Anmelden
Versicherungen · VAIT · DORA

Schaden-Posteingang.Maklerkommunikation.Versicherung E-Mail Sicherheit nach VAIT.

MailGuard plus SecureMail für Erst- und Rückversicherer mit VAIT- und DORA-Bezug. Schadensakten verschlüsseln, Maklerkommunikation absichern, BaFin-Audit-fähig. EU-Hosting, Stand 2026.

Demo anfragenMailGuard im Detail
Auf einen BlickStand 2026

Schaden, Vertrieb, Makler und Rückversicherer in einer Plattform.

  • Phishing und CEO-Fraud in Schaden-Sammelpostfächern, gefälschte Polizei- oder Werkstatt-Mails an SchadenstellenMehrstufige BEC- und URL-Reputations-Schicht, DMARC-Auswertung und IBAN-Wechsel-Heuristik im Posteingang
  • Maklerpost und Anwaltskorrespondenz als manueller Risikoschritt, Excel-mit-Passwort-per-SMS-WorkaroundSecureMail-Default mit S/MIME oder Web-Reader-Fallback direkt aus Outlook Classic, New oder Web
  • VAIT- und DORA-Audit ohne dokumentiertes Maßnahmen-Mapping, Prüfer fragen nach NachweisenVAIT-Kapitel 4 bis 10 und DORA Art. 6 bis 15 prüffähig als technische Maßnahme im IKS hinterlegt
MailGuard für Schaden- und Vertriebs-Posteingänge gegen CEO-Fraud bei Schadens-Auszahlungen, SecureMail für Anwalts-, Gutachter- und Maklerpost mit S/MIME-Default direkt aus Outlook, SecureFiles für Schadensakten und Rückversicherungs-Bordereaux, Disclaimer für VVG-Pflichtangaben pro Sparte. VAIT- und DORA-Bezug auf der Maßnahmenebene, prüffähig gegenüber dem BaFin-IT-Audit dokumentiert und mit dem GDV-Code of Conduct Datenschutz abgestimmt.
Geeignet für Sie wenn:Erst- und RückversichererBaFin-AufsichtVAIT · DORA · GDV
100 %
EU-Hosting
VAIT + DORA
Bezug
§ 23-32 VAG
Geschäftsorganisation
30 Min.
Setup je Postfach

Compliance-Anker

VAIT Kapitel 4 InformationssicherheitDORA Art. 6 bis 15 IKT-Risikomanagement§ 23 bis 32 VAG GeschäftsorganisationGDV-Verhaltensregeln zum Datenschutz

Conbool unterstützt VAIT-, DORA- und VAG-Anforderungen auf der Ebene technischer Maßnahmen im Mail- und Datentransport. Aufsichtspflichten, das interne Kontrollsystem und die Vorstandsverantwortung verbleiben beim Versicherungsunternehmen.

Vier Bausteine für den Versicherer.

MailGuard für Schaden- und Vertriebspost, SecureMail für Anwalts-, Makler- und Sonderpost, SecureFiles für Bordereaux und Schadensakten, Disclaimer für VVG-Pflichtangaben pro Sparte und Vertriebskanal.

MailGuard

MailGuard

BEC-, Phishing- und Anhang-Schutz für Schaden-, Vertriebs-, Makler- und Innendienst-Posteingänge. Besonders relevant für Sammelpostfächer mit Schadens-Meldungen aus dem Maklernetz und für Auszahlungs-Anweisungen, die das klassische Ziel von CEO-Fraud sind. Mehrstufige Sandbox für Anhänge wie Polizei- oder Werkstatt-PDFs, IBAN-Wechsel-Heuristik in Mail-Threads, Lookalike-Domain-Erkennung pro Sparte.

MailGuard im Detail
SecureMail

SecureMail

Verschlüsselte Korrespondenz an Rechtsanwälte, medizinische Gutachter, KFZ-Sachverständige und Versicherungsnehmer. S/MIME-Default oder Web-Reader-Fallback ohne Zertifikat-Pflicht beim Empfänger, direkt aus dem gewohnten Outlook-Add-in in Classic, New oder Web. Policy pro Sparte, automatische Klassifizierung anhand des Empfängers, kein Medienbruch zu Mandantenportalen oder externen Plattformen.

SecureMail im Detail
DMARC

SecureFiles

Sicherer Transfer für Bordereaux, Schadensakten, Heilbehandlungs-Unterlagen und Rückversicherungs-Verträge. Audit-Log pro Zugriff, Aufbewahrung pro Schadenfall, Empfänger-Authentifizierung statt offener Download-Links. Getrennte Postkörbe pro Maklerpool, automatische Löschfristen entsprechend den versicherungsrechtlichen Aufbewahrungsfristen.

SecureFiles im Detail
Disclaimer

Disclaimer

Pflichtangaben pro Sparte und Vertriebskanal serverseitig. Vorstand, Sitz, Handelsregister, BaFin-Erlaubnis, Tied-Agent-Hinweis für gebundene Vermittler nach § 34d GewO, jeweils zentral aus Active Directory und HR-System gepflegt. Eine Änderung im Vorstand oder bei der Erlaubnis-Nummer wird einmal zentral gepflegt und sofort konzernweit konsistent.

Disclaimer im Detail
Typische Workflows

Vier Szenarien aus dem Versicherer.

Vom Schaden über den Makler bis zur Rückversicherung.

1

Schaden-Sammelpostfach gegen Phishing und CEO-Fraud schützen

Gefälschte Schadensmeldungen im Sammelpostfach, die Sachbearbeiter zum Klick auf vermeintliche Polizei- oder Werkstattbelege verleiten, blockiert MailGuard auf SPF-, DKIM- und DMARC-Ebene plus Anhang-Sandbox. Auszahlungs-Anweisungen mit gefälschtem Vorstands-Absender und plausibler Schaden-Nummer werden über das BEC-Modul erkannt, bevor sie an die Buchhaltung weitergeleitet werden. Auffällige IBAN-Wechsel im Mail-Thread lösen eine Warnung im Posteingang aus.

2

Schadensakten an Anwalt und Sachverständige verschlüsselt versenden

Streitfälle, Klage-Akten und Heilbehandlungs-Belege gehen aus Outlook an die Kanzlei, den medizinischen Gutachter oder den KFZ-Sachverständigen mit S/MIME oder Web-Reader. Keine separate Plattform, kein Medienbruch, kein Excel-mit-Passwort-per-SMS-Workaround mehr. Die Klassifizierung erfolgt automatisch anhand der Empfänger-Domain oder einer Sparten-Policy, der Sachbearbeiter muss nichts manuell entscheiden.

3

Maklerkommunikation und Bordereaux absichern

Tagesbordereaux, Schadens-Reservierungen und Vermittler-Provisionen tauschen Sie mit dem Vertriebs- und Maklernetz über SecureFiles aus. Empfänger-Authentifizierung statt offener Link, getrennte Postkörbe pro Maklerpool oder Generalagentur, Audit-Log für das IKS und die Innenrevision. Maßgebend ist eine prüffähige Linie für die Maklerkommunikation Versicherung, die der GDV-Code of Conduct vorzeichnet.

4

BaFin- und DORA-Audit-Trail bereitstellen

Das Audit-Log nach DSGVO Art. 30 mit Empfangs-, Lese-, Lösch- und Entschlüsselungs-Events liefert der Innenrevision und dem BaFin-Prüfer den Nachweis der VAIT-Maßnahmen sowie der DORA-Resilienz-Tests auf der Mail-Ebene. Im IT-Audit nach § 30 VAG dient das Log als technischer Nachweis, im DORA-Threat-Led-Penetration-Test nach Art. 26 als Logging-Quelle für die Detektion, im Solvency-II-Säule-2-Reporting als Bestandteil der Governance-Dokumentation.

Architektur

Conbool als unabhängige Schicht vor M365 und Bestandssystem.

Conbool sitzt als Mail-Gateway vor Microsoft 365 oder Exchange. Bestandsführungs-, Schadens-, Lebens- und Kompositsysteme bleiben unverändert, das Outlook-Add-in funktioniert in Classic, New und Web parallel, ohne Workflow-Bruch im Schaden-Sachbearbeiter-Frontend.

MX-Switch

Eingehender SMTP läuft über Conbool, Microsoft 365 bleibt das E-Mail-Backend, kein Eingriff in den Mail-Flow der Bestandssysteme der Sparten Leben, Komposit und Kraftfahrt.

VAIT- und DORA-Schicht

Konfiguration als technische Maßnahme im VAIT-Maßnahmenplan und im DORA-IKT-Risikoregister hinterlegbar, Versionsstand pro Policy nachvollziehbar für den BaFin-Prüfer.

SIEM-Anschluss

Audit-Log per Syslog- oder REST-Connector ans Versicherer-SIEM, Korrelation mit Defender, Sentinel oder Splunk in der Konzern-Cyber-Defense und im SOC.

Coexistence Bestand und Schaden

Conbool koexistiert mit gängigen Bestandsführungs- und Schadensystemen über Outlook und SMTP, der Workflow im Schaden-Sachbearbeiter-Frontend bleibt identisch, keine API-Eingriffe in das Kernsystem nötig.

Compliance-Mapping

VAIT, DORA und VAG technisch umgesetzt.

VAIT formuliert die Mindestanforderungen an die IT der Versicherer, DORA seit dem 17.01.2025 verbindliche Anforderungen an die digitale operationale Resilienz, § 23 bis 32 VAG die Geschäftsorganisation und § 80 VAG die IT-Systeme. Conbool deckt Maßnahmen auf der Mail- und Datenebene und liefert sie auditfähig dokumentiert.

VAIT Kapitel 4 Informationssicherheit

Verschlüsselung, Integritätssicherung und Verfügbarkeitsmaßnahmen auf der Mail-Ebene, dokumentiert als technische Maßnahme im Maßnahmenplan.

VAIT Kapitel 9 Auslagerung

DPA nach Art. 28 DSGVO, Sub-Prozessor-Liste, Audit-Recht und Exit-Klausel für Conbool als IKT-Drittdienstleister, abgestimmt mit EIOPA-Cloud-Leitlinien.

DORA Art. 28 bis 30 Drittdienstleister

Conbool führt das DORA-Register-Format mit, einschließlich Kritikalitätsbewertung, Konzentrationsrisiko-Hinweis und Exit-Strategie pro Konzern-Tochter.

§ 80 VAG IT-Systeme

Conbool als technische Komponente der Geschäftsorganisation gegenüber dem BaFin-Prüfer dokumentierbar, inklusive Verantwortlichkeiten nach VAG § 23, IKS-Anbindung und Solvency-II-Säule-2-Bezug der Governance.

Migration

Pilot in einer Sparte, dann Konzern-Rollout.

Pilot in einer Sparte, Tochter oder Region, dann gestaffelter Konzern-Rollout über das Microsoft-Admin-Center. Parallelbetrieb zur bestehenden SEG-Lösung in einer kontrollierten Auslaufphase, kein Big-Bang im Kerngeschäft.

Pilot je Sparte

Eine Sparte, etwa Kraftfahrt, Sach oder Leben, oder eine Auslandsgesellschaft startet, der Rest des Konzerns bleibt im Status quo.

Konzern-Rollout per AD

Outlook-Add-in über das Microsoft-Admin-Center und Active Directory ausrollen, Policies pro Sparte aus dem AD-Group-Membership ableitbar und an HR-Stammdaten gekoppelt.

Defense-in-Depth

Conbool als unabhängige Schicht, optional in Kombination mit Microsoft Defender for Office 365 oder Sophos, kein Single-Vendor-Konzentrationsrisiko im Sinne von DORA Art. 29.

Auslauf der Altlösung

Bestehende SEG, Filter- oder Verschlüsselungs-Plattform läuft parallel aus, Auslaufphase je Sparte sauber dokumentierbar für die Innenrevision und die externe Prüfung, Migration der Archiv- und Audit-Log-Bestände in das neue System inklusive.

Häufige Fragen

Wie passt Conbool zur VAIT und ist DORA bereits abgedeckt?
VAIT formuliert die Mindestanforderungen an die IT der Versicherer und gilt für Erst-, Rück- und Pensionskassen unter BaFin-Aufsicht. Conbool liefert Maßnahmen zu Kapitel 4 Informationssicherheit, Kapitel 6 Identitäts- und Rechtemanagement und Kapitel 9 Auslagerung auf der Mail- und Datenebene. DORA gilt seit 17.01.2025 auch für Versicherungsunternehmen, die einschlägigen Anforderungen aus Art. 6 bis 15 IKT-Risikomanagement und Art. 28 bis 30 Drittdienstleister sind in der DPA und im DORA-Register-Format adressiert, inklusive Kritikalitätsbewertung und Konzentrationsrisiko-Hinweis für den Vorstand. Der Übergang aus VAIT in die Solvency-II-Säule-2-Governance ist in der Dokumentation berücksichtigt.
Wie sieht die Auslagerung nach VAIT Kapitel 9 und DORA Art. 28 aus?
Conbool ist IKT-Drittdienstleister im Sinne von DORA und Auslagerungsdienstleister im Sinne von VAIT Kapitel 9. Wir liefern DPA nach Art. 28 DSGVO, Sub-Prozessor-Liste, Audit-Recht, Exit-Klausel und das DORA-Register-Format mit Kritikalitätsbewertung. Die EIOPA-Leitlinien zur Auslagerung an Cloud-Anbieter sind berücksichtigt, ebenso die Anforderungen an Wesentlichkeitsbeurteilung und Vorab-Information der BaFin bei wesentlichen Auslagerungen.
Wie unterstützt Conbool die Maklerkommunikation Versicherung und die Bordereaux-Abwicklung?
Tagesbordereaux, Schadens-Reservierungen, Provisionsabrechnungen und Vertragsdaten gehen über SecureFiles mit Empfänger-Authentifizierung statt offener Download-Links oder einfacher Excel-mit-Passwort-Anhänge. Pro Maklerpool, Generalagentur oder gebundenem Vermittler nach § 34d GewO lassen sich getrennte Postkörbe mit eigener Policy aufsetzen, die Aufbewahrung pro Vertragsfall ist konfigurierbar. Das Audit-Log dokumentiert jeden Zugriff für das IKS, die Innenrevision und etwaige BaFin-Sonderprüfungen, auch bei der Beendigung von Vermittler-Verträgen mit nachvollziehbarem Sperr- und Lösch-Workflow.
Wir haben Konzern-Sparten und Auslandsgesellschaften. Lässt sich das sauber trennen?
Ja. Conbool unterstützt Multi-Tenant-Setups mit getrennten Policies pro Sparte Leben, Komposit, Kraftfahrt oder Industrie, pro Konzern-Tochter oder pro Auslandsgesellschaft. Alternativ läuft ein zentraler Tenant mit AD-Group-basierter Steuerung. Die VAIT-Maßnahmen sind pro Mandant separat dokumentierbar, das DORA-Register kann pro Rechtseinheit geführt werden, ohne dass der Konzern den Überblick verliert.
Wie schützt Conbool gegen CEO-Fraud bei Schadens-Auszahlungen und Rückversicherer-Zahlungen?
Auszahlungs-Anweisungen mit gefälschtem Vorstands- oder Schaden-Absender werden über das BEC-Modul auf SPF-, DKIM-, DMARC- und Display-Name-Ebene erkannt. Lookalike-Domains, Reply-To-Manipulationen und auffällige IBAN-Wechsel in Mail-Threads führen zu Warnungen im Posteingang der Schaden-Sachbearbeiter und der Buchhaltung. Bei Rückversicherer-Zahlungen ergänzt eine Heuristik für untypische Empfänger-Banken aus Drittstaaten den Schutz, ohne legitime Cross-Border-Zahlungen, etwa an die Lloyd's-Syndikate oder an Münchner und Schweizer Rückversicherer, zu blockieren. Im Zusammenspiel mit der Vier-Augen-Pflicht der Buchhaltung schließt das die typische CEO-Fraud-Lücke der Versicherungswirtschaft.
Wie sieht das Vorgehen bei BaFin-Audits und DORA-Resilienztests konkret aus?
Conbool führt ein Audit-Log nach DSGVO Art. 30 mit Empfangs-, Lese-, Lösch- und Entschlüsselungs-Events sowie Policy-Hits aus dem MailGuard-Regelwerk. Im IT-Audit gemäß § 30 VAG und im DORA-Threat-Led-Penetration-Test nach Art. 26 dient es als Nachweis der technischen VAIT-Maßnahmen und der Resilienz-Tests auf der Mail-Ebene. Die Aufbewahrung ist konfigurierbar, typisch 10 Jahre für geschäftsrelevante Kommunikation gemäß HGB und AO, mit getrennter Aufbewahrungs-Policy für Lebens-Sparten bis 30 Jahre und für Krankenversicherung in Anlehnung an die jeweiligen Aufbewahrungsfristen. Die Schnittstelle zur Innenrevision und zum BaFin-Sonderprüfer ist als Export-Funktion ausgeführt.
Wie steht Conbool zum GDV-Code of Conduct Datenschutz und zur Sparten-spezifischen Aufbewahrung?
Der GDV-Code of Conduct Datenschutz konkretisiert die DSGVO für die Versicherungswirtschaft. Conbool unterstützt die geforderten Schutzmaßnahmen mit Transportverschlüsselung, S/MIME-Default, EU-Hosting in Deutschland und einem auditfähigen Audit-Log. Die AVV nach Art. 28 DSGVO und die TOM-Dokumentation nach Art. 32 sind enthalten. Aufbewahrungsfristen sind pro Sparte konfigurierbar, von 10 Jahren in Kraftfahrt und Sach gemäß HGB und AO bis zu 30 Jahren in der Lebensversicherung und in der privaten Krankenversicherung. Auch der Umgang mit besonderen Kategorien personenbezogener Daten gemäß Art. 9 DSGVO, etwa Gesundheitsdaten im Schaden- und Krankenversicherungsbereich, ist in der Klassifizierungs-Policy berücksichtigt.

Verwandte Lösungen

Hornetsecurity-Alternative

Deutsche MailGuard-Alternative nach der Proofpoint-Übernahme.

Phishing-Schutz

BEC, Spear-Phishing und QR-Code-Phishing erkennen und entfernen.

Ransomware-Schutz E-Mail

Mehrstufige Anhang-Filter und URL-Reputation gegen Ransomware-Kampagnen.

Spam-Filter Unternehmen

Spam und unerwünschte Massenmail mit DACH-Heuristiken filtern.

CEO-Fraud-Schutz

BEC und CEO-Fraud-Attacken über Authentifizierungs-Layer abwehren.

Verwandte Branchen

Conbool ist in benachbarten Branchen mit ähnlichem Compliance-Profil im Einsatz.

Banken & Sparkassen

BaFin-Schwester mit BAIT, MaRisk AT 7.2 und DORA — gleicher Aufsichtsmaßstab.

Automotive & Zulieferer

KFZ-Schadenregulierung, Produkthaftung und OEM-Korrespondenz.

Anwaltskanzlei

Rechtsschutzversicherung, Berufshaftpflicht und tägliche Anwaltskorrespondenz.

VAIT- und DORA-fähiger Stack für den Versicherer.

Demo in 30 Minuten. Pilot in einer Sparte oder Auslandsgesellschaft. Modular pro Funktion und pro Postfach, mit Konzern-Volumenrabatten und Multi-Tenant-Steuerung pro Rechtseinheit.

Demo anfragenMailGuard im Detail

Quellen und Stand

Aussagen zu VAIT basieren auf den Versicherungsaufsichtlichen Anforderungen an die IT der BaFin in der jeweils geltenden Fassung. Aussagen zu DORA basieren auf der Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor, anwendbar seit 17.01.2025, einschließlich der einschlägigen Regulatory Technical Standards. Aussagen zu § 23 bis 32 VAG, § 30 VAG und § 80 VAG basieren auf dem Versicherungsaufsichtsgesetz. Aussagen zur DSGVO basieren auf der Verordnung (EU) 2016/679, insbesondere Art. 28, Art. 30 und Art. 32. Aussagen zu EIOPA-Leitlinien basieren auf den Veröffentlichungen der European Insurance and Occupational Pensions Authority, insbesondere den Leitlinien zur Auslagerung an Cloud-Anbieter. Aussagen zum GDV-Code of Conduct basieren auf den Verhaltensregeln des Gesamtverbandes der Deutschen Versicherungswirtschaft. Stand 2026.

BaFin, EIOPA und GDV sind Bezeichnungen der jeweiligen Aufsichtsbehörden beziehungsweise Verbände. Microsoft, Microsoft 365, Defender und Outlook sind Marken der Microsoft Corporation. Sophos, Splunk und Sentinel sind Marken der jeweiligen Inhaber. Conbool ist eine Marke der Conbool GmbH.