Punktlandung im Nebel

🔍 Was beobachte ich?

Im Risk-Register steht: Eintrittswahrscheinlichkeit 30%. Schadenshöhe 250.000 Euro. Zwei Nachkommastellen Genauigkeit, null Nachkommastellen Ehrlichkeit. Niemand fragt, wie sicher sich die schätzende Person bei diesen Zahlen ist.

🎯 Was soll eigentlich erreicht werden?

Risiken vergleichbar und priorisierbar machen.

⚠️ Warum funktioniert das nicht?

Ein einzelner Punktwert suggeriert eine Präzision, die nicht existiert. Wer “30%” sagt, meint vielleicht “irgendwo zwischen 10% und 50%”. Diesen Unterschied verschluckt die Zahl. Entscheidungstragende treffen auf dieser Basis Investitionsentscheidungen - ohne zu wissen, wie dünn das Eis ist.

💡 Was funktioniert besser?

Unsicherheit explizit machen. Statt “30%” lieber “zwischen 20% und 40%”. Imprecise Probabilities nennt die Fachliteratur das. Klingt komplizierter, ist aber ehrlicher. Und Ehrlichkeit ist die Grundlage für gute Entscheidungen.

📚🔍

• Imprecise Probabilities (Stanford Encyclopedia of Philosophy) https://plato.stanford.edu/entries/imprecise-probabilities/
• Risk and uncertainty can be analyzed in cyberspace (Oxford Academic) https://academic.oup.com/cybersecurity/article/7/1/tyab001/6146840
• Terje Aven - How to define and interpret a probability in a risk and safety setting https://www.sciencedirect.com/science/article/abs/pii/S092575351200149X
• Hubbard/Seiersen - How to Measure Anything in Cybersecurity Risk https://www.wiley.com/en-us/How+to+Measure+Anything+in+Cybersecurity+Risk,+2nd+Edition-p-9781119892304
• SHELF - The Sheffield Elicitation Framework https://shelf.sites.sheffield.ac.uk/