Nach Darstellung des Quelltexts verändern sich mit der KI-Einführung nicht nur technische Prozesse, sondern auch die Frage, welche Schäden überhaupt von welcher Police gedeckt sind. Resilience erklärt, die aktuellen Policen deckten KI-Risiken grundsätzlich mit ab, weil sie nicht nach der Angriffsart, sondern nach dem Ergebnis unterscheiden, etwa Betriebsunterbrechung, Betrug oder Datenschutzverletzung. Gleichzeitig sei aber absehbar, dass diese Zusammenfassung von KI-bezogenen Vorfällen und klassischen Cyber-Schäden auf Dauer nicht ausreichen wird.

Wie stark der Druck wächst, zeigen die im Quelltext genannten Nutzungszahlen. Laut der Deloitte-Studie „State of AI in the Enterprise“ für 2026 haben inzwischen 60 Prozent der Beschäftigten Zugang zu genehmigten KI-Anwendungen, nach 40 Prozent zu Beginn von 2025. OpenAI berichtet in seinem im Dezember 2025 veröffentlichten Bericht „State of Enterprise AI“, dass 75 Prozent der Beschäftigten Produktivitätsgewinne durch KI sehen und dadurch fast eine Stunde pro Woche einsparen. Die Tokennutzung liege zudem 320-mal höher als ein Jahr zuvor.

Sicherheits- und Governance-Strukturen halten damit laut Deloitte nicht Schritt. Zwar planen 74 Prozent der Unternehmen den Einsatz agentischer KI, aber nur 21 Prozent verfügen über ein ausgereiftes KI-Governance-Modell. Michael von Gablenz, Leiter des Insure-AI-Teams von Munich Re und der Tochter HSB, sagt im Quelltext, Unternehmen müssten daher eine Strategie zur Risikominderung festlegen — entweder gemeinsam mit einem Versicherer oder faktisch als Selbstversicherung. HSB bietet Unternehmen bereits eine KI-Haftpflichtversicherung an und will im Lauf der Zeit weitere KI-Risiken abdecken.

Von Gablenz nennt dabei typische Problemfelder: Fehler, Halluzinationen, Diskriminierung oder die Erzeugung rechtsverletzender oder schädlicher Inhalte könnten zu unbeabsichtigten Folgen, Haftungsfällen und finanziellen Verlusten führen. Aus Sicht von Munich Re adressiere die Versicherung von Fehlern eines KI-Modells eines der grundlegendsten KI-Risiken, nämlich den Fall, dass ein System nicht so handelt, wie es vorgesehen war. Bestimmte Anwendungsfälle schließt Munich Re jedoch aus: Modelle zur Vorhersage von Aktienmarktpreisen liegen laut von Gablenz außerhalb der Risikobereitschaft des Unternehmens.

Als besonders heikel beschreibt Gerry Glombicki, Leiter Cyberrisiko bei Fitch Ratings, agentische KI. Das größte Risiko liege darin, dass ein Agent eine Handlung ausführt, die er nicht ausführen sollte — etwa Daten löscht, falsche Aktionen freigibt oder andere geschäftliche Verluste verursacht. Welche weiteren Risiken entstehen, hänge stark vom konkreten Einsatz und von der Transparenz der Entscheidungen ab. Als Beispiel nennt Glombicki einen KI-Agenten im Personalwesen, der ein Unternehmen Klagen wegen möglicher Voreingenommenheit aussetzen könnte, wenn nicht nachvollziehbar ist, wie Bewerbungen gefiltert werden.

Die Frage, ob ein konkreter Vorfall versichert ist, hängt laut den im Quelltext zitierten Fachleuten stark von den Details ab. Maria Long von Resilience sagt, wenn ein Angriff wie eine Prompt-Injection oder eine andere Schwachstelle in einem KI-System zu einer Betriebsunterbrechung oder zu einer Datenschutzverletzung führt, sollte die Cyberpolice greifen. Finanzielle Verluste durch falsche Antworten eines grundlegenden KI-Anbieters würden typischerweise unter eine Tech-E&O-Police fallen.

Long empfiehlt Unternehmen eine Bestandsaufnahme der eigenen KI-Exponierung aus einer Gesamtperspektive: KI-gestützte Cyberangriffe, von Beschäftigten genutzte Schatten-KI sowie Fehler und Halluzinationen in freigegebenen KI-Werkzeugen sollten gemeinsam bewertet werden. KI-Governance und Risikobewertung stünden im Zentrum aller Empfehlungen. Glombicki ergänzt, dass Unternehmen früh ein belastbares Governance-System aufbauen sollten. Die dabei entstehenden Prüfspuren könnten helfen, einen KI-Vorfall später aufzuklären — gerade bei agentischer KI — und Verantwortlichkeiten zu klären.