Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat mit Wirkung zum 1. April 2026 ein neues Rundschreiben zu sogenannten Lösegeldversicherungen veröffentlicht. Mit dem Rundschreiben 01/2026 (VA) schafft die deutsche Finanzaufsicht einen aktualisierten regulatorischen Rahmen für ein sensibles Versicherungssegment, das seit Jahren zwischen wirtschaftlichem Bedarf, strafrechtlichen Risiken und ordnungspolitischen Bedenken steht.

Die Kernbotschaft der Behörde ist eindeutig:
Lösegeldversicherungen bleiben in Deutschland grundsätzlich möglich – aber nur unter engen Voraussetzungen und ohne aktive Marktöffnung.

Das neue Rundschreiben ersetzt das bisherige Rundschreiben R 3/1998 (VA) und reagiert damit auf eine veränderte Risikolandschaft, in der insbesondere Cyber-Erpressungen, Ransomware-Angriffe, Produktsabotage- und Produkterpressungsfälle sowie klassische Kidnapping-and-Ransom-Szenarien deutlich an Bedeutung gewonnen haben.

Worum geht es bei Lösegeldversicherungen überhaupt?

Lösegeldversicherungen sind Spezialprodukte aus dem Bereich der Schaden- und Unfallversicherung. Sie dienen dazu, Unternehmen oder in bestimmten Fällen auch exponierte Einzelpersonen gegen finanzielle Risiken abzusichern, die aus einer Lösegeldforderung entstehen können.

Typische Einsatzfelder sind:

• Entführungen und Erpressungen (klassisch im internationalen Umfeld, etwa für Führungskräfte oder Mitarbeiter in Risikoregionen)
• Cyber-Angriffe, insbesondere Ransomware, bei denen Daten verschlüsselt und gegen Zahlung freigegeben werden sollen
• Produk­terpressung, etwa bei Drohungen, Waren zu manipulieren oder Verunreinigungen zu behaupten
• Bedrohungslagen, in denen Zahlungen zur Abwehr akuter Schäden gefordert werden

Wichtig ist:
Eine solche Versicherung bedeutet nicht automatisch, dass ein Versicherer „einfach Lösegeld zahlt“. In der Praxis geht es häufig um ein deutlich breiteres Leistungsspektrum, darunter:

• Krisenberatung
• Verhandlungsmanagement
• Spezialdienstleister
• Kosten für IT-Forensik
• Kosten für Wiederherstellung
• Rechtsberatung
• Reputationsmanagement
• und unter Umständen auch Erstattung bestimmter Zahlungen

Gerade dieser Punkt ist hochsensibel, weil der Staat verhindern will, dass Versicherungsprodukte kriminelle Geschäftsmodelle indirekt attraktiver machen.

Warum greift die BaFin jetzt ein?

Dass die BaFin ihr altes Rundschreiben aus dem Jahr 1998 ersetzt, ist kein Zufall. Die Risikolage hat sich in den vergangenen Jahrzehnten fundamental verändert.

1. Ransomware hat die klassische Erpressung digitalisiert

Während früher vor allem Entführungsfälle oder Produkterpressungen im Fokus standen, sind heute Cyber-Erpressungen eines der drängendsten Risiken für Unternehmen.

Ransomware-Angriffe gehören mittlerweile zu den größten operativen Bedrohungen für:

• Industrieunternehmen
• Krankenhäuser
• Stadtwerke
• Kommunen
• Mittelständler
• Logistikunternehmen
• kritische Infrastruktur

Die Frage, ob Versicherer Lösegeldzahlungen direkt oder indirekt absichern dürfen, ist deshalb längst kein Nischenthema mehr, sondern Teil einer zentralen Debatte über Cyber-Resilienz, Compliance und Sanktionsrecht.

2. Der Staat will keine Anreize für Kriminalität setzen

Die regulatorische Sorge ist offensichtlich:

Wenn Lösegeldversicherungen frei beworben, breit vermarktet oder als Standardbaustein in Cyber-Policen „mitverkauft“ würden, könnte das dazu führen, dass:

• Unternehmen Lösegeldzahlungen als kalkulierbares Betriebsrisiko betrachten
• Täter davon ausgehen, dass versicherte Opfer eher zahlen
• kriminelle Strukturen gestärkt werden
• Sanktionsverstöße begünstigt werden (etwa bei Zahlungen an sanktionierte Akteure)

Die BaFin will daher einen schmalen Grat gehen:
Versicherungsschutz soll in besonderen Fällen möglich bleiben – aber ohne Marktanreiz und ohne Normalisierung des Lösegeldgeschäfts.

Die wichtigsten Vorgaben des neuen BaFin-Rundschreibens 01/2026 (VA)

Das neue Rundschreiben legt fest, unter welchen Bedingungen Erstversicherungsunternehmen in Deutschland Lösegeldversicherungen anbieten dürfen. Die zentrale Stoßrichtung: Erlaubnis ja, aber nur restriktiv.

1. Keine Werbung für Lösegeldversicherungen

Ein besonders markanter Punkt ist das Werbeverbot.

Lösegeldversicherungen dürfen nach der BaFin nicht beworben werden.

Das ist aufsichtsrechtlich hochinteressant, weil es zeigt, dass die BaFin solche Produkte nicht als gewöhnliche Marktware behandelt, sondern als regulatorisch tolerierte Ausnahmeprodukte.

Die Botschaft dahinter:

• Kein offensives Marketing
• Keine öffentliche Produktplatzierung
• Kein Vertrieb über klassische Kampagnen
• Keine „Verfügbarmachung“ als breites Standardprodukt

Die Behörde will damit offenbar verhindern, dass sich ein Markt entwickelt, in dem Versicherer offensiv mit dem Versprechen werben, im Ernstfall „Lösegeldrisiken abzudecken“.

2. Keine Bündelung mit anderen Versicherungsverträgen

Ein weiterer zentraler Punkt:

Lösegeldversicherungen dürfen nicht mit anderen Versicherungsverträgen gebündelt werden.

Das bedeutet in der Praxis insbesondere:

• Kein automatischer Einschluss in Standard-Cyberversicherungen
• Kein „unsichtbarer“ Zusatzbaustein in Kombiprodukten
• Keine Vermischung mit allgemeinen Betriebsunterbrechungs- oder Haftpflichtpolicen
• Kein stillschweigender Schutz als Nebenleistung

Diese Vorgabe ist besonders relevant für den Cyberversicherungsmarkt. Denn dort bestand in der Vergangenheit die Gefahr, dass Lösegeldkomponenten faktisch über umfassende Cyberdeckungen miterfasst oder zumindest mitvermarktet werden.

Die BaFin zieht hier eine klare Trennlinie:

Wer ein solches Risiko decken will, muss dies separat und bewusst tun – nicht versteckt im Produktbaukasten.

3. Maximale Laufzeit: ein Jahr

Lösegeldversicherungen dürfen laut Rundschreiben nur mit einer Laufzeit von maximal einem Jahr angeboten werden.

Auch das ist bewusst restriktiv.

Warum ist das wichtig?

• Jährliche Neubewertung des Risikos
• Verhinderung langfristiger „Dauerpolicen“ für hochsensible Risiken
• stärkere Kontrolle durch Underwriting und Risikoprüfung
• Anpassung an aktuelle Sicherheitslagen, Sanktionsregime und Bedrohungsbilder

Gerade im Bereich Cyber ist eine einjährige Laufzeit sachlich nachvollziehbar, weil sich:

• IT-Sicherheitsniveau
• Bedrohungslage
• Unternehmensstrukturen
• Exponierung
• Compliance-Anforderungen

innerhalb kurzer Zeit erheblich verändern können.

4. Weitere Bedingungen im Detail

Die BaFin verweist ausdrücklich darauf, dass das Rundschreiben weitere Voraussetzungen enthält, die im Detail im Rundschreiben 01/2026 (VA) geregelt sind.

Auch wenn in der Kurzmitteilung nicht alle Einzelpunkte genannt werden, ist aus regulatorischer Sicht davon auszugehen, dass insbesondere folgende Themen im Fokus stehen:

• sorgfältige Risikoprüfung
• klare vertragliche Abgrenzung
• Compliance- und Sanktionsprüfung
• keine Förderung strafbaren Verhaltens
• Transparenz in der Produktgestaltung
• aufsichtsrechtlich saubere Einordnung als zulässiger Versicherungsgegenstand
• Vermeidung von Fehlanreizen im Vertrieb

Gerade im Bereich internationaler Erpressungslagen ist zudem regelmäßig entscheidend, dass Zahlungen nicht an:

• terroristische Organisationen
• sanktionierte Gruppen
• gelistete Personen
• staatliche oder staatsnahe Angreifer

fließen dürfen, soweit dies gegen geltendes Recht verstößt.

Für wen gilt das Rundschreiben?

Das Rundschreiben richtet sich an alle Versicherer, die auf dem deutschen Markt Lösegeldversicherungen anbieten oder anbieten wollen.

Es gilt für:

• Erstversicherungsunternehmen, die in Deutschland für Schaden- und Unfallversicherung zugelassen sind
• Versicherer aus EU-Mitgliedstaaten
• Versicherer aus Staaten des Europäischen Wirtschaftsraums (EWR)

… sofern diese auf dem deutschen Markt tätig sind.

Das ist wichtig, weil die BaFin damit nicht nur inländische Anbieter adressiert, sondern auch grenzüberschreitend tätige Versicherer im europäischen Binnenmarkt.

Für internationale Spezialversicherer, die etwa Kidnap-&-Ransom- oder Cyber-Erpressungsprodukte vertreiben, bedeutet das:

Wer in Deutschland aktiv ist, muss sich an die deutschen aufsichtsrechtlichen Spielregeln halten.

Was ändert sich gegenüber dem alten Rundschreiben von 1998?

Das bisherige Rundschreiben R 3/1998 (VA) stammt aus einer Zeit, in der:

• Cyber-Erpressung praktisch keine Rolle spielte
• Ransomware noch kein Massenphänomen war
• digitale Lieferketten deutlich weniger kritisch waren
• globale Sanktionsregime in heutiger Komplexität noch nicht existierten
• Produkterpressung und Entführungsfälle stärker im Vordergrund standen

Mit dem neuen Rundschreiben trägt die BaFin dem Umstand Rechnung, dass Lösegeldforderungen heute nicht mehr nur in klassischen Krisenszenarien auftreten, sondern Teil des digitalen Unternehmensalltagsrisikos geworden sind.

Das ist ein erheblicher Paradigmenwechsel.

Früher Ausnahmefall – heute strategisches Unternehmensrisiko

Gerade für Mittelständler und Industrieunternehmen ist Ransomware inzwischen kein exotisches Sonderereignis mehr, sondern ein reales, häufig existenzbedrohendes Risiko.

Deshalb musste die Aufsicht nachschärfen:

• Was ist zulässig?
• Was darf versichert werden?
• Wo endet Absicherung und wo beginnt problematische Marktstimulierung?

Warum das Thema politisch und rechtlich heikel bleibt

Lösegeldversicherungen sind aus mehreren Gründen problematisch.

1. Moral-Hazard-Risiko

Versicherungsökonomen sprechen hier vom sogenannten Moral Hazard:

Wenn Unternehmen wissen, dass bestimmte Lösegeldforderungen versichert sind, könnten sie:

• geringere Prävention betreiben
• schneller zahlen
• Krisenstrategien schwächer ausbauen
• IT-Sicherheit wirtschaftlich „nach hinten schieben“

Die BaFin versucht dieses Risiko zu begrenzen, indem sie solche Policen gerade nicht als Massenprodukt zulässt.

2. Kriminelle könnten Versicherungsdeckung einkalkulieren

Ein weiterer heikler Punkt:

Kriminelle Gruppen könnten gezielt davon profitieren, wenn sie annehmen, dass Unternehmen über Policen verfügen, die Zahlungen oder Verhandlungskosten abdecken.

Das könnte:

• Angriffswahrscheinlichkeiten erhöhen
• Erpressungsmodelle professionalisieren
• Lösegeldforderungen steigern
• Opferauswahl verändern

Gerade deshalb ist das Werbeverbot ein zentrales Signal.

3. Sanktionsrechtliche Risiken

Im internationalen Kontext – insbesondere bei Cyberangriffen – besteht immer das Risiko, dass Tätergruppen mit:

• sanktionierten Staaten
• Geheimdienststrukturen
• Terrornetzwerken
• gelisteten Personen

in Verbindung stehen.

Eine Zahlung kann dann nicht nur wirtschaftlich problematisch, sondern rechtlich unzulässig sein.

Für Versicherer bedeutet das:
Lösegelddeckung ist nie nur ein Underwriting-Thema, sondern immer auch ein Compliance- und Sanktionsrisiko.

Was bedeutet das für Unternehmen?

Für Unternehmen ist das Rundschreiben vor allem ein Hinweis darauf, dass Lösegeldrisiken zwar versicherbar bleiben können – aber nur unter engen, spezialisierten und bewusst gewählten Bedingungen.

Wichtige Konsequenzen für Unternehmen:

• Kein „versteckter“ Lösegeldschutz in Standardpolicen erwarten
• Cyberversicherungen künftig genauer prüfen
• Vertragswerke im Detail lesen
• klare Incident-Response-Prozesse aufbauen
• nicht auf Versicherung statt Prävention setzen
• Krisenmanagement und IT-Sicherheit priorisieren
• Sanktionen und Meldepflichten beachten

Gerade im Cyberbereich bleibt entscheidend:

Die beste Lösegeldversicherung ist immer noch ein Sicherheitsniveau, bei dem man gar nicht erst zahlen muss.

Das heißt konkret:

• Backups
• Segmentierung
• Multi-Faktor-Authentifizierung
• Notfallpläne
• externe Forensikpartner
• Krisenkommunikation
• Rechtsberatung
• Schulung der Mitarbeitenden

Einordnung: Erlaubnis unter Vorbehalt – kein Freifahrtschein für den Markt

Das neue BaFin-Rundschreiben ist weder ein Verbot noch eine Liberalisierung.

Es ist eher:

eine kontrollierte Duldung unter Auflagen.

Die Aufsicht sagt sinngemäß:

• Ja, diese Risiken existieren
• Ja, es kann legitime Versicherungsbedarfe geben
• Aber nein, daraus soll kein offensiv vertriebenes Produktsegment werden

Das ist regulatorisch nachvollziehbar und wirtschaftlich konsequent.

Denn der Staat hat ein Interesse daran, dass Unternehmen sich gegen Krisen absichern können – aber er hat kein Interesse daran, Lösegeldzahlungen zu normalisieren oder versicherungsförmig zu institutionalisieren.

Kommentar: Die BaFin setzt das richtige Signal – Absicherung ja, Normalisierung nein

Mit dem neuen Rundschreiben sendet die BaFin ein klares und überfälliges Signal an Versicherer und Unternehmen:

Lösegeld ist kein normales Versicherungsprodukt.

Gerade im Zeitalter von Ransomware wäre es fatal, wenn sich ein Markt etabliert, in dem Unternehmen glauben, Cyber-Erpressung lasse sich wie ein Leitungswasserschaden behandeln. Genau das verhindert die Aufsicht nun bewusst:

• keine Werbung
• keine Bündelung
• keine Langläufer
• enge Aufsicht

Das ist richtig.

Denn jede Versicherung, die am Ende den Eindruck vermittelt, man könne Erpresserzahlungen „einpreisen“, läuft Gefahr, das eigentliche Problem zu verschärfen.

Die BaFin macht daher deutlich:
Absicherung in Ausnahmefällen – ja.
Marktlogik für Lösegeld – nein.

Fazit

Mit dem Rundschreiben 01/2026 (VA) schafft die BaFin einen neuen, deutlich zeitgemäßeren Rahmen für Lösegeldversicherungen in Deutschland. Das Regelwerk ersetzt das alte Rundschreiben von 1998 und trägt vor allem der heutigen Realität digitaler Erpressungslagen Rechnung.

Die wichtigsten Eckpunkte:

• Lösegeldversicherungen bleiben grundsätzlich zulässig
• Sie dürfen aber nicht beworben werden
• Sie dürfen nicht mit anderen Versicherungen gebündelt sein
• Ihre Laufzeit darf ein Jahr nicht überschreiten
• Es gelten weitere strenge Bedingungen im Detail

Für Versicherer bedeutet das:
Spezialprodukt statt Massenmarkt.

Für Unternehmen bedeutet es:
Keine falsche Sicherheit – Prävention, Resilienz und Krisenmanagement bleiben wichtiger als jede Police.