Babylonische Sprachverwirrung im Risikomanagement

🔍 Was beobachte ich?

Zehn Leute bewerten Risiken im Workshop. Drei meinen mit “Risiko” die Eintrittswahrscheinlichkeit, zwei den Schaden, der Rest irgendetwas dazwischen. Alle nicken. Niemand meint dasselbe.

🎯 Was soll eigentlich erreicht werden?

Eine gemeinsame Risikobewertung. Eine Sprache, vergleichbare Ergebnisse.

⚠️ Warum funktioniert das nicht?

ISO 31000 definiert Risiko als “Auswirkung von Unsicherheit auf Ziele”. NIST spricht von Threats und Vulnerabilities. FAIR zerlegt Risiko in Loss Event Frequency und Loss Magnitude. Alle bringen ihr Framework im Kopf mit. Niemand legt die Karten auf den Tisch. Das Ergebnis: Ein Risk-Register voller Bewertungen, die nicht vergleichbar sind.

💡 Was funktioniert besser?

Ein verbindliches Risiko-Glossar für die eigene Organisation. Zehn Begriffe, klar definiert, von allen akzeptiert. Bevor wir Risiken bewerten, müssen wir klären, ob wir dieselbe Sprache sprechen.

📚🔍

• SRA Glossary of Risk-Related Terms https://www.sra.org/risk-analysis-introduction/risk-analysis-glossary/
• ISO 31073:2022 - Risk Management Vocabulary https://www.iso.org/standard/79637.html
• FAIR Terminology 101 - Risk, Threat Event Frequency, Vulnerability https://www.fairinstitute.org/blog/fair-terminology-101-risk-threat-event-frequency-and-vulnerability
• NIST SP 800-30r1 - Guide for Conducting Risk Assessments https://csrc.nist.gov/pubs/sp/800/30/r1/final
• Open FAIR Body of Knowledge https://www.opengroup.org/open-fair
• ISO 27000:2018 - Information technology — Security techniques — Information security management systems — Overview and vocabulary https://www.iso.org/standard/73906.html