Cyber Insurance · November 2025

Ohne DMARC riskierst du Leistungsausschlüsse

Versicherer bewerten Phishing- und Social-Engineering-Schäden strenger denn je. DMARC ist ein Prüfpunkt in Fragebögen und Audits. Fehlende Policies oder Reports können im Schadenfall zur Ablehnung führen.

Was Versicherer fordern

• Nachweis, dass DMARC mindestens auf p=quarantine steht.
• Proof-of-Controls, etwa Screenshots oder Export aus DMARCFlow.
• Incident-Playbooks für den Fall kompromittierter Subdomains.

Typische Ausschlussgründe

Fehlt ein DMARC-Record auf einer Domain, über die Betrüger Rechnungen verschicken, argumentieren Versicherer, dass grundlegende Sorgfaltspflichten verletzt wurden. Auch fehlende Logs oder Reports gelten als grobe Fahrlässigkeit.

So erhöhst du deine Chancen

1. Implementiere DMARCFlow-Reports und archiviere sie mindestens 24 Monate.
2. Dokumentiere jede Policy-Änderung und lasse sie von der IT-Leitung freigeben.
3. Teile Phishing-Vorfälle mit deinem Versicherer, bevor der Schaden eskaliert.

Diese kompakte deutsche Fassung verweist auf den ausführlichen englischen Artikel mit Beispielen und Vertragszitaten. Für Unterstützung bei Audits kontaktiere DMARCFlow.