Kein Versicherungsschutz bei Phishing

Nicht jeder Schaden, der durch digitale Täuschung entsteht, ist automatisch durch eine Hausratversicherung mit Internetschutz abgedeckt, wie das Landgericht Bielefeld in einem aktuellen Hinweisbeschluss vom 25. September 2025 (22 S 81/25) klargestellt hat. Hier wird ausgearbeitet unter welchen Voraussetzungen Versicherer für solche Schäden haften – und wo die Grenzen des Deckungsschutzes liegen.

Hinweis: Beachten Sie dazu meinen Aufsatz “Das aktuelle Recht der Cyberversicherungen in “Kommunikation & Recht”, Heft 6/2025, S.373). Beachten Sie auch, dass die Entscheidung – unter Bezug auf meine Besprechung – bei „heise online“ aufgegriffen wurde.

Betrug per SMS und digitale Girocard

Der Kläger, ein Kunde einer Hausratversicherung mit Internetschutz, wurde Opfer eines Betrugs. Am 26. Dezember 2022 erhielt er eine SMS, die ihn aufforderte, seine VR-SecureGo-Plus-Registrierung über einen Link zu verlängern. Die Nachricht wirkte authentisch, führte ihn jedoch auf eine gefälschte Website, auf der er seine Bankzugangsdaten eingab. Kurz darauf bestätigte er über die SecureGO-App einen vermeintlichen Registrierungsauftrag – tatsächlich autorisierte er damit die Erstellung einer digitalen Girocard durch Betrüger. Diese nutzten die Karte in den folgenden Tagen für Einkäufe in Höhe von 4.860,10 Euro. Der Kläger meldete den Schaden seiner Versicherung, die jedoch die Erstattung verweigerte. Ihre Begründung: Der Vorfall falle nicht unter die versicherten Risiken „Phishing“ oder „Pharming“, da die Versicherungsbedingungen explizit nur gefälschte E-Mails, nicht jedoch SMS als Auslöser für Phishing-Schäden nennen. Zudem habe der Kläger keinen unmittelbaren Zahlungsvorgang getätigt, sondern lediglich eine digitale Girocard freigeschaltet.

Das Amtsgericht Halle/Westfalen gab der Versicherung recht und wies die Klage ab. Der Kläger legte Berufung ein, die das Landgericht Bielefeld nun voraussichtlich zurückweisen wird. Die Begründung des Gerichts offenbart, wie eng die Grenzen des Versicherungsschutzes in solchen Fällen gezogen sind.

Phishing per SMS: Warum die Versicherung nicht zahlt

Zentrale Frage des Falls war die Auslegung der Versicherungsbedingungen. Die Police deckt Phishing nur ab, wenn Dritte „über eine gefälschte E-Mail“ an Zugangs- und Identifikationsdaten gelangen. Der Kläger argumentierte, der Begriff „E-Mail“ sei als Oberbegriff für elektronische Nachrichten zu verstehen und umfasse daher auch SMS. Das Gericht folgte dieser Argumentation nicht. Aus Sicht eines durchschnittlichen Versicherungsnehmers, so das Landgericht, seien E-Mails und SMS keine gleichartigen Kommunikationsmittel. Während E-Mails komplexer strukturiert seien, Dateianhänge zuließen und oft im geschäftlichen Kontext genutzt würden, handele es sich bei SMS um kurze Textnachrichten mit begrenzter technischer Komplexität. Eine E-Mail lasse zudem über die Absenderadresse Rückschlüsse auf die Identität des Absenders zu, während eine SMS lediglich eine Telefonnummer anzeige. Diese Unterschiede rechtfertigten eine differenzierte Behandlung in den Versicherungsbedingungen:

Bei verständiger Würdigung der Versicherungsbedingungen stellt eine SMS keine E-Mail dar. Vielmehr handelt es sich – ähnlich wie bei einem Brief in Bezug auf eine Paketsendung – um völlig unterschiedliche Versendungsarten (…) Auch kann sich der Kläger nicht darauf berufen, dass der Begriff der E-Mail als Oberbegriff für elektronische Nachrichten verwendet werde. Nach allgemeiner Lebenserfahrung ist dies gerade nicht der Fall. Der Begriff der E-Mail wird ganz überwiegend speziell für Nachrichten verwendet, die computerbasiert über das Internet versendet werden, wobei dies auf SMS gerade nicht zutrifft. EMail, SMS sowie Nachrichten über Messengerdienste sind somit vielmehr selbst unter dem Oberbegriff elektronische Nachricht zusammenzufassen.

Das Gericht verwies damit darauf, dass der Versicherungsschutz bewusst auf E-Mails beschränkt sei, da diese schwieriger zu fälschen seien als SMS. Eine erweiternde Auslegung zugunsten des Klägers komme nicht in Betracht, da der Wortlaut der Bedingungen klar sei und keine Lücke aufweise, die durch eine analoge Anwendung geschlossen werden müsste. Damit bestätigte das Gericht die erstinstanzliche Entscheidung: Ein Phishing-Schaden, der durch eine betrügerische SMS ausgelöst wird, ist nicht versichert.

Pharming: Kein Zahlungsvorgang, kein Versicherungsschutz

Auch der Einwand des Klägers, es liege ein Fall von Pharming vor, überzeugte das Gericht nicht. Pharming setzt voraus, dass der Versicherungsnehmer im Vertrauen auf die Echtheit einer gefälschten Website einen Zahlungsvorgang ausführt. Der Kläger hatte jedoch keine Überweisung getätigt, sondern lediglich die Erstellung einer digitalen Girocard autorisiert. Die späteren Zahlungen durch die Betrüger waren zwar die Folge dieser Freischaltung, stellten aber keinen unmittelbaren Zahlungsvorgang durch den Versicherungsnehmer dar. Das Gericht betonte, dass die Versicherungsbedingungen eine direkte Handlung des Versicherten erfordern – etwa das Auslösen einer Überweisung auf einer manipulierten Seite. Die bloße Freigabe eines Zahlungsinstruments, das später von Dritten missbraucht wird, reicht demnach nicht aus.

Zudem unterschied das Gericht klar zwischen Phishing und Pharming:

Im Gegensatz zum Phishing, bei dem die Täuschung eines Nutzers von Internetdiensten mithilfe technischer Manipulation mittels eines verfälschten Links durchgeführt wird, um diesen arglos zur Mitteilung vertraulicher Daten an einen Nichtberechtigten auf einer nachgemachten Internetseite zu verleiten, wird beim Pharming der korrekte Aufruf der Website der Bank technisch in den Aufruf der betrügerischen Seite durch Manipulation der sog. Hosts-Datei auf dem Rechner des Nutzers oder durch Einsatz eines korrumpierten DNS-Servers geändert (…)

Während Phishing also auf die Täuschung des Nutzers durch gefälschte Links abzielt, wird beim Pharming der Aufruf der echten Bankwebsite technisch auf eine betrügerische Seite umgelenkt. Ein solches Szenario lag hier nicht vor, da der Kläger den Link in der SMS freiwillig anklickte und damit Opfer eines klassischen Phishing-Angriffs wurde – nur eben per SMS statt per E-Mail.

Versicherungsbedingungen lesen

Hier wird – in dieser Konstellation nicht zum ersten Mal, siehe die Links oben – deutlich, wie wichtig es ist, die Versicherungsbedingungen genau zu lesen. Viele Verbraucher gehen angesichts allgemeiner Beschreibungen wie „Internet-Schutz” davon aus, dass ihre Police sie umfassend vor Betrug im digitalen Zahlungsverkehr schützt. Doch wie dieser Fall zeigt, können bereits kleine Unterschiede in der Art des Angriffs – etwa die Nutzung einer SMS statt einer E-Mail – darüber entscheiden, ob ein Schaden erstattet wird oder nicht. Versicherer nutzen solche Differenzierungen, um ihr Risiko zu begrenzen, und Gerichte legen die Bedingungen streng nach ihrem Wortlaut aus. Hier zeigt sich das Dilemma: Versicherte schließen eine Versicherung ab, um im Schadensfall eine Leistung zu erhalten, während Versicherer davon leben, nicht zu zahlen.

Versicherungsnehmer müssen deshalb nicht nur auf den Umfang des Versicherungsschutzes, sondern auch auf die konkreten Definitionen der versicherten Risiken achten. Wer sich gegen Phishing absichern möchte, sollte prüfen, ob die Police alle relevanten Angriffsvektoren abdeckt oder ob Lücken bestehen, die im Schadensfall zu einer Ablehnung der Zahlung führen können. Gleichzeitig wirft diese Entscheidung die Frage auf, ob die Unterscheidung zwischen E-Mails und SMS aus Verbrauchersicht noch zeitgemäß ist.

Augen auf beim Versicherungsschutz

Das Urteil des Landgerichts Bielefeld ist ein weiteres Beispiel dafür, wie stark der Versicherungsschutz von der genauen Formulierung der Vertragsbedingungen abhängt. Wer sich auf die Erstattung von Schäden durch digitale Betrugsmaschen verlässt, sollte seine Police kritisch prüfen und gegebenenfalls nachbessern. Die Entscheidung zeigt überdeutlich, wie Versicherer bei der Auslegung ihrer Bedingungen wenig Spielraum für großzügige Interpretationen lassen – selbst dann, wenn der Schaden aus Sicht des Versicherungsnehmers ähnlich gelagert ist wie ein versicherter Fall.

Für die Zukunft bleibt abzuwarten, ob die Rechtsprechung oder die Versicherungsbranche selbst auf die sich wandelnden Betrugsmethoden reagieren und die Bedingungen anpassen wird. Bis dahin gilt: Wer auf Nummer sicher gehen will, sollte nicht nur auf den Preis einer Police achten, sondern vor allem auf die Details der Deckung. Denn im Zweifel entscheidet nicht die Frage, ob ein Schaden unfair war, sondern ob er vertraglich abgedeckt ist.

• Über
• Letzte Artikel

Rechtsanwalt Jens Ferner

Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf

Rechtsanwalt Jens Ferner ist renommierter Strafverteidiger im gesamten Strafrecht samt Managerhaftung (mit Schwerpunkt Wirtschaftskriminalität und Cybercrime) sowie Spezialist im IT-Recht mit Schwerpunkt Softwarerecht und digitale Beweismittel. Als Fachanwalt für Strafrecht + IT-Recht verteidigt er Mandanten in anspruchsvollen Strafverfahren, speziell an der Schnittstelle von Strafrecht & IT-Recht und berät in komplexen Softwareprojekten.

Rechtsanwalt Jens Ferner ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen), Softwareentwickler, fortgebildet in Kommunikationspsychologie und publiziert fortlaufend.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht.

Letzte Artikel von Rechtsanwalt Jens Ferner (Alle anzeigen)

• Verjährung im Steuerstrafrecht - 25. Januar 2026
• US-Ermittler mit Zugriff aufBitLocker-Wiederherstellungsschlüssel? - 25. Januar 2026
• Rechtliche Lage bei Hackbacks in Deutschland - 24. Januar 2026