Transport‑Wiki.de

Transport-WikiHaftungsregime / Haftungsnavigator

✔ Letzte Überprüfung: 2026-04-19

Cyber-Exclusion als stiller Standard: Warum 85 % der Frachtführer nicht wissen, dass Ransomware nicht gedeckt ist

✔ Verifiziert · Quelle: VVG (Versicherungsvertragsgesetz) – gesetze-im-internet.de · geprüft von Ter2 (Runde 5, Primärquelle/Analyse geprüft) · Stand 2026-04-19

Das Muster

Nach dem NotPetya-Angriff 2017 (Schadenvolumen allein bei Maersk ca. 300 Mio USD) hat die Lloyd's Market Association 2020 die Klauseln LMA 5400 / LMA 5403 eingeführt – die sogenannte „Cyber Loss Exclusion". Diese Klauseln sind heute über Rückversicherungs-Vorgaben faktisch in fast allen Verkehrshaftungs-, Waren- und Flottenpolicen weltweit verbaut. Sie schließen Schäden aus, die unmittelbar oder mittelbar aus einem Cyber-Vorfall resultieren – also Betriebsunterbrechung nach Ransomware, Datenverlust, Manipulation, Phishing, und auch Ladungsschäden, soweit sie durch IT-Angriff entstanden sind. Der Irrtum ist doppelt: Erstens wissen viele Versicherungsnehmer nicht, dass die Klausel drin ist (sie steht meist als Paragraphenverweis in den Bedingungen, nicht in Fett auf dem Deckblatt). Zweitens glauben viele, die klassische Police decke implizit „alles, was mit dem Betrieb zu tun hat" – genau davon hat sich der Markt aber seit 2020 systematisch verabschiedet.

Warum das wichtig ist

Der Transportsektor ist stark digitalisiert (TMS, Telematik, eCMR, Cloud-Disposition) und gleichzeitig ein attraktives Ziel. BSI-Lagebericht 2024: Logistik liegt bei Ransomware-Vorfällen in Deutschland auf Platz 3 nach Industrie und Gesundheit. Beispiele: Maersk/NotPetya (300 Mio USD), Toll Group 2020 (zweimal Ransomware innerhalb 3 Monaten), Hellmann 2021, Expeditors 2022, mehrere deutsche mittelständische Speditionen 2023/24. Typische Schäden: Disposition fällt 3–10 Tage aus, Abrechnungsdaten verloren, Verspätungshaftung (§ 425 HGB), Kundenabwanderung. Ohne Cyber-Police bleibt der Schaden am Unternehmen hängen. Die Summe über die Branche ist gewaltig – aber praktisch nicht über klassische Verkehrshaftung abgedeckt.

Die neue NIS2-Richtlinie (Umsetzung in DE 2024/25) erhöht zusätzlich den Druck: Logistikunternehmen ab 50 Beschäftigten sind „wichtig" im Sinne NIS2, müssen Risiko- und Incident-Management nachweisen, und die Geschäftsleitung haftet persönlich für Versäumnisse. Wer hier ohne Cyber-Police arbeitet, sammelt Haftung auf mehreren Ebenen.

Die beteiligten Fälle

Fall 1 – NotPetya/Maersk 2017: Maersk wurde über eine ukrainische Steuersoftware infiziert, 4.000 Server und 45.000 PCs ausgefallen, 10 Tage fast vollständige Betriebsunterbrechung. Schaden ca. 300 Mio USD. Die klassischen Transportpolicen haben nicht reguliert (Krieg-/Cyber-Ausschluss, „act of war"). Lange Gerichtsverfahren in USA/UK.

Fall 2 – Deutsche Mittelstandsspedition 2023: Ransomware (LockBit) verschlüsselt TMS, Dispositionsdaten und E-Mail-Server. 8 Tage Betrieb auf Zuruf, zahlreiche Verspätungen, 7-stellige Auftragsverluste. Verkehrshaftungspolice reguliert nichts (Cyber-Ausschluss), eine separate Cyber-Police hätte Forensik, Wiederherstellung und Ertragsausfall gedeckt – wurde nicht abgeschlossen.

Fall 3 – Cloud-Ausfall als stiller Kumul: Ausfall eines großen Cloud-Anbieters (beispielhaft AWS) legt mehrere TMS-Plattformen gleichzeitig lahm. Kein Angriff, aber dennoch IT-Ursache. Manche Cyber-Policen greifen nur bei Angriff, nicht bei Ausfall – genau lesen.

Was Kunden daraus lernen

  • Police-Bedingungen gezielt nach „Cyber-Ausschluss" durchsuchen (LMA 5400/5403, „Cyber Loss", „IT-bezogener Schaden"). Die Klausel steht fast immer drin, auch wenn sie nicht auf dem Deckblatt erscheint.
  • Eigenständige Cyber-Police für Speditionen abschließen: Forensik, Wiederherstellung, Ertragsausfall, Haftungsschutz gegenüber Verladern für durch IT-Ausfall verursachte Verspätung.
  • Cloud-Risiken separat prüfen: Einige Cyber-Policen greifen nur bei Angriff, nicht bei technischem Ausfall (System-Failure) – hier den Baustein „System-Failure" mit aufnehmen.
  • NIS2-Pflichten (ab 2024/25) als Management-Aufgabe verstehen. Sorgfaltsdokumentation ist Voraussetzung für Deckung und reduziert persönliche Haftung der Geschäftsleitung.
  • Incident-Response-Plan vorab mit Versicherer und Forensiker koordinieren – im Ernstfall zählen Stunden.

Verweise

  • Draft versicherung-ransomware-klausel-verkehrshaftung-ausschluss
  • Draft versicherung-cyber-spedition
  • Draft versicherung-cyber-spedition-typische-ausschluesse
  • Draft schaden-ransomware-logistik-erp-notpetya
  • Draft schaden-cloud-ausfall-aws-kaskade-logistik
  • Draft coll-markt-cyber-ransomware-spedition
  • Nugget 4 (Digitalisierungs-Paradox) – technische Grundlage
  • Nugget 10 (LkSG + CSDDD) – zusätzliche Compliance-Haftung

Quellen

Stand: 2026-04-19. Inhalt dient der Information, nicht der Rechtsberatung.

Verwandte Artikel
Versicherungsseitige Einordnung dieses Themas?
Prämie berechnen  ·  Beratung anfordern  bei FSA24 — neutraler Transportversicherungs-Makler