Thought Leadership
Die Finanzaufsicht fasst ihre Vorgaben für Lösegeldversicherungen zusammen. Versicherer dürfen das heikle Produkt nur unter strengen Auflagen anbieten, Geheimhaltung inklusive.
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat ein neues Rundschreiben veröffentlicht, das den Betrieb von Lösegeldversicherungen in Deutschland regelt. Das Rundschreiben 01/2026 tritt am 1. April 2026 in Kraft und löst die bisherige Regelung aus dem Jahr 1998 ab. Inhaltlich werden die Voraussetzungen laut BaFin „jedoch nicht geändert”, sondern lediglich zusammengefasst.
Worum es geht
Eine Lösegeldversicherung deckt laut dem Rundschreiben „die Risiken einer Lösegeldforderung” ab, etwa „bei entführten oder mit Gewalt bedrohten Personen, Cyberangriffen oder Produkterpressungen”. Gerade die Erwähnung von Cyberangriffen dürfte der Grund sein, warum das Thema wieder an Relevanz gewinnt: Ransomware-Attacken auf Unternehmen haben in den vergangenen Jahren massiv zugenommen.
Strenge Auflagen, kaum Spielraum
Die BaFin verlangt bei diesen besonders sensibel zu handhabenden Verträgen ein „hohes Maß an Geheimhaltung”. Der Versicherungsnehmer darf höchstens drei Vertrauenspersonen über den Versicherungsschutz informieren. Diese Personen müssen dem Versicherer namentlich gemeldet werden und sind zur Verschwiegenheit verpflichtet. Im gewerblichen Bereich akzeptiert die BaFin Ausnahmen, „wenn sie unumgänglich erforderlich sind”, etwa weil ein Krisenstab besteht oder mehrere Dienstleister involviert sind.
Werbung für Lösegeldversicherungen ist verboten. Ebenso dürfen sie nicht mit anderen Versicherungen gebündelt werden. Einzige Ausnahme: Die Kombination mit einer Cyberversicherung wird „von der BaFin als zulässig erachtet”. Angesichts der Tatsache, dass Ransomware-Zahlungen in der Praxis häufig über Cyber-Policen abgewickelt werden, ist das ein pragmatisches Zugeständnis.
Außerdem muss laut BaFin „ein kollusives Zusammenwirken zwischen Tätern, Opfern oder Mitarbeitern des Versicherers vermieden werden”. Die Versicherungssumme muss daher „im Verhältnis zu den wirtschaftlichen Verhältnissen des Versicherungsnehmers angemessen sein”, damit sich das Risiko, Ziel einer Erpressung zu werden, nicht erhöht.
Jährliche Überprüfung ist Pflicht
Die Vertragslaufzeit ist auf maximal ein Jahr begrenzt, „damit die Risikoverhältnisse und die Angemessenheit der Versicherungssumme in kurzen Abständen erneut geprüft werden können”. Verlängerungen sind möglich, aber nur wenn der Versicherungsnehmer rechtzeitig ein sogenanntes Renewal Statement einreicht. Bleibt dieses aus, erlischt der Vertrag automatisch. Die BaFin begründet das klar: In solchen Fällen sei eine Prüfung der Angemessenheit der Versicherungssumme im Verhältnis zu den wirtschaftlichen Verhältnissen des Versicherungsnehmers nicht möglich.
Polizei muss immer eingeschaltet werden
Eine weitere Auflage betrifft den Schadenfall selbst: Versicherungsnehmer, Vertrauenspersonen und Versicherer sind verpflichtet, die Tat bei der Polizei unverzüglich anzuzeigen. Das ist bemerkenswert, weil in der Ransomware-Praxis viele Unternehmen genau das lieber vermeiden würden.
Auch intern müssen Versicherer hohe Sicherheitsstandards einhalten. Vertragsdaten müssen „verschlüsselt sein, sobald sie gespeichert oder übermittelt werden”. Eine zentrale Stelle, direkt dem Vorstand unterstellt, muss allein für Verwaltung und Schadenbearbeitung zuständig sein.
Altes Regelwerk, neue Relevanz
Die Grundregeln für Lösegeldversicherungen stammen ursprünglich aus dem Jahr 1998, einer Zeit, in der es dabei fast ausschließlich um Entführungen ging. Dass die BaFin die Bündelung mit Cyberversicherungen explizit erlaubt, zeigt, wie sich das Geschäftsfeld verschoben hat. Die eigentliche Frage, ob Ransomware-Zahlungen über Versicherungen überhaupt sinnvoll sind oder ob sie das Erpressungsmodell erst richtig befeuern, beantwortet das Rundschreiben allerdings nicht. Darüber wird anderswo weiter gestritten. Experten raten allerdings immer wieder, nicht auf Lösegeldforderungen einzugehen.
