Cyber Insurance · November 2025

Ohne DMARC riskierst du Leistungsausschlüsse

Cyber-Versicherungen haben sich in den letzten drei Jahren fundamental verändert. Was früher als Nice-to-have galt, ist heute Voraussetzung für Versicherungsschutz: Wer keine nachweisbare E-Mail-Authentifizierung betreibt, riskiert bei einem Schadensfall teilweise oder vollständige Leistungsausschlüsse – unabhängig davon, ob DMARC in der Police explizit erwähnt wird.

Warum Versicherer DMARC zur Bedingung machen

Business-E-Mail-Compromise (BEC) ist die kostspieligste Angriffskategorie im Cyber-Bereich. Laut Bitkom-Report 2024 verursachten BEC-Vorfälle bei deutschen Unternehmen durchschnittlich 87.000 Euro Schaden pro Fall – Tendenz steigend. Versicherer wie Allianz, Hiscox und AXA haben ihre Risikomodelle entsprechend angepasst: Domains ohne DMARC-Enforcement werden in der Schadensmodellierung als signifikant höheres Risiko eingestuft.

Das bedeutet in der Praxis: Dein Unternehmen zahlt entweder höhere Prämien, weil das Risikoprofil schlechter ist, oder du bekommst bestimmte BEC-Schäden schlicht nicht ersetzt, wenn die Versicherung im Schadenfall feststellt, dass du ohne p=quarantine oder p=reject betrieben hast, obwohl eine günstige Alternative verfügbar gewesen wäre.

Was Versicherer in Fragebögen und Audits konkret verlangen

Die Risikofragebögen der großen Cyber-Versicherer enthalten seit 2023 explizite Fragen zu E-Mail-Authentifizierung. Die typischen Anforderungen lauten:

  • DMARC-Policy mindestens p=quarantine für alle primären Senddomains. Ein p=none-Record wird in der Regel nicht als ausreichende Kontrolle gewertet, auch wenn er technisch vorhanden ist.
  • SPF-Record valide und konform: Maximal 10 DNS-Lookups, kein +all-Mechanismus, keine veralteten Include-Verweise auf eingestellte Provider.
  • DKIM-Signatur aktiv für alle relevanten Mailstreams (transaktional, Marketing, interne Systeme). Signaturlänge mindestens 2048 Bit.
  • Aggregiertes Reporting (rua) konfiguriert und aktiv überwacht: Versicherer möchten nachvollziehen können, dass du nicht nur Records veröffentlicht hast, sondern auch weißt, was auf deiner Domain passiert.
  • Incident-Response-Plan für E-Mail-Vorfälle: Ein dokumentiertes Verfahren, wer bei einem erkannten Spoofing-Angriff informiert wird und in welchem Zeitfenster reagiert werden muss.

Typische Ausschlussgründe im Schadenfall

Versicherungsrechtler berichten von drei Argumentationslinien, die Versicherer bei BEC-Schäden ohne DMARC nutzen:

  1. Verletzung grundlegender Sorgfaltspflichten: Wenn DMARC seit Jahren als Best Practice anerkannt ist und kostengünstig verfügbar ist, kann das Nichtimplementieren als grobe Fahrlässigkeit gewertet werden. Die Police enthält in der Regel eine Klausel, die den Versicherungsschutz bei grober Fahrlässigkeit ausschließt oder reduziert.
  2. Fehlende Nachweisbarkeit: Ohne DMARC-Reports kann das Unternehmen im Schadenfall nicht belegen, ob die angegriffene Domain routinemäßig überwacht wurde. Das schwächt die Position im Schadenregulierungsverfahren erheblich.
  3. Nichteinhaltung von Warranty-Klauseln: Viele Cyber-Policies enthalten Warranties, in denen das versicherte Unternehmen bestätigt, "zeitgemäße technische Sicherheitsmaßnahmen" zu betreiben. Fehlt DMARC, kann der Versicherer argumentieren, dass diese Warranty beim Vertragsabschluss falsch war.

Welche Dokumentation du jetzt anlegen solltest

Die gute Nachricht: Mit einem strukturierten Ansatz lässt sich die für Versicherungsaudits nötige Dokumentation innerhalb weniger Wochen aufbauen. DMARCFlow hilft dir dabei, folgende Artefakte automatisch zu erzeugen:

  • Domain-Inventar mit Policy-Status: Tabellarische Übersicht aller Domains und Subdomains, aktueller DMARC-Policy und verantwortlichem Ansprechpartner. Exportierbar als PDF oder CSV für den Versicherungsfragebogen.
  • Alignment-Metriken pro Sendesystem: Welcher Anteil der Mails aus deinem CRM, deinem ERP und deinen Marketing-Plattformen besteht SPF- und DKIM-Alignment-Prüfungen? Werte unter 95 % signalisieren Konfigurationsprobleme, die vor einer Policy-Eskalation behoben werden müssen.
  • Chronologisches Report-Archiv: DMARC-Aggregatberichte werden 24 Monate archiviert. Das schafft die Nachweiskette, die Versicherer im Schadenfall verlangen: Wann wurde was erkannt, wann reagiert?
  • Change-Log für DNS-Änderungen: Dokumentierte Protokolle mit Zeitstempel und Freigeber für jede DMARC-, SPF- und DKIM-Änderung. Das beweist ein kontrolliertes Governance-Verfahren.

Prämienreduktion als wirtschaftliches Argument

Mehrere Versicherungsbroker berichten, dass Unternehmen mit nachgewiesenem DMARC p=reject und aktivem Monitoring in der Laufzeitverlängerung Prämienreduktionen von 10–20 % erzielen. Bei einer jährlichen Prämie von 15.000 Euro sind das 1.500–3.000 Euro Ersparnis pro Jahr – genug, um den Betrieb einer professionellen DMARC-Monitoring-Plattform vollständig zu finanzieren.

Das Argument für DMARC lässt sich damit nicht nur technisch-sicherheitlich begründen, sondern direkt als ROI gegenüber der Geschäftsführung kommunizieren: Die Implementierungskosten amortisieren sich durch Prämienreduktion und vermiedene Schadensfälle innerhalb von sechs bis zwölf Monaten.

Nächste Schritte

  1. Prüfe deinen aktuellen DMARC-Status mit dem DMARCFlow DMARC-Prüfer – kostenlos, in unter 30 Sekunden.
  2. Lass DMARC-Aggregatreporting einrichten, falls noch nicht aktiv, und plane 30 Tage Monitoring, bevor du die Policy hochfährst.
  3. Exportiere einen Compliance-Nachweis aus DMARCFlow und lege ihn beim nächsten Versicherungsgespräch vor.

Du möchtest schnell wissen, wo dein Unternehmen steht? Überprüfe deine Domain jetzt oder buche eine kurze Beratung mit dem DMARCFlow-Team.