BaFin-Rundschreiben 01/2026: Alter Wein in neuen Schläuchen?

Am 1. April 2026 veröffentlichte die Bundesanstalt für Finanzdienstleistungsaufsicht ihr Rundschreiben 01/2026 (VA) und löste damit eine fast drei Jahrzehnte alte Regelung aus dem Jahr 1998 ab. Inhaltlich hält die BaFin an den bestehenden Grundsätzen fest; das Rundschreiben bündelt ältere Vorgaben aus verschiedenen Quellen in einem einzigen, konsolidierten Dokument. Der Anlass — und damit der Kontext, in dem dieses neue Regelwerk zu lesen ist — hat sich freilich dramatisch verändert: Während das Vorgänger-Rundschreiben in einer Zeit entstand, in der Lösegeldversicherungen primär für physische Entführungsfälle galten, trifft das neue Schreiben auf einen Markt mit schätzungsweise rund 90.000 Cyberpolicen mit Lösegeldbaustein allein in Deutschland.

Die zentralen Auflagen für Cyberversicherungen lassen sich in fünf Bereiche gliedern:

• Vertriebsverbot: Lösegeldversicherungen dürfen nicht beworben werden und sind grundsätzlich nicht mit anderen Produkten bündelbar — mit einer einzigen Ausnahme: die Kombination mit einer Cyberversicherung erachtet die BaFin als zulässig.
• Maximale Vertragslaufzeit: Die Laufzeit für Versicherungsverträge mit Lösegeldversicherung ist auf ein Jahr begrenzt. Eine Verlängerung ist nur möglich, wenn der Versicherungsnehmer fristgerecht ein sogenanntes Renewal Statement einreicht; anderenfalls erlischt der Vertrag automatisch.
• Angemessene Versicherungssumme: Die Deckungshöhe muss den wirtschaftlichen Verhältnissen des Versicherungsnehmers entsprechen, um zu vermeiden, dass eine zu hohe Versicherungssumme das Unternehmen überhaupt erst zum attraktiven Erpressungsziel macht.
• Geheimhaltungsgebot: Maximal drei namentlich benannte Vertrauenspersonen dürfen vom Versicherungsschutz wissen; alle Beteiligten unterliegen einer strikten Verschwiegenheitspflicht uns müssen bei einem kompetenten Sicherheitsunternehmen eine präventive Beratung anhand eines Sicherheitskonzepts durchführen. Alle Beteiligten sind darüber hinaus im Schadenfall verpflichtet, die Tat bei den Strafverfolgungsbehörden unverzüglich anzuzeigen und damit das staatliche Strafverfolgungsinteresse zu wahren.
• Zentrale Organisationseinheit: Versicherer müssen für Verwaltung und Schadenbearbeitung eine einzelne, dem Vorstand direkt unterstellte Stelle einrichten; sämtliche Vertragsdaten sind zu verschlüsseln.

Praxiskritik: Wenn Standards aus einer anderen Welt auf ein Massengeschäft treffen

Aus aufsichtsrechtlicher Perspektive verfolgt die BaFin mit diesen Auflagen nachvollziehbare Schutzziele: Geheimhaltung, Kooperation mit Strafverfolgungsbehörden und die Vermeidung von Fehlanreizen, die Kriminellen nützen könnten. Die Kritik der Branche setzt nicht bei diesen Zielen an, sondern bei der mangelnden Differenzierung in der Anwendung.

Das Kernproblem liegt in der konzeptionellen Herkunft der Auflagen: Sie entstammen der Logik klassischer Kidnap-&-Ransom-Versicherungen (K&R), bei denen ein Versicherer typischerweise einige Dutzend hochsensible Verträge betreut. Für dieses Segment sind zentrale Verwaltungsstrukturen, jährliche Renewal Statements und individuelle Wirtschaftlichkeitsprüfungen praktisch umsetzbar. Im Cyber-Massengeschäft, in dem Versicherer Tausende Policen verwalten und im Schadenfall innerhalb von Minuten Incident-Response-Dienstleister, IT-Forensiker und Krisenkommunikatoren koordinieren müssen, drohen dieselben Anforderungen den operativen Betrieb zu lähmen.

Besonders brisant ist die Frage mehrjähriger Rahmenvereinbarungen: Diese sind für den Lösegeldbaustein in Cyberverträgen de facto nicht mehr zulässig, obwohl sie im Markt gängige Praxis sind. Versicherer befinden sich damit in einer Compliance-Lücke zwischen regulatorischem Anspruch und gelebter Vertragsrealität — eine Situation, die juristischen Handlungsbedarf erzeugt, ohne dass klare Leitlinien für den Übergangszeitraum existieren.

Ein weiteres offenes Feld betrifft die verpflichtende Präventionsberatung durch ein „kompetentes Sicherheitsunternehmen” vor Vertragsabschluss. Während K&R-Policen hierfür auf etablierte Sicherheitsberater zurückgreifen, bleibt im Cyberkontext ungeklärt, ob der ohnehin marktübliche IT-Sicherheitscheck im Underwriting-Prozess ausreicht und wer die entstehenden Kosten trägt.

Der paradoxe Effekt: Weniger Versicherungsschutz stärkt die Täter

Aus einer übergeordneten Schadenperspektive offenbart sich eine regulatorische Paradoxie: Versicherungsunternehmen, die im Cyberbereich tätig sind, berichten übereinstimmend, dass versicherte Organisationen im Ernstfall seltener Lösegeld zahlen als unversicherte. Der Grund liegt darin, dass Versicherer professionelle Incident-Response-Dienstleister bereitstellen, die alternative Wiederherstellungswege erarbeiten und den Verhandlungsdruck gegenüber den Angreifern aktiv reduzieren. Unversicherte Unternehmen hingegen entscheiden unter maximalem Zeitdruck und ohne fachkundige Unterstützung — und greifen häufiger auf die Lösegeldzahlung als vermeintlich einfachste Lösung zurück.

Wenn regulatorische Auflagen die Versicherbarkeit von Lösegeldzahlungen faktisch erschweren oder den Markt so verteuern, dass kleine und mittlere Unternehmen keinen Schutz mehr finden, wird paradoxerweise die Position der Cyberkriminellen gestärkt. Diese Konsequenz dürfte nicht im Sinne des Regulierung sein — und liefert das stärkste Argument für eine differenziertere Regulierungsarchitektur, die zwischen K&R- und Cyber-Lösegelddeckungen klar unterscheidet.

Fazit

Für Versicherungsnehmer und Versicherungsvermittle ändert sich durch das Bafin-Rundschreiben vorerst einmal nichts. Es bleibt jedoch abzuwarten, wie die Versicherungswirtschaft die Signale der Bafin aufnimmt – ob sich dadurch Änderungen in der gelebten Praxis ergeben, ist zum aktuellen Zeitpunkt noch nicht absehbar. Für die Praxis sind die relevantesten Themen die jährlichen Renewal-Statements, die Mehrjahresverträge und auch das Geheimhaltungsgebot für den Versicherungsnehmer, welches in der Praxis oft schwer umsetzbar ist. Wünschenswert wäre eine differenzierte Herangehensweise, welche zwischen dem Nischenprodukt der klassischen K&R-Deckung und der inzwischen doch am Markt breit etablierten Cyberversicherung unterscheidet.