Ransomware gehört nach wie vor zu den größten Bedrohungen für Unternehmen. Ein unachtsamer Klick, ein fehlendes Update – und schon liegen ganze Systeme lahm. Die Erpresser fordern Lösegeld, oft in Millionenhöhe. Viele Unternehmen setzen im Ernstfall auf ihre Cyberversicherung, die Lösegeldzahlungen unter bestimmten Voraussetzungen grundsätzlich abdecken kann. Das sorgt immer wieder für Diskussionen: Fördert Versicherungsschutz nicht gerade das kriminelle Geschäftsmodell der Täter?
Verbot oder Prävention?
Seit 2021 wurde in Deutschland über ein mögliches Verbot solcher Versicherungsleistungen diskutiert. Die Innenministerkonferenz (IMK) hat sich im Dezember 2024 jedoch klar gegen ein Verbot der Versicherung von Lösegeldern im Rahmen der Cyberversicherung positioniert: Ein generelles Verbot sei nicht effektiv, um Cyberkriminellen das Handwerk zu legen.
Stattdessen soll der Fokus auf eine Stärkung der Cybersicherheit gelegt werden – durch:
- den Ausbau technischer Schutzmaßnahmen,
- die kontinuierliche Weiterbildung von Fachkräften und Anwendern,
- eine engere Zusammenarbeit von Polizei, Wirtschaft und Verwaltung,
- eine Stärkung der internationalen Strafverfolgung.
Was gilt aktuell in Deutschland?
In Deutschland gibt es derzeit keine ausdrücklichen gesetzlichen Regelungen, die konkrete Vorgaben an die Versicherung von Lösegeldzahlungen treffen. Maßgeblich sind Vorgaben der BaFin, die im Kern auf ein Rundschreiben aus dem Jahr 1998 zurückgehen. Zu diesen Vorgaben gehört unter anderem ein hohes Maß an Geheimhaltung über das Bestehen einer Lösegeldversicherung sowie die Verpflichtung, Erpressungsstraftaten unverzüglich anzuzeigen und mit den Strafverfolgungsbehörden zu kooperieren, um auf diese Weise das staatliche Strafverfolgungsinteresse zu unterstützen. Diese Vorgaben sind rechtlich zwar keine Gesetze, faktisch aber bindend, weil die BaFin ihre Verwaltungspraxis danach ausrichtet.
Blick nach vorn: Was plant die Politik?
Ein Verbot der Versicherung von Lösegeldzahlungen ist auch im Koalitionsvertrag 2025 nicht vorgesehen. Die aktuelle Bundesregierung setzt stattdessen auf:
- eine bessere Unterstützung des Mittelstands beim Aufbau von Cyber-Resilienz,
- die Förderung praxisnaher IT-Sicherheitsforschung,
- den Ausbau des BSI zur zentralen Cybersicherheitsbehörde,
- die Umsetzung der europäischen NIS-2-Richtlinie.
Kurz: Mehr Prävention und Kompetenzaufbau – weniger neue Verbote.
Fazit
Es wird vorerst kein Verbot der Versicherung von Lösegeldern im Rahmen von Cyberversicherungen geben. Der Fokus der Politik liegt derzeit nicht auf Beschränkungen der Vertragsfreiheit, sondern auf der Stärkung von Abwehr- und Ermittlungsstrukturen. Auch wenn die Versicherung von Lösegeldern keinem gesetzlichen Verbot unterliegt, sollten Unternehmen und Versicherer sich der rechtlichen Risiken im Zusammenhang mit einer Zahlung bzw. Erstattung von Lösegeldern im Einzelfall dennoch bewusst sein.
Von der Frage der rechtlichen Zulässigkeit der Versicherung von Lösegeldzahlungen zu trennen ist nämlich die Frage der Strafbarkeit einer Zahlung durch das betroffene Unternehmen bzw. die Erstattung durch den Versicherer im Einzelfall. Etwaige Strafbarkeits- und Sanktionsrisiken sind deshalb in jedem Einzelfall von den betroffenen Unternehmen zu prüfen. Versicherer sollten angemessene Verfahrensabläufe implementieren, um etwaige eigene Strafbarkeits- und Sanktionsrisiken durch eine (spätere) Erstattung von Lösegeldzahlungen zu vermeiden. Aus unserer Regulierungspraxis sind uns bisher keine Fälle aktiver Strafverfolgung gegen Unternehmen oder in die Lösegeldzahlung eingebundene Dienstleister, einschließlich Versicherern, bekannt.