Ein Gespräch mit Rechtsanwalt Niklas Linnemann
Cyberangriffe zählen zu den größten wirtschaftlichen Risiken für Unternehmen. Entsprechend wächst der Markt für Cyberversicherungen. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat Anfang 2026 eine neue Aufsichtsmitteilung veröffentlicht, die sich mit sogenannten Schwankungsrückstellungen für Cyberversicherungen beschäftigt.
Doch was steckt dahinter – und welche Folgen hat das für Versicherer? Darüber spricht unsere Redaktion mit Rechtsanwalt Niklas Linnemann, der sich auf Versicherungs- und Finanzaufsichtsrecht spezialisiert hat.
Herr Linnemann, die BaFin hat eine neue Aufsichtsmitteilung zur Cyberversicherung veröffentlicht. Worum geht es dabei?
Nilas Linnemann:
Im Kern geht es um eine finanzielle Sicherheitsreserve, die Versicherungen bilden müssen. Diese Reserve nennt man Schwankungsrückstellung.
Die Idee ist einfach: Schäden treten im Versicherungsbereich nicht jedes Jahr gleich stark auf. Es kann Jahre mit wenigen Schäden geben – und Jahre mit sehr vielen, zum Beispiel nach einer großen Cyberangriffswelle.
Die Rückstellung soll dafür sorgen, dass Versicherer finanziell stabil bleiben, auch wenn plötzlich viele Schäden gleichzeitig auftreten.
Was genau ist eine „Cyberversicherung Stand alone“?
Linnemann:
Das ist eine eigenständige Versicherung gegen Cyberrisiken.
Sie deckt zum Beispiel:
-
Hackerangriffe
-
Datenlecks
-
IT-Ausfälle durch Cyberattacken
-
Kosten für IT-Forensik oder Krisenmanagement
Wichtig ist: Die BaFin meint hier reine Cyberpolicen, also Versicherungen, die ausschließlich Cyberrisiken abdecken.
Nicht gemeint sind kleine Zusatzbausteine, die etwa in einer Betriebshaftpflicht enthalten sind.
Warum beschäftigt sich die BaFin jetzt damit?
Linnemann:
Weil Cyberversicherungen inzwischen ein eigenständiger Versicherungszweig geworden sind.
Ab dem Bilanzjahr 2025 müssen Versicherer ihre Zahlen für Cyberversicherungen erstmals separat in der Gewinn- und Verlustrechnung ausweisen.
Das bedeutet:
Die BaFin kann künftig genauer beobachten, wie profitabel und wie risikoreich diese Versicherungen tatsächlich sind.
Müssen Versicherungen jetzt sofort diese Schwankungsrückstellung bilden?
Linnemann:
Nein, zunächst nicht verpflichtend.
Normalerweise verlangt das Gesetz für diese Rückstellungen mindestens zehn Jahre Schadendaten.
Bei Cyberversicherungen gibt es diese Daten aber noch nicht ausreichend, weil der Markt relativ jung ist. Die BaFin hat beispielsweise erst Daten ab 2020 gesammelt.
Deshalb sagt die Aufsichtsmitteilung:
Für das Bilanzjahr 2025 besteht noch keine Pflicht zur Bildung dieser Rückstellung.
Können Versicherer trotzdem schon Rückstellungen bilden?
Linnemann:
Ja, das ist möglich.
Ein Versicherungsunternehmen kann bei der BaFin einen Antrag auf eine Ausnahmegenehmigung stellen. Dann darf es schon früher eine Schwankungsrückstellung bilden.
Allerdings müssen bestimmte Voraussetzungen erfüllt sein:
-
ausreichende Prämieneinnahmen
-
nachvollziehbare Schadendaten
-
eine ausreichende statistische Grundlage
Statt zehn Jahren akzeptiert die BaFin in diesem Fall mindestens sieben Jahre eigene Unternehmensdaten.
Warum ist diese Rückstellung überhaupt wichtig?
Linnemann:
Cyberrisiken sind extrem schwankungsanfällig.
Ein einzelner großer Angriff – etwa eine globale Ransomware-Welle – kann zu sehr hohen Schadenforderungen führen.
Mit einer Schwankungsrückstellung können Versicherer in guten Jahren Geld zurücklegen und es in schlechten Jahren nutzen.
Das schützt letztlich auch die Versicherten, weil die Versicherer finanziell stabil bleiben.
Was passiert mit den bisherigen Cyberdaten der Versicherer?
Linnemann:
Viele Versicherer haben Cyberrisiken bisher in anderen Versicherungssparten verbucht, zum Beispiel in der IT-Haftpflicht oder Vermögensschadenversicherung.
Wenn eine eigene Cyber-Rückstellung gebildet wird, müssen diese Cyberdaten aus den alten Kategorien herausgerechnet werden.
Der Hintergrund:
Die gleichen Daten dürfen nicht doppelt in verschiedenen Rückstellungen verwendet werden.
Ab wann wird die Rückstellung verpflichtend?
Linnemann:
Sobald ein Versicherer zehn Jahre eigene Cyberdaten gesammelt hat und bestimmte Kennzahlen erfüllt.
Ein Beispiel:
Hat ein Versicherer bereits seit 2017 Cyberversicherungen angeboten, könnte die Pflicht zur Bildung einer Schwankungsrückstellung ab 2027 entstehen.
Für jüngere Anbieter könnte das erst ab etwa 2030 der Fall sein.
Die BaFin hat auch Schaden- und Kostenquoten veröffentlicht. Was sagen diese Zahlen aus?
Linnemann:
Diese Quoten zeigen, wie viel Prozent der Einnahmen durch Schäden oder Kosten aufgezehrt werden.
Beispiel:
-
Schadenquote 2023: 74 %
-
Kostenquote: etwa 22 %
Das bedeutet vereinfacht:
Von 100 Euro Versicherungsprämie gehen etwa
-
74 Euro für Schäden
-
22 Euro für Verwaltung und Vertrieb
drauf.
Das zeigt: Cyberversicherungen können sehr schwankungsanfällig sein – in manchen Jahren liegt die Schadenquote sogar über 100 Prozent.
Ihr Fazit: Was bedeutet die Aufsichtsmitteilung insgesamt?
Linnemann:
Die BaFin schafft damit klare Regeln für einen jungen Versicherungsmarkt.
Kurz gesagt:
-
Cyberversicherungen werden regulatorisch eigenständig behandelt
-
Versicherer müssen ihre Daten künftig genauer ausweisen
-
langfristig werden finanzielle Sicherheitsreserven verpflichtend
Das soll sicherstellen, dass der Markt für Cyberversicherungen stabil wächst und auch große Schadenereignisse verkraften kann.
Kommentar hinterlassen