einem Söldner haftet traditionell das Bild eines privat engagierten Kämpfers an, der für Bezahlung statt aus Vaterlandstreue kämpft. Übertragen auf den Cyberspace spricht man von Cyber-Söldnern, wenn hochqualifizierte Einzelhacker oder koordinierte Gruppen im Auftrag Dritter – häufig Regierungen oder staatlicher Stellen – agieren. Diese digitalen Auftragskrieger führen gezielte Cyberangriffe aus, seien es Spionageaktionen, Sabotage an kritischer Infrastruktur oder das Lahmlegen wichtiger IT-Systeme.
Staaten bedienen sich Cyber-Söldnern aus mehreren Gründen: Einerseits ermöglichen sie plausible deniability, also die plausible Abstreitbarkeit eines Angriffs. Die Regierung kann behaupten, nicht involviert zu sein, da keine offiziellen staatlichen Akteure sichtbar beteiligt sind. Andererseits bringen Cyber-Söldner oft spezielles Know-how mit, das staatliche Stellen ergänzen oder verstärken kann. Beispiele finden sich weltweit: Etwa wird vermutet, dass einige bekannte Hackergruppen wie die Sofacy Group aka APT28 (Fancy Bear) oder Lazarus Group aka Guardians of Peace im weitesten Sinne als Cyber-Söldner für staatliche Interessen operieren.
Doch unabhängig vom Auftraggeber bewegt sich ihre Tätigkeit rechtlich in einer Grauzone. Führen sie einen Angriff aus, stellt sich die Frage: War es ein krimineller Akt – vergleichbar mit klassischer Cyberkriminalität – oder eine Form von Kriegsführung im digitalen Gewand? Gerade diese Frage ist nicht nur für Regierungen relevant, sondern auch für Versicherungen.
Die Herausforderung der Attribution: Wer steckt hinter dem Angriff?
Eines der größten Probleme im Umgang mit Cyberangriffen ist die Attribution – also die zuverlässige Zuschreibung eines Angriffs zu einem Verantwortlichen. Technisch versierte Angreifer können ihre Spuren verwischen: Sie nutzen Proxy-Server, kapern die Infrastruktur ahnungsloser Dritter oder legen falsche Fährten, die zu einem anderen Akteur führen sollen (False Flag). Für Ermittler und Geheimdienste ist es ein aufwendiges Puzzle, ausreichend Hinweise zu sammeln, um einen Urheber zu identifizieren.
Aus rechtlicher Sicht wird die Sache noch komplizierter: Gerichte und Versicherungen verlangen belastbare Nachweise. Es reicht nicht, bloß einen Verdacht zu haben, dass hinter einem Vorfall etwa eine staatliche Stelle steckt. Die Hürden für eine rechtlich anerkannte Attribution sind hoch. Oft bleiben die Erkenntnisse der Sicherheitsforscher oder staatlicher (Nachrichten-)Dienste geheim oder beruhen auf Indizien, die vor Gericht nicht ohne Weiteres standhalten. Auch politische Erwägungen spielen hinein – eine offizielle Zuschreibung eines Cyberangriffs zu einer fremden Regierung ist diplomatisch brisant und erfolgt daher von staatlicher Seite nur nach sorgfältiger Abwägung.
Für Versicherungen ist die Frage der Attribution ebenfalls kritisch. Wenn ein Versicherer einen Schadenfall prüfen muss, in dem möglicherweise ein staatlich gelenkter Cyberangriff vorliegt, steht er vor der Aufgabe, diese Behauptung mit Fakten zu untermauern. In der Praxis verlassen sich Versicherer dabei teils auf Berichte von IT-Forensikern, Geheimdienstinformationen oder offizielle Verlautbarungen. Doch wie leichtfertig darf eine Versicherung einen Angriff als “staatlich gesteuert” einstufen? Eine vorschnelle oder unzureichend belegte Attribution könnte zu Rechtsstreitigkeiten führen, wenn der Versicherungsnehmer die Entscheidung anfechtet.
In diesem Spannungsfeld aus technischer Ungewissheit und juristischen Beweisanforderungen entwickelt sich die Grauzone, die für das Versicherungswesen besonders heikel ist.
Kriminalität oder kriegerischer Akt? Rechtliche Grauzonen im Cyberraum
Wenn ein Cyberangriff erkannt wird, stellt sich unmittelbar die Frage nach seiner Einordnung: Handelt es sich um einen Fall gewöhnlicher Cyberkriminalität – etwa einen Erpressungsversuch durch eine Hackerbande – oder um eine Form von Cyberkriegsführung zwischen Staaten? Völkerrechtlich und strafrechtlich gibt es hierfür bislang keine klar gezogene Linie. Dass man Cyberkriegsführung auch als Informationskrieg mittels Fake News, Desinformation und Online-Hetze sehen kann, trägt weiters zur Unschärfe des Begriffs bei.
Klassischerweise spricht man von einem kriegerischen Akt, wenn staatliche Akteure oder zumindest staatlich beauftragte Kräfte eine Attacke im Rahmen eines zwischenstaatlichen Konflikts ausführen. Allerdings werden Cyberoperationen selten offiziell als Kriegshandlungen deklariert. Ein Grund: Es ist umstritten, ab wann ein Cyberangriff die Schwelle zum “bewaffneten Angriff” überschreitet. Müssen physische Zerstörungen oder Verletzungen eintreten, um von einem bewaffneten Angriff zu sprechen? Viele Staaten behandeln bislang selbst schwerwiegende Cyberattacken eher als Spionage- oder Sabotageakte unterhalb der Kriegsschwelle.
Für die Strafverfolgung bedeutet dies: Soweit identifiziert, werden die Täter meist als Kriminelle verfolgt – sofern man ihrer habhaft wird. Doch wenn hinter den Kulissen ein Staat die Fäden zieht, greift das Strafrecht oft ins Leere: Ausländische Staatshacker genießen faktisch Schutz durch Souveränität ihres Heimatlandes, das über die Täter keine Auskunft gibt, und natürlich auch nicht ausliefert oder ihre Taten sogar deckt. Zivilrechtliche Ansprüche gegen einen fremden Staat – etwa Schadenersatzklagen betroffener Unternehmen – scheitern regelmäßig an der Staatenimmunität.
Diese Rechtslage schafft eine paradoxe Situation: Ein Unternehmen, das Opfer eines staatlich orchestrierten Cyberangriffs wird, kann die Täter nicht wirksam strafrechtlich verfolgen und den Staat dahinter kaum zur Verantwortung ziehen. Gleichzeitig wird der Vorfall formal nicht als “Krieg” gewertet, weil kein offizieller Krieg erklärt wurde und die Kampfhandlungen im Verborgenen bleiben. So bleibt die Tat in einer Grauzone – zweifellos ein aggressiver Akt, aber nicht als Kriegsakt eingestuft – zugleich jedoch auch nicht als gewöhnliches Delikt in Friedenszeiten.
Kriegsausschlüsse in Cyber-Versicherungen: Wenn Versicherungen keine Deckung bieten
Angesichts dieser unscharfen Grenze zwischen kriminellem Akt und Kriegshandlung rückt eine spezielle Klausel in Cyber-Versicherungspolicen ins Rampenlicht: der Kriegsausschluss. In der Versicherungsbranche ist es üblich, Schäden durch Krieg oder kriegsähnliche Ereignisse vom Versicherungsschutz auszuschließen.
Es befindet sich aktuell eine Vielzahl an Kriegsausschlussklauseln in der Cyberversicherung in Verwendung, sodass ein Einordnung eines Schadenfalls vorab schwer möglich ist, ohne die genaue Ausschlussklausel zu kennen. Die Klauseln stammen ursprünglich aus der Welt der Sach- und Haftpflichtversicherungen und sollten extreme Szenarien wie Weltkriege vom Risikospektrum ausschließen – Ereignisse also, die durch ihre Ausmaße und Korrelation sämtliche Kalkulationen sprengen würden. Übertragen auf Cyberversicherungen bedeutet das: Wenn ein Cyberangriff als kriegerischer Akt eingestuft wird, würde die Versicherung die Leistung verweigern.
Auf den ersten Blick mag das logisch erscheinen – ein globaler Cyberkrieg könnte Schäden verursachen, die einzelne Versicherer in den Ruin treiben. Doch in der Praxis wirft diese Klausel schwierige Fragen auf: Wann genau ist ein Cyberangriff “kriegsähnlich” oder durch eine “fremde Macht” initiiert? Die abstrakte Vertragssprache trifft auf die komplexe Realität moderner Cybervorfälle.
Ein eindrückliches Beispiel lieferte der weltweite Malware-Angriff NotPetya im Jahr 2017. Die Schadsoftware legte weltweit tausende IT-Systeme lahm und verursachte milliardenhohe Schäden bei Unternehmen. Westliche Geheimdienste schrieben den Angriff einer von Russland ausgehenden Kampagne im Zuge des Ukraine-Konflikts zu. Einige Versicherer stuften NotPetya daher als staatlich gelenkten Feindseligkeitsakt ein – und beriefen sich auf den Kriegsausschluss, um Leistungen abzulehnen. Bekannte Fälle wie der Rechtsstreit des Pharmaunternehmens Merck & Co. gegen seine Versicherung machten Schlagzeilen: Merck argumentierte, dass seine Police einen solchen Cybervorfall decken müsse, da kein formeller Krieg vorlag. Am Ende stand ein Vergleich in dem die Versicherungsunternehmen ca. USD 700 Mio. an den Pharmariesen für den Cyberschaden bezahlten.
Dieser Präzedenzfall alarmierte die Versicherungsbranche. Er zeigt, dass herkömmliche Klauseln den besonderen Umständen von Cyberangriffen nicht gerecht werden. In Reaktion darauf begannen einige Versicherer, ihre Bedingungen zu präzisieren. So kündigte beispielsweise der Marktversicherer Lloyd’s of London an, dass Cyber-Policen künftig ausdrücklich staatlich gelenkte Cyberangriffe als Ausschlusstatbestand benennen müssen, um Missverständnisse zu vermeiden. Neue Cyber-Kriegsklauseln definieren nun teils gestaffelte Szenarien: von groß angelegten Cyberoperationen im Rahmen eines offenen Krieges (klar ausgeschlossen) bis hin zu staatlichen Attacken in Friedenszeiten, bei denen genauer hingeschaut werden muss. Ziel ist es, einerseits Versicherungskunden Transparenz zu geben, andererseits das kaum kalkulierbare Extremrisiko eines staatlichen Großangriffs vom Versicherer fernzuhalten.
Auswirkungen auf Versicherungsnehmer und den Cyber-Versicherungsmarkt
Für Unternehmen als Versicherungsnehmer hat diese Entwicklung ambivalente Folgen. Einerseits schaffen klarere Klauseln Rechtssicherheit: Durch definierte Begriffe wie “Cyberoperationen” wissen Kunden besser, wann ihre Cyberversicherung greift und wann nicht. Andererseits bedeutet jeder erweiterte Ausschluss auch eine Deckungslücke. Gerade große Konzerne, die potenzielle Ziele staatlich motivierter Angriffe sind, müssen sich bewusst sein, dass bestimmte Extremszenarien vom Versicherungsschutz ausgenommen sind.
Für den Cyber-Versicherungsmarkt insgesamt stellen staatlich initiierte Großangriffe ein systemisches Risiko dar. Ähnlich wie Naturkatastrophen oder Pandemien können gleichzeitige, flächendeckende Cyberangriffe viele Versicherungsnehmer zugleich treffen. Die Versicherer kalkulieren deshalb vorsichtig: Zu groß wäre das Insolvenzrisiko, würden sie unlimitiert für alle Schäden solcher Szenarien einstehen. Einige Experten diskutieren die Notwendigkeit von staatlichen Unterstützungsmaßnahmen oder Pool-Lösungen – analog zu Terrorversicherungs-Pools – um den Extremfall eines “Cyberkriegs” abzusichern.
Noch ist dies Zukunftsmusik, aber die Debatte zeigt, wie ernst die Branche die Grauzone zwischen Cyberkriminalität und Cyberkrieg nimmt.
Fazit
Die Welt der Cyberangriffe bewegt sich häufig in einem diffusen Grenzbereich zwischen Kriminalität und (digitaler) Kriegsführung. Cyber-Söldner verkörpern diese Grauzone, indem sie im Verborgenen für staatliche Interessen kämpfen, ohne dass formell ein Krieg erklärt wird. Für die Rechtsordnung und die Versicherungswirtschaft ergibt sich daraus eine heikle Herausforderung: Ohne klare Zuordnung und Definition bleibt ungewiss, wie ein Vorfall rechtlich einzuordnen ist – und ob ein Versicherer zahlen muss oder nicht.
Die bisherigen Beispiele und Gerichtsentscheidungen machen deutlich, dass traditionelle Begrifflichkeiten und Vertragsklauseln an ihre Grenzen stoßen. Sowohl Juristen als auch Versicherungsmanager sind gefordert, neue Lösungen zu entwickeln. Dazu gehören präzisere Versicherungsbedingungen, verbesserte Methoden zur Attribution von Angriffen, welche einerseits den Versicherer vor unkalkulierbaren Risiken schützen aber auch andererseits den Versicherungsnehmern Rechtssicherheit geben und möglicherweise auch staatliche Eingriffe, um Extremrisiken abzufedern.
Letztlich zeigt die Grauzone zwischen Cyberkriminalität und Cyberkrieg, dass sich rechtlichen und versicherungstechnischen Rahmenwerke stetig an die digitale Realität anpassen müssen. Nur so lässt sich erreichen, dass Unternehmen weiterhin auf verlässlichen Versicherungsschutz vertrauen können – selbst in einer Welt, in der die Grenzen zwischen Verbrechen und militärischerm Konflikt verschwimmen.
TEILEN SIE DEN ARTIKEL
Unsere Produkte
D&O
Für Unternehmen, Stiftungen, Vereine, einzelne Personen & D&O mit Strafrechtschutz
CYBER
Für Dienstleister & Gewerbe, Versicherungs-Vermitttler, Produktions-Unternehmen etc.
SPEZIAL STRAF-RECHTSSCHUTZ
Strafrechtsschutz, Manager-Rechtsschutz, Steuerberater & Wirtschaftsprüfer
CRIME
Finanzinstitutionen,
Kommerzielle Kunden
VERMÖGENSSCHADEN-HAFTPFLICHT
Finanzinstitute, Private Equity, Werbung & Medien etc.
Lesen Sie hier weiter
News
Europas Cyber-Bedrohungslandschaft 2025: Was Unternehmen jetzt wissen müssen
Die Cyber-Bedrohungslage in Europa ist ernst und wird sich weiter verschärfen. Die Professionalisierung der Angreifer, die Geschwindigkeit der Attacken und die Vielfalt der Bedrohungen erfordern ein Umdenken.
WEITERLESEN
Cyber
Europas digitale Kapitulation: Wir sind nur noch einen Klick von der Auslöschung entfernt
Wir müssen die unbequeme Wahrheit akzeptieren: Digitale Souveränität ist kein Luxus, sondern eine Notwendigkeit.
WEITERLESEN
News
INFINCO MARKEL PRO CYBER 2025: Die wichtigsten Produktneuerungen im Überblick
Unser Antragsmodell INFINCO MARKEL PRO CYBER erhält in diesen Tagen ein wegweisendes Update.
WEITERLESEN← ZURÜCK ZUR ÜBERSICHT
INFINCO FINANCIAL
LINES BROKERS
