🔍 Was beobachte ich?

Risikobewertungen entstehen einmal im Jahr vor dem Audit. Danach ruhen sie im Register. Zwischendurch passiert ein Vorfall in der Branche, eine neue Schwachstelle wird bekannt, die Bedrohungslage ändert sich. Neue Services gehen live, IT-Systeme werden migriert, Abteilungen umstrukturiert. Die Bewertungen bleiben, wie sie sind.

🎯 Was soll eigentlich erreicht werden?

Ein aktuelles Lagebild der Risikosituation.

⚠️ Warum funktioniert das nicht?

Eine Wahrscheinlichkeitsschätzung ist kein Foto, das man einmal macht und einrahmt. Sie spiegelt den Wissensstand zum Zeitpunkt der Bewertung. Neue Informationen verändern diesen Wissensstand. Wer das ignoriert, trifft Entscheidungen auf Basis veralteter Annahmen.

💡 Was funktioniert besser?

Bayesianisches Denken: Bestehende Einschätzungen systematisch aktualisieren, wenn neue Erkenntnisse vorliegen. Ein Branchenvorfall, ein Pentest-Ergebnis, eine neue Studie - jede relevante Information verschiebt die Gewissheit. Das muss kein formaler Prozess sein. Aber es muss passieren.

📚🔍