---
title: "Einmal bewertet, für immer gültig"
date: 2026-02-25T07:35:00+01:00
draft: false
image: "2026-02-25_Einmal-bewertet-immer-gueltig.jpg"
tags: ["Anti-Pattern", "Risikomanagement", "ISO 27001", "Bayesianisches Denken"]
keywords: ["Risikoregister", "Wahrscheinlichkeitsschätzung", "Bayes-Theorem", "Pentest-Ergebnis", "Bedrohungslage", "Wissensstand"]
description: "Risikoregister, die nie aktualisiert werden, sind Entscheidungen auf Basis veralteter Annahmen."
---

## 🔍 Was beobachte ich?

Risikobewertungen entstehen einmal im Jahr vor dem Audit. Danach ruhen sie im Register. Zwischendurch passiert ein Vorfall in der Branche, eine neue Schwachstelle wird bekannt, die Bedrohungslage ändert sich. Neue Services gehen live, IT-Systeme werden migriert, Abteilungen umstrukturiert. Die Bewertungen bleiben, wie sie sind.

## 🎯 Was soll eigentlich erreicht werden?

Ein aktuelles Lagebild der Risikosituation.

## ⚠️ Warum funktioniert das nicht?

Eine Wahrscheinlichkeitsschätzung ist kein Foto, das man einmal macht und einrahmt. Sie spiegelt den Wissensstand zum Zeitpunkt der Bewertung. Neue Informationen verändern diesen Wissensstand. Wer das ignoriert, trifft Entscheidungen auf Basis veralteter Annahmen.

## 💡 Was funktioniert besser?

Bayesianisches Denken: Bestehende Einschätzungen systematisch aktualisieren, wenn neue Erkenntnisse vorliegen. Ein Branchenvorfall, ein Pentest-Ergebnis, eine neue Studie - jede relevante Information verschiebt die Gewissheit. Das muss kein formaler Prozess sein. Aber es muss passieren.

## 📚🔍

- Tom Chivers - Everything Is Predictable: How Bayes' Remarkable Theorem Explains the World [https://www.hachette.co.uk/titles/tom-chivers/everything-is-predictable/9781399604031/](https://www.hachette.co.uk/titles/tom-chivers/everything-is-predictable/9781399604031/)
- NIST SP 800-30r1 - Guide for Conducting Risk Assessments [https://csrc.nist.gov/pubs/sp/800/30/r1/final](https://csrc.nist.gov/pubs/sp/800/30/r1/final)
- NIST IR 8286 Rev. 1 - Integrating Cybersecurity and Enterprise Risk Management [https://csrc.nist.gov/pubs/ir/8286/r1/final](https://csrc.nist.gov/pubs/ir/8286/r1/final)
- FAIR Institute - A Framework for Effective Cyber Risk Management [https://www.fairinstitute.org/blog/integrating-fair-models-a-unified-framework-for-cyber-risk-management](https://www.fairinstitute.org/blog/integrating-fair-models-a-unified-framework-for-cyber-risk-management)
- Terje Aven - Foundational Issues in Risk Assessment and Risk Management [https://ideas.repec.org/a/wly/riskan/v34y2014i7p1164-1172.html](https://ideas.repec.org/a/wly/riskan/v34y2014i7p1164-1172.html)
- A Bayesian network approach for cybersecurity risk assessment implementing and extending the FAIR model [https://www.researchgate.net/publication/337004231_A_Bayesian_Network_Approach_for_Cybersecurity_Risk_Assessment_Implementing_and_Extending_the_FAIR_Model](https://www.researchgate.net/publication/337004231_A_Bayesian_Network_Approach_for_Cybersecurity_Risk_Assessment_Implementing_and_Extending_the_FAIR_Model)
- Bayesianische Erkenntnistheorie [https://de.wikipedia.org/wiki/Bayesianische_Erkenntnistheorie](https://de.wikipedia.org/wiki/Bayesianische_Erkenntnistheorie)