Zum Hauptinhalt springen
BarmeniaGothaer
Markus Focht
Cyber-Versicherung · Branche Online-Shop

Cyber-Versicherung für Online-Shops

Ein Shop-Ausfall am Black Friday, Magecart-Schadcode im Checkout oder ein Leak der Kundendaten — E-Commerce-Betriebe leben vom Vertrauen ihrer Käufer. Ein einziger Cyber-Vorfall kann Jahresumsätze und Markenvertrauen gleichzeitig kosten.

Kurzantwort: Warum E-Commerce anders versichert werden muss

Die Gothaer Cyber-Versicherung (AVB 216273, Stand 02.2025) deckt auch Online-Shops bei Datenrechtsverletzungen, IT-Sicherheitsverletzungen und Hacker-Angriffen. Entscheidend für E-Commerce: Shop-System (Shopify, Shopware, WooCommerce, Magento, JTL), Payment-Anbindungen (Stripe, PayPal, Klarna) und Cloud-Hosting (AWS, Google Cloud) müssen ausdrücklich mitversichert sein.

Besondere Bausteine für Shops: DDoS-Attacken als Hacker-Angriff gedeckt (Teil I Ziffer 2 AVB), PCI-DSS-Vertragsstrafen optional mitversicherbar (Teil IV Ziffer 2.1), Betriebsunterbrechung besonders wichtig wegen saisonaler Umsatzspitzen.

Was deckt Cyber-Versicherung im Online-Shop ab?

Leistungsblöcke aus der Gothaer Cyber-Versicherung (Teil III und Teil IV AVB), die für Shop-Betreiber relevant sind.

IT-Forensik für Shop-Systeme

Qualifizierter Dienstleister analysiert Angriff auf Shop, Payment-Prozess oder Admin-Zugang. Erste 48 Stunden auch bei Fehlalarm gedeckt (Ziffer 3.1 AVB).

DDoS und Verfügbarkeitsangriffe

DDoS-Angriffe auf Ihren Shop gelten als IT-Sicherheitsverletzung (Teil I Ziffer 2 AVB). Forensik, Wiederherstellung und Betriebsunterbrechungsleistung sind im Umfang der vereinbarten Bausteine gedeckt.

PCI-DSS-Vertragsstrafen

Vertragsstrafen von Kreditkartenanbietern bei Nichteinhaltung des PCI-DSS-Standards sind optional nach Teil IV Ziffer 2.1 AVB mitversicherbar.

Betriebsunterbrechung

Shop-Ausfall während Black Friday, Weihnachten oder Produkt-Launch: Die Betriebsunterbrechung (Teil IV Ziffer 1 AVB) gleicht entgangenen Umsatz und fortlaufende Kosten aus.

Cyber-Erpressung / Ransomware

Verschlüsselte Shop-Datenbanken oder Produktkataloge werden wiederhergestellt. Lösegeldzahlung nur mit Freigabe durch Gothaer (Teil IV Ziffer 4 AVB).

Drittschadens-Haftpflicht

Kundenklagen wegen Datenleaks, kompromittierter Kreditkarten oder Identitätsdiebstahl: Gothaer prüft, wehrt unberechtigte Ansprüche ab, reguliert berechtigte (Teil II AVB).

Medienhaftpflicht

Optional nach Teil II Ziffer 7.4 AVB: Haftpflicht für Produkttexte, Bilder und Markenrechte in Ihrem Shop — wichtig bei Affiliate-Feeds und Produktbeschreibungen.

Cloud-Services & Shop-Hosting

AWS, Google Cloud, Shopify, Shopware Cloud: Ausgegliederte Datenverarbeitung ist nach Teil II Ziffer 7.3 AVB einschließbar — für Shops zwingend.

Was ist auch im Online-Shop NICHT versichert?

Ausschlüsse aus den AVB Gothaer 216273 — auch für E-Commerce relevant.

Fehlende IT-Mindeststandards

Ohne Firewall, aktuellen Virenschutz, Patches, dokumentierte Backups und Berechtigungsmanagement (Teil VI Ziffer 8.1 AVB) entfällt der Schutz.

Produkthaftung

Schäden aus fehlerhaften Produkten laufen über die Produkt- oder Betriebshaftpflicht — nicht über die Cyber-Police.

Lösegeld ohne Absprache

Eigenmächtige Kryptozahlung an Erpresser → Gothaer erstattet nicht.

Vorsätzlich herbeigeführte Schäden

Absichtliches Handeln des Shop-Betreibers (Teil V AVB) ist ausgeschlossen.

Schäden aus sozialen Netzwerken

Facebook-Shop, Instagram-Shop, TikTok-Shop gelten nicht als Computersystem im Sinn der Police (Teil I Ziffer 3 AVB). Ein Hack des Instagram-Shops ist nicht gedeckt.

Wiederherstellung nach 12 Monaten

Shop-Daten, die nicht binnen 12 Monaten wiederhergestellt werden, sind nicht mehr erstattungsfähig (Ziffer 3.6.4 AVB).

Für welche Shops besonders sinnvoll

Geeignet für

  • Eigene Shops auf Shopify, Shopware, WooCommerce, Magento, JTL
  • Plattform-Händler (Amazon FBA/FBM, eBay, Kaufland)
  • D2C-Marken mit eigenem Checkout
  • Abo-Shops und SaaS-Angebote mit Kundendaten
  • B2B-Shops mit Firmenkundendaten
  • Marktplätze und Affiliate-Strukturen

Weniger geeignet

  • Reine Affiliate-Seiten ohne eigenen Checkout
  • Shops ohne eigenes Kundendatenmanagement
  • Betriebe, die IT-Mindeststandards nicht laufend einhalten
  • Rein lokale Ladengeschäfte ohne Online-Verkauf

Typische Fehler bei Online-Shops

Magecart-Skimming unterschätzt

Unbemerkter Schadcode im Checkout-Formular liest Kreditkartendaten mit. Der Angriff wird oft erst Wochen später entdeckt — durch Kartenanbieter, die Chargebacks häufen. Ohne IT-Mindeststandards und Monitoring ist der Schutz gefährdet.

DDoS während Black Friday

Jede Minute Shop-Ausfall in der Peak-Saison kostet Umsatz. Ohne Betriebsunterbrechungs-Baustein (Teil IV Ziffer 1 AVB) übernimmt die Cyber-Police die Wiederherstellung — aber nicht den Umsatzausfall.

PCI-DSS-Strafen nicht eingeschlossen

Bei Kreditkartendaten-Kompromittierung drohen Vertragsstrafen der Kartenanbieter. Der optionale Baustein PCI-DSS-Vertragsstrafen (Teil IV Ziffer 2.1 AVB) muss ausdrücklich vereinbart sein — er ist nicht automatisch enthalten.

Cloud-Hosting nicht abgedeckt

AWS-Instanz gehackt, Shopify-Admin-Account übernommen, Google Cloud Storage entblößt: Ohne Einbeziehung der ausgegliederten Datenverarbeitung (Teil II Ziffer 7.3) zahlt die Cyber-Police nur, wenn eigene Server direkt betroffen sind.

Bedienfehler der Mitarbeiter ignoriert

Phishing-Mail an den Shop-Admin, falscher Bulk-Export von Kundendaten, versehentliches Aktivieren einer unsicheren Schnittstelle: Der Bedienfehler-Baustein (Teil IV Ziffer 3.3 AVB) ist in Shops mit mehreren Mitarbeitern fast immer sinnvoll.

Lieferketten-Kompromittierung übersehen

Ein Plugin- oder Theme-Anbieter wird gehackt und liefert Schadcode über automatische Updates in alle angeschlossenen Shops. Die Cyber-Police greift, sofern der Angriff auf Ihrem Computersystem wirksam wird — die Lieferkette bleibt Ihre Verantwortung.

Schadenfall im Online-Shop — so läuft es ab

Beispiel: Magecart-Schadcode im Checkout, 12.000 Kundenkreditkarten kompromittiert.

1

Shop-Betreiber bemerkt durch Kartenanbieter-Meldung den Abfluss. Checkout sofort offline nehmen (Schadensminderungspflicht, Teil VI Ziffer 8 AVB).

2

Anruf bei der Cyber-Hotline der Gothaer (Nummer im Versicherungsschein). 24/7-Erreichbarkeit.

3

Gothaer beauftragt IT-Forensik. Erste 48 Stunden auch bei Fehlalarm gedeckt.

4

Formelle Schadensmeldung in Textform spätestens binnen einer Woche.

5

Forensik identifiziert Angriffsweg: kompromittiertes JavaScript in einem Theme-Update oder Drittanbieter-Modul.

6

Entfernung des Schadcodes, Säuberung aller Systeme, Freigabe durch Sicherheitsaudit.

7

DSGVO-Meldung an die Aufsichtsbehörde binnen 72 Stunden, Information aller 12.000 betroffenen Kunden (Ziffer 3.3 AVB).

8

Datenüberwachungsdienstleistung bis zu 12 Monate (Ziffer 3.5 AVB) — Monitoring der kompromittierten Kreditkartendaten.

9

Kommunikations- und PR-Maßnahmen durch Krisenmanager (Ziffer 3.4 AVB).

10

Prüfung und ggf. Übernahme der PCI-DSS-Vertragsstrafen durch Kartenanbieter (Teil IV Ziffer 2.1 AVB) — sofern Baustein vereinbart.

11

Betriebsunterbrechungsdeckung gleicht Umsatzausfall während der Shop-Sperrung aus.

12

Abwehr von Kundenklagen durch die Drittschadens-Haftpflicht der Police.

So läuft die Beratung ab

1

Anfrage

Sie schildern Shop-System, Umsatz, Payment-Anbieter und ob Sie Plattformen wie Amazon nutzen. Online oder telefonisch.

2

Analyse

Ich prüfe Ihr Risikoprofil (Kreditkartendaten, Saisonalität, Cloud-Anteil) und welche Bausteine unverzichtbar sind.

3

Angebot

Sie erhalten ein verständliches Angebot mit Deckungsumfang, Beitrag und klaren Hinweisen auf mögliche Lücken — ohne Verpflichtung.

Häufige Fragen aus dem E-Commerce

Was ist Magecart und warum ist es für Shops so gefährlich?

Magecart ist Sammelbezeichnung für Gruppen, die Schadcode in Shop-Checkouts einschleusen und Kreditkartendaten mitlesen. Die Angriffe erfolgen oft über kompromittierte Drittanbieter-Skripte oder Plugins und bleiben Wochen unentdeckt. Die Cyber-Police deckt IT-Forensik, Benachrichtigungskosten und — wenn vereinbart — PCI-DSS-Vertragsstrafen.

Sind PCI-DSS-Vertragsstrafen in der Police enthalten?

Nur optional. Teil IV Ziffer 2.1 AVB muss im Vertrag ausdrücklich vereinbart sein. Ohne diesen Baustein sind Vertragsstrafen der Kartenanbieter ausgeschlossen — das betrifft gerade Shops mit relevanten Kreditkartenvolumen.

Ist ein DDoS-Angriff versichert?

Ja. DDoS-Angriffe gegen Ihren Shop gelten nach Teil I Ziffer 2 AVB als IT-Sicherheitsverletzung oder als Hacker-Angriff. Eigenschäden (Forensik, Wiederherstellung, Krisenmanager) und Betriebsunterbrechung sind im Umfang der vereinbarten Bausteine gedeckt.

Wir nutzen Shopify / Shopware Cloud. Ist das automatisch mitversichert?

Nein. Die ausgegliederte Datenverarbeitung nach Teil II Ziffer 7.3 AVB muss im Vertrag eingeschlossen sein. Ohne diese Erweiterung deckt die Police nur Schäden auf eigenem Server — was bei einem Shopify-Shop praktisch keinen Sinn ergibt.

Was zahlt die Versicherung, wenn meine Kunden wegen gestohlener Zahlungsdaten klagen?

Die Drittschadens-Haftpflicht der Cyber-Police (Teil II AVB) prüft Ansprüche, wehrt unberechtigte Forderungen ab und reguliert berechtigte. Gothaer führt den Prozess im Namen des Versicherten auf seine Kosten.

Deckt die Police auch Schäden, wenn ein Instagram- oder Facebook-Shop gehackt wird?

Nein. Nach Teil I Ziffer 3 AVB gelten Services und Systeme sozialer Netzwerke (Facebook, Instagram, TikTok, LinkedIn, X) nicht als Computersystem des Versicherten. Schäden aus Social-Commerce-Accounts fallen damit nicht unter die Cyber-Police.

Cyber-Schutz für Ihren Online-Shop

Ich prüfe mit Ihnen gemeinsam Shop-System, Payment, Hosting und Plattformrisiken — und welche Bausteine in Ihrer Saison- und Umsatzrealität zwingend vereinbart sein müssen.

Cyber-Beratung für Online-Shops anfragen

Sinnvolle Ergänzungen

Cyber-Versicherung (Hauptseite)

Alle Leistungen, AVB-Details und Grundlagen der Gothaer Cyber-Versicherung im Überblick.

Roland Cyber-Rechtsschutz

Übernimmt Anwalts- und Gerichtskosten bei DSGVO-Bußgeldverfahren, Abmahnungen und IT-Vertragsstreitigkeiten.

Betriebshaftpflicht E-Commerce

Deckt Sach- und Personenschäden bei Produkten und Betrieb — Produkthaftung und Warenlager ergänzen die Cyber-Police.

Die Angaben basieren auf den Allgemeinen Versicherungsbedingungen der Gothaer Cyber-Versicherung (Dokument 216273, Stand AVB 02.2025). Konkrete Leistungen, Sublimits, Selbstbeteiligungen und optionale Bausteine werden im individuellen Versicherungsschein festgehalten. Markus Focht ist gebundener Versicherungsvertreter (§ 34d Abs. 7 GewO) der Barmenia Krankenversicherung AG, Büro in Karlsruhe.