Ohne Daten keine Wahrscheinlichkeit

🔍 Was beobachte ich?

“Wir können keine Wahrscheinlichkeiten angeben - uns fehlen die statistischen Daten.” Diesen Satz höre ich in fast jedem Risk-Assessment-Workshop. Die Folge: Risiken werden gar nicht bewertet oder mit bedeutungslosen Kategorien wie “mittel” versehen.

🎯 Was soll eigentlich erreicht werden?

Eine fundierte Einschätzung, wie plausibel der Eintritt eines Risikos ist.

⚠️ Warum funktioniert das nicht?

Wer auf objektive Statistiken wartet, wartet bei singulären Risiken für immer. Die nächste Ransomware-Attacke auf genau diese Organisation ist kein wiederholbares Zufallsexperiment. Objektive Häufigkeiten helfen hier nicht weiter. Also passiert nichts - oder jemand schätzt ohne Methode.

💡 Was funktioniert besser?

Subjektive Wahrscheinlichkeiten. Sie messen nicht eine Eigenschaft des Ereignisses, sondern die Gewissheit der betrachtenden Person über den Eintritt. Das ist kein Bauchgefühl: Auch subjektive Wahrscheinlichkeiten folgen denselben mathematischen Regeln wie objektive. Sie machen Einschätzungen transparent, nachvollziehbar und diskutierbar.

📚🔍

• Douglas Hubbard - Calibrated Estimation in Cyber Risk (FAIR Institute) https://www.fairinstitute.org/blog/cyber-risk-calibrated-estimation-learn-from-douglas-hubbard-faircon22
• Hubbard/Seiersen - How to Measure Anything in Cybersecurity Risk, 2nd Ed. https://www.wiley.com/en-us/How+to+Measure+Anything+in+Cybersecurity+Risk,+2nd+Edition-p-9781119892304
• Terje Aven - Foundations of Risk Analysis https://www.mindtherisk.com/literature/87-foundations-of-risk-analysis-a-knowledge-and-decision-oriented-perspective-by-terje-aven
• SRA Core Subjects of Risk Analysis https://www.sra.org/wp-content/uploads/2020/04/SRA-Core-Subjects-R2.pdf
• FAIR Institute - What is FAIR? https://www.fairinstitute.org/what-is-fair