Im Jahr 2015 wurde eine bedeutsame Sammelklage gegen Facebook eingereicht, die einen Rechtsstreit über angebliche Verstöße gegen den Illinois Biometric Information Privacy Act (BIPA) auslöste. Der Streitfall endete im Jahr 2021 mit einem beachtlichen Vergleich in Höhe von 650 Mio. US-Dollar. Dieser beispielhafte Fall sowie eine Reihe ähnlicher Rechtsstreitigkeiten gegen Branchenriesen wie ADP, Six Flags oder TikTok, die durch die Auslegung des BIPA durch den Obersten Gerichtshof von Illinois, der jeden Fall illegaler datenverarbeitung als separaten verstoß ansieht, sind eine ernsthafte Warnung an die sich entwickelnde Cyberversicherungswelt. Denn der Verlauf dieser Fälle verdeutlicht einen für die Branche besorgniserregenden Trend - die Zunahme latenter Versicherungsansprüche, die nach einigen Jahren aufgrund von Änderungen in der Rechtssprechung und regulatorischer Verschärfung an Potenzial gewinnen. Die Streitfälle sind auch eine eindringliche Erinnerung daran, dass Cyberversicherungen auch Haftpflicht-Komponenten enthalten und Schäden möglicherweise nicht so schnell abgeschlossen werden können, wie allgemein angenommen wird. Das an diese Einsicht anschließende Plädoyer richtet sich an alle Marktteilnehmer, denn diese längerfristigen Risiken sind nicht so schnell in den Griff bekommen, wie mancher es angesichts der erfolgreichen Wende bei Ransomware schlussfolgern könnte. Die Frage lautet also: "Wie erkennt man, ob ein potenziell positiv verlaufendes Versicherungsjahr im Nachhinein, d. h. Jahre nach der Schadensmeldung, große latente Schadensfälle erwarten lässt?"

Ein weiteres Beispiel für den jüngsten Trend bei Rechtsstreitigkeiten ist das Pixel Tracking. Dieser Code, der in Websites eingebettet ist, um das Nutzerverhalten zu verfolgen - hat erhebliche Datenschutzbedenken aufgeworfen. Pixel Tracking wird häufig verwendet, unter anderem auf Websites von Krankenhäusern, was den Vorwurf zur Folge hatte, dass in mehreren Fällen Informationen über Patiententermine und andere schützenswerte Gesundheitsdaten an Dritte weitergegeben wurden. Da es sich um höchst vertrauliche und private Informationen handelt, ziehen diese Klagen besonderes Augenmerk auf sich. Schadenersatzforderungen, die sich aus der Verwendung von Pixel Tracking auf Websites im Gesundheitswesen ergeben, könnten sehr kostspielig werden und sich über Jahre hinziehen.

Schäden durch Betriebsunterbrechung (BU), wenn auch aus anderen Gründen, scheinen aufgrund der Komplexität, die Betriebsunterbrechungen durch Cyberangriffe mit sich bringen, dazu beizutragen, dass sich der Zeitraum bis zum Schadensabschluss deutlich verlängert. Hier liegen die Verzögerungen in der Regel bei der Erfassung und Bewertung der geeigneten Informationen zur Quantifizierung der Ertragseinbußen. Der Markt verzeichnet generell sowohl eine Zunahme von BU-Schäden als auch eine zunehmende Zeitspanne zwischen Schadenereignis und Schadenregulierung bei BU-Schäden. Die Entwicklung im Zusammenhang mit BIPA und Betriebsunterbrechung widerlegen somit das in den letzten Jahren so gängige Narrativ einer sich verkürzenden Laufzeit von Cyberschäden und schärft den Blick der Versicherer auf eine riskante Zukunft, da hohe Schadenforderungen auch erst Jahre nach dem eigentlichen Schadensfall eintreten können.

Angesichts dieser sich abzeichnenden Herausforderungen ist bei allen Ansprüchen mit Latenzzeit, wie z. B. datenschutzbezogenen Klagen, erhöhte Wachsamkeit geboten. Da derartige Ansprüche erst lange nach Vertragsabschluss auftreten können, ist die Reaktion auf neue Trends für Versicherer anders als bei Ransomware außerordentlich schwierig. Aufgrund der begrenzten Historie in Bezug auf das Entwicklungsmuster von Cyberrisiken haben erhebliche Sprünge bei den Schadensfällen in zurückliegenden Zeichnungsjahren einen großen Einfluss auf künftige Prognosen. Versicherer, die große Spätschäden erlitten haben, sind also möglicherweise mit der Frage konfrontiert, warum sich die Performance der jüngeren Jahre anders darstellt. Munich Re plädiert für ein ganzheitliches Verständnis dieser Schadenszenarien und betont die Bedeutung des Kundendialogs bei der Ermittlung der Ursachen für sprunghaft eintretende Spätschäden.

Erstversicherer sollten auch das Gespräch mit ihren Rückversicherern suchen, um die Umstände dieser Schäden zu beleuchten. Wenn die Versicherer die Besonderheiten jedes einzelnen Falles verstehen, können sie das Risiko genau einschätzen und ihre Underwriting-Strategien entsprechend verfeinern. Für die Branche insgesamt ist es wichtig, eine strukturierte Datenerfassung zu etablieren. Durch die Erfassung detaillierter Schadenursachen können Versicherungsunternehmen aufkommende Trends frühzeitig analysieren und künftige Herausforderungen antizipieren. Dieser proaktive Ansatz trägt dazu bei, das Risiko zu mindern, von sich verändernden Schadenmustern überrascht zu werden, und die Nachhaltigkeit des Cyberversicherungsmarktes zu sichern.

Zusammenfassend lässt sich in der Analyse sagen, dass latente Cyber-Versicherungsansprüche im Ansatz der Branche ein Umdenken erfordern. Es gilt wachsam zu bleiben, sich an neue Trends anzupassen und die Zusammenarbeit mit den Kunden zu fördern, um die Herausforderungen in der sich entwickelnden Landschaft zu bewältigen. Datengestützte Erkenntnisse und strategische Partnerschaften eröffnen Versicherern Möglichkeiten, Risiken wirksam zu mindern und das weitere Wachstum des Cyberversicherungsmarktes sichern.