BaFin-Fokusrisiken 2026 – Was regulierte Finanzunternehmen wissen müssen

Die BaFin nimmt 2026 insgesamt neun Risiken besonders in den Fokus:

I. Risiken für den Finanzmarkt:

1. Risiken aus signifikanten Korrekturen an den internationalen Finanzmärkten

2. Risiken aus dem Ausfall von Unternehmenskrediten

3. Risiken aus den Gewerbeimmobilienmärkten

4. Risiken aus Cyber-Vorfällen mit gravierenden Auswirkungen

5. Risiken aus Konzentrationen bei der Auslagerung von IKT-Dienstleistungen

6. Risiken aus unzureichender Prävention von Geldwäsche und Terrorismusfinanzierung

II. Risiken für Verbraucherinnen und Verbraucher:

1. Konsumfinanzierung auf Kredit

2. Investitionen in Kryptowerte und der Einfluss sozialer Medien auf das Anlageverhalten

3. Kosten von kapitalbildenden Lebensversicherungen 

1. Risiken aus Korrekturen an den internationalen Finanzmärkten

Die Bewertungen an den Aktienmärkten erreichen immer neue Rekorde. Die Risikoaufschläge (Spreads) an den Anleihenmärkten sind niedrig. Dennoch bleibt nach den Erkenntnissen der BaFin die Kursentwicklung auf den Finanzmärkten fragil:

Das Potential für plötzliche Markt- und Preiskorrekturen sei hoch. Zentrale Risikotreiber sind internationale Handelskonflikte, die teilweise hohe staatliche Verschuldung wichtiger Industrienationen und stark erhöhte Bewertungsniveaus beispielsweise im Technologiesektor. 

Hinzu kommen Konzentrationsrisiken bei Aktienindizes: Allein Nvidia, Apple und Microsoft machen gut 20 Prozent der Marktkapitalisierung des S&P500 aus. Auch der deutsche Leitindex DAX erreichte im Sommer 2025 Höchstwerte. Hier gibt es ebenfalls deutliche Konzentrationen – beispielsweise hat SAP einen Anteil von 13 Prozent am DAX-Index. 

Nichtbank-Finanzintermediäre (NBFI) gewinnen weiter an Bedeutung: Sie sind eng vernetzt – untereinander und mit dem traditionellen Finanzsystem. Ein Beispiel sind Private-Debt-Fonds. Diese Fonds verwalten weltweit ein Vermögen von ungefähr USD 2,5 Billionen. Die Insolvenz von First Brands im Oktober 2025 verdeutlicht diese Risikoverknüpfungen. Drohende Verluste aus Private-Debt-Fonds führten bei einigen US-Regionalbanken zu deutlichen Kursverlusten, die sich auch auf europäische Bankentitel ausweiteten. 

Ein Großteil internationaler Finanzierungen wird in US-Dollar abgewickelt; rund 90 Prozent des weltweiten Handels am Devisenmarkt beziehen sich auf die US-Währung. Europäische Banken sind daher auf kurzfristige Refinanzierungen in US-Dollar angewiesen, um ihren Zahlungsverpflichtungen nachkommen zu können. Kommt es jedoch zu Engpässen oder zu einem plötzlichen Anstieg der Finanzierungskosten – wie in Krisenzeiten etwa während der Finanzkrise, der Pandemie oder bei geopolitischen Schocks – kann dies zu Liquiditätsproblemen führen.

2. Risiken aus dem Ausfall von Unternehmenskrediten

Die deutsche Wirtschaft steht unter großem Druck. Nach zwei Jahren Rezession und einem minimalen Wachstum von 0,1 Prozent im Jahr 2025. Auch in diesem Jahr deutet wenig auf einen wirtschaftlichen Boom hin. Von den US-Zöllen von 15 Prozent auf die meisten Produkte sind insbesondere die stark exportorientierten Schlüsselindustrien Automobilbau, Chemie, Elektronik und Maschinenbau betroffen. 

Diese belastenden Faktoren zeigen sich auch in der Zahl der Unternehmensinsolvenzen. So lagen die beantragten Regelinsolvenzen in Deutschland von Januar bis Oktober 2025 bei 20.233. Das ist der höchste Wert seit 2014. Gegenüber dem Vorjahreszeitraum war ein Anstieg um 10,9 Prozent zu verzeichnen; und gegenüber 2023 sogar ein Anstieg um 37 Prozent. Mit der Zunahme von Insolvenzen ging zugleich ein Anstieg des Anteils notleidender Kredite (Non-Performing Loans) bei deutschen Banken einher.

Der Private-Debt-Markt wächst weltweit stark. Unternehmen nehmen zunehmend Kredite bei nicht-banklichen Investoren auf. In Deutschland spielt dieser Markt bislang eine relativ kleine Rolle, kann aber durch internationale Verflechtungen Risiken für das Finanzsystem bergen. Problematisch kann insbesondere sein, wenn Banken und andere Investoren wie Versicherer eng mit Private-Debt-Fonds verbunden sind oder diese zusätzlich finanzieren. Dadurch steigt die Vernetzung im Finanzsystem, was bei Zahlungsausfällen Ansteckungseffekte auslösen kann. Zudem erfordern solche Anlagen ein sehr gutes Risikomanagement, insbesondere für Versicherer, die genau verstehen müssen, wie die Fonds Kredite vergeben und welche Risiken damit verbunden sind.

3. Risiken aus den Gewerbeimmobilienmärkten

Die Situation am Markt für Gewerbeimmobilien bleibt fragil und birgt weiterhin erhöhte Risiken: Die Preise steigen zwar wieder leicht, das Transaktionsvolumen ist aber weiterhin sehr gering. Vor allem die Nachfrage ist schwach. Strukturelle Faktoren wie die weiterhin relativ hohe Home-Office-Quote und der Ausbau des Online-Handels trüben die Lage am Gewerbeimmobilienmarkt. Die Quote für notleidende Kredite bei Gewerbeimmobilien und das entsprechende NPL-Volumen sind seit Anfang 2023 stetig gestiegen. Die NPL-Quote beträgt für deutsche weniger bedeutende Institute Stand drittes Quartal 2025 4,4 Prozent und für deutsche bedeutende Institute 6,4 Prozent. 

Der Gewerbeimmobilienmarkt bleibt ein Risiko für Banken. Gewerbeimmobilienkredite machen etwa 9 % der Bilanzsumme deutscher Banken aus, wodurch einzelne Institute bei Kreditausfällen stark betroffen sein können. Besonders spezialisierte Banken sind anfällig, da sie Verluste oft nicht durch andere Geschäftsfelder ausgleichen können.

Seit August 2023 sind bei Immobilien-Publikumsfonds kontinuierliche Nettomittelabflüsse zu beobachten. Im Oktober 2025 sind in Summe rund EUR 720 Millionen an Nettomitteln abgeflossen. Insgesamt belaufen sich die Nettomittelabflüsse seit August 2023 auf EUR 13 Milliarden. Obwohl die hierfür gesetzlich geltenden Liquiditätsmanagementtools einer zweijährigen Mindesthaltedauer und einjähriger Rückgabefrist die Liquiditätsrisiken mitigieren, sind einzelne Immobilien-Publikums-Sondervermögen mit Liquiditätsengpässen konfrontiert.

4. Risiken aus Cyber-Vorfällen

Die Bedrohung durch Cyber-Vorfälle bleibt erheblich. Hintergrund sind geopolitische Spannungen, komplexere IT-Systeme und der Einsatz künstlicher Intelligenz. Die Einschätzung der BaFin spiegelt auch die Einschätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI) wider, das für Anlagen der Kritischen Infrastrukturen eine erhöhte Cyber-Bedrohungslage feststellt. 

Seit dem 17. Januar 2025 gilt DORA – der Digital Operational Resilience Act. Durch DORA agiert die BaFin für den deutschen Finanzsektor als zentraler Melde-Hub für schwerwiegende Vorfälle der Informations- und Kommunikationstechnologie (IKT) und leitet Meldungen an relevante Behörden wie BSI und Deutsche Bundesbank weiter. Die am häufigsten gemeldete Angriffsart ist Phishing. Durch Phishing versuchen Angreifer, Zugriff auf sensible Systeme und Daten zu erhalten oder Schadsoftware bei Unternehmen einzubringen, um Systeme zu kompromittieren. Neben Finanzunternehmen nehmen Angreifer häufig auch deren Dienstleister ins Visier. 31 Prozent aller gemeldeten Angriffe ereigneten sich 2025 nicht bei einem Finanzunternehmen selbst, sondern bei einem seiner Dienstleister. Die Angriffe hatten jedoch schwerwiegende Auswirkungen auf das Finanzunternehmen. 

Der verstärkte Einsatz von KI im Finanzsektor bringt neben Chancen auch neue Sicherheitsrisiken. Angriffe wie manipulierte Trainingsdaten (Data/Model Poisoning), Datenausspähung (Privacy Attacks) oder Umgehung von Schutzmechanismen (Evasion Attacks) können zu falschen Ergebnissen, Datenlecks oder schädlichen Modellreaktionen führen. Daher müssen Unternehmen ihre KI-Systeme gezielt absichern, etwa durch Inhaltsfilter und kontinuierliche Überwachung der Modelle. Gleichzeitig kann generative KI auch die Cyberabwehr stärken, etwa durch das Erkennen von Angriffen und die Simulation möglicher Bedrohungsszenarien.

5. Risiken aus IKT-Auslagerungskonzentrationen

Der digitale Wandel hat die Abhängigkeiten von IKT-Dienstleistungen enorm gesteigert. Cloud-Computing, Softwarelösungen und andere datenbezogene Dienste sind für die Akteure des Finanzmarkts immer wichtiger geworden. Dabei entstehen Konzentrationen und kritische Abhängigkeiten, da viele Finanzunternehmen einige wenige Mehrmandanten-Dienstleister nutzen. 

Ausfälle bei IKT-Dienstleistern sind keine Ausnahme: Vorfälle wie die massiven IT-Ausfälle bei einem fehlerhaften Update der Sicherheitssoftware Crowdstrike im Sommer 2024 oder die im Oktober 2025 aufgrund interner technischer Fehler bei Amazon Web Services aufgetretene globale Störung kann gravierende Konsequenzen für den Finanzmarkt haben. 

Viele Finanzunternehmen sind von IKT-Dienstleistern aus Drittländern (z. B. für Cloud, Software oder Datenanalyse) abhängig. Dadurch entstehen Risiken für Datenschutz, IT-Sicherheit und regulatorische Vorgaben, besonders wegen möglicher Zugriffe ausländischer Behörden und geopolitischer Spannungen. Daher gewinnen europäische Anbieter zunehmend an Bedeutung.

Auf Basis der Einträge von mehr als 10.000 europäischen Finanzunternehmen im Informationsregister haben die Europäischen Aufsichtsbehörden am 18. November 2025 eine Liste der als kritisch eingestuften IKT-Drittdienstleister veröffentlicht. Konkret handelt es sich um 19 IKT-Drittdienstleister, die ihren Sitz in Europa oder in Drittländern haben. Finanzunternehmen bleiben trotz Aufsicht über IKT-Drittdienstleister selbst für die Einhaltung regulatorischer Vorgaben verantwortlich, so dass eine kontinuierliche Bewertung und Überwachung von IKT-Drittparteirisiken nach den Vorgaben von DORA erforderlich ist.

6. Risiken aus unzureichender Geldwäscheprävention

Für die Akteure des Finanzmarkts bleibt das Risiko erhöht, für Geldwäsche und Terrorismusfinanzierung missbraucht zu werden. Bekämpfung und Prävention bleiben anspruchsvoll, denn die Risikolage ändert sich ständig und wird immer komplexer. Ein Grund sind die wachsenden geopolitischen Spannungen. Die zunehmende Fragmentierung des Zahlungsverkehrs und der Ausbau des Kryptogeschäfts erhöhen die Risiken zusätzlich. 

Während die Geldwäscheprävention bei den Verpflichteten relativ präsent ist, steht die Bekämpfung der Terrorismusfinanzierung weniger im Fokus. Dabei erfordert sie ebenso intensive Maßnahmen wie die Geldwäscheprävention. Sie erfordern aber auch maßgeschneiderte Maßnahmen. Denn Terrorismusfinanzierung und Geldwäsche unterscheiden sich: Bei der Terrorismusfinanzierung stammen die Gelder oft aus legalen Quellen. 

Umgehungsgeschäfte stellen ein erhebliches Risiko dar, da häufig komplexe Strukturen genutzt werden, um Sanktionen, länderspezifische Risiken oder die Identität wirtschaftlich Berechtigter zu verschleiern. Besonders im Fokus stehen Transaktionen mit Hochrisikostaaten wie Iran, bei denen sich Handelsströme teilweise über Nachbarländer verlagern. Typische Methoden sind etwa Phantomhandel (Abrechnung nicht gelieferter Waren), Über- oder Unterfakturierung zur Vermögensverschiebung sowie die Einschaltung unnötiger Zwischenakteure. Auch Krypto-Transaktionen können zur Umgehung genutzt werden. Finanzunternehmen sollen nach Erwartung der BaFin ihre Kontroll- und Monitoring-Systeme stärken, um auffällige Transaktionen früh zu erkennen und die wirtschaftlichen Hintergründe von Geschäften sorgfältig zu prüfen.

Weiterhin im Fokus stehen Zahlungsdienstleister. Durch das Wachstum des Online-Handels und die verstärkte Nutzung von Kartenzahlungen gewinnen deren geldwäscherechtlichen Sicherheitsmaßnahmen stärker an Bedeutung. Gleichzeitig steigt die Bedeutung möglicher organisatorischer Schwachstellen, etwa bei der Kundenidentifizierung oder der Risikobewertung von Geschäftspartnern.

Im Jahr 2026 wird die BaFin mindestens 75 Sonderprüfungen im Banken- und Nichtbankenbereich durchführen. Schwerpunkte der Prüfungen bei den Banken sind die Kunden-Risikoklassifizierung und die Umsetzung der seit Dezember 2024 anwendbaren Travel Rule durch Kryptowerte-Dienstleister. 

1. Konsumfinanzierung auf Kredit

Die Zahl der überschuldeten Verbraucher ist 2025 erstmals seit 2018 wieder gestiegen. Sie lag laut dem Schuldneratlas der Creditreform aus November 2025 bei rund 5,67 Millionen oder 8,16 Prozent der Bevölkerung über 18 Jahre. Das ist ein Anstieg von zwei Prozent im Vergleich zum Vorjahr und Ausdruck einer erhöhten Risikolage. Der Risiko- und Kreditkompass der SCHUFA aus 2025 zeigt, dass 2024 erstmals über zehn Millionen neue Ratenkreditverträge abgeschlossen wurden – ein Anstieg von 50 Prozent seit 2020. Besonders Ratenkredite unter EUR 1.000 treiben diesen Zuwachs und machen mittlerweile etwa die Hälfte der neu abgeschlossenen Verträge aus.

Die führt die BaFin zum Teil auf die Konsumfinanzierung mit echten Kreditkarten zurück. Echte oder revolvierende Kreditkarten sind Kreditprodukte. Verbraucherinnen und Verbraucher können ihren Saldo aus der Kreditkartenabrechnung in Raten tilgen. Sie nehmen damit einen Kreditkartenkredit auf, für den sie grundsätzlich Zinsen zahlen müssen. Eine BaFin-Umfrage aus 2025 zur Kreditkartennutzung ergab, dass zehn Prozent der Kreditkartennutzer echte Kreditkartenkredite nutzen. Drei Viertel von ihnen gaben an, dass die Rückzahlungsart "in Raten" vom Institut voreingestellt war. Sieben von zehn Befragten wussten nicht, welcher Zinssatz dafür anfällt. Bei Kreditkartenkrediten können die effektiven Jahreszinsen aktuell bis zu 25 Prozent betragen – fast dreimal so hoch wie der durchschnittliche Zinssatz für Ratenkredite.

Ein weiterer Aufsichtsfokus liegt auf dem Konzept des Buy Now, Pay Later (BNPL), einer Bezahlmethode, die vor allem für Kleinst- und Kurzzeitkredite im Online-Handel genutzt wird, oft für Beträge unter EUR 200. Händler bieten BNPL beim Checkout als Zahlungsmöglichkeit an, die Zahlungsdienstleister übernehmen die Forderung und ziehen das Geld von den Käufern ein. Eine BaFin-Umfrage zeigt, dass BNPL beim Online-Kauf oft zu höheren Ausgaben führt als geplant. Etwa ein Viertel der befragten BNPL-Nutzer erlebte dies bereits. Besonders junge Verbraucher neigen zu solchen Impulskäufen. Durch die einfache Handhabung verleitet BNPL dazu, in kurzer Zeit mehrfach kreditfinanziert einzukaufen. Bei 14 Prozent der Befragten führte dies zum Verlust des Überblicks über offene Rechnungen. Auch hier sind junge Verbraucher besonders betroffen. 

Bei Kleinst- und Kurzzeitkrediten gibt es aktuell keine Pflicht zur Kreditprüfung. Verbraucher müssen selbst einschätzen, ob sie sich den Kauf leisten können, was teilweise zu Problemen führt. Die Novelle der Verbraucherkreditrichtlinie wird zwar diese Lücke weitgehend schließen, dennoch sieht die BaFin weiterhin Risiken für Verbraucher. Diese können durch die Möglichkeit der Finanzierung insbesondere zu unüberlegten Impulskäufen verleitet werden und den Überblick über die eigenen Finanzen verlieren.

2. Kryptowerte und Finfluencer

Kryptowerte gewinnen bei deutschen Verbrauchern an Beliebtheit, obwohl sie weiterhin ein erhöhtes Risiko darstellen. Kryptowerte ohne eigenen, also inhärenten, Wert sind die vorherrschenden Angebote im Kryptomarkt. Im Dezember 2025 waren Bitcoin (ca. USD 1,8 Billionen, 53 Prozent der gesamten Marktkapitalisierung) und Ethereum (ca. USD 380 Milliarden, 11 Prozent) die Kryptowerte mit der höchsten Marktkapitalisierung. Beide zeigten eine hohe Volatilität. So fiel Ethereum von Anfang 2025 bis April 2025 von etwa USD 3.300 auf USD 1.500 – ein Minus von 54 Prozent in vier Monaten. 

Diese hohe Volatilität macht Kryptowerte für Verbraucher zu einer hochspekulativen Geldanlage. Kryptowerte bergen Cyber-Risiken – Zugriffsverlust, Phishing und Hacker-Angriffe sind nur einige Gefahren. Im Februar 2025 ereignete sich der bis heute größte bekannte Diebstahl bei der Krypto-Börse Bybit: Hacker stahlen 400.000 Ethereum Token im Wert von etwa USD 1,4 Milliarden. Hackerangriffe auf Kryptoverwahrdienste sind für Verbraucher besonders risikoträchtig, da es keine Einlagensicherung gibt. 

Financial Influencer, kurz: Finfluencer, prägen stark, wie in den sozialen Medin über Finanzthemen informiert wird. Mehr als die Hälfte der 18- bis 45-jährigen Anlegerinnen und Anleger hat in der von der BaFin 2024 durchgeführten repräsentativen Verbrauchererhebung bereits Informationen von einem Finfluencer erhalten. Als Finfluencer treten auch Personen mit unzureichendem Fachwissen oder fragwürdigen Motiven auf, die Verbraucherinnen und Verbraucher zu riskanten Geldanlagen verleiten können.

Der Krypto-Sektor bietet unseriösen Akteuren viele Möglichkeiten, insbesondere beim Handel mit Memecoins wie Dogecoin, deren Wert stark von Nachfrage und Hype abhängt und eher Glücksspielcharakter hat. Das macht sie für Verbraucher besonders risikoreich. Finfluencer können Kurse manipulieren und Verbraucher zu übereilten Investitionen verleiten. Besonders riskant sind Chat-Gruppen auf WhatsApp, Discord oder Telegram, in denen Druck und falsche Identitäten eingesetzt werden, um fragwürdige Investments zu empfehlen. Die BaFin warnte 2025 rund 100 Mal vor solchen betrügerischen Gruppen.

3. Kosten kapitalbildender Lebensversicherungen

Kapitalbildende Lebensversicherungen sind ein wichtiger Baustein der privaten Altersvorsorge. Im Jahr 2024 gab es hierzulande rund 59 Millionen kapitalbildende Lebensversicherungen. 2,4 Millionen Verträge wurden in dem Jahr neu abgeschlossen. Manche Produkte bieten jedoch keinen angemessenen Kundennutzen, vor allem dann, wenn sie unangemessen teuer sind.

Für die Rendite einer kapitalbildenden Lebensversicherung spielen neben dem Anlageerfolg die Kosten eine wesentliche Rolle. Die BaFin misst sie anhand der Effektivkosten. Diese Kennzahl gibt an, wie stark die jährliche Rendite durch Kosten gemindert wird. Die Effektivkosten der verschiedenen Anbieter und Produkte unterscheiden sich erheblich. Eine Abfrage der BaFin im Jahr 2022 zeigte: In Einzelfällen beliefen sich die Effektivkosten auf über vier Prozent. Erst über diesem Kosten-Niveau kam die erzielte Rendite effektiv den Kunden zugute. In solchen Fällen erscheint ein angemessener Kundennutzen zweifelhaft. 

Die BaFin überprüft, ob kapitalbildende Lebensversicherungsprodukte die Vorgaben des Merkblatts von Mai 2023 zu wohlverhaltensaufsichtlichen Aspekten einhalten. Auch werden Produktfreigabeverfahren bei ausgewählten Versicherern untersucht, die anhand von Risikofaktoren wie Effektivkosten, Stornoquoten oder Geschäftsmodell ausgewählt werden. Zusätzlich werden Versicherer kontrolliert, die durch hohe Vermittleraufwendungen auffallen, etwa hohe Abschlussprovisionen oder Rückvergütungen von Fondsgesellschaften.

Unternehmen der Finanzbranche sollten sich die aktuellen Fokusrisiken der BaFin im Rahmen ihres Risikomanagementprozesses vor Augen führen. Die Aufsicht legt im aktuellen Jahr ein deutliches Augenmerk auf die Themenfelder Mark- und Kreditrisiken, IKT-Risiken, Geldwäsche/Terrorismusfinanzierung und Verbraucherschutz. Aktuelle Entwicklungen des geltende Rechtsrahmens wie auch der zugehörigen Aufsichtspraxis sind dabei im Blick zu behalten.

Jetzt Kontakt aufnehmen