🔍 Was beobachte ich?

Jedes Security-Dashboard zeigt Risiko-Scores. CVSS, Risk-Index, Risikorating – alles landet auf einer Skala. Die Ampel springt auf Rot, der Score überschreitet 7,5, also wird priorisiert. Wessen Abweichung von welchem Ziel dabei gemeint ist, fragt niemand.

🎯 Was soll eigentlich erreicht werden?

Risiken vergleichbar und priorisierbar machen. Entscheidungstragende sollen auf einen Blick sehen, was kritisch ist – und Investitionen dorthin lenken, wo der Handlungsbedarf am größten ist.

⚠️ Warum funktioniert das nicht?

ISO 31000 definiert Risiko als Auswirkung von Unsicherheit auf Ziele. Der Fehler beginnt davor: Personen und Gruppen verfolgen unterschiedliche Ziele. Ein CFO will finanzielle Stabilität. Betriebsverantwortliche wollen Verfügbarkeit. Die Compliance-Abteilung will regulatorische Konformität. Wessen Zielabweichung misst dieser eine Score?

Ein universelles Risikomaß beantwortet diese Frage nicht – es versteckt sie. Es tut so, als gäbe es ein gemeinsames Ziel, das sich sinnvoll in einer Zahl ausdrücken lässt. Das gibt es nicht.

💡 Was funktioniert besser?

Ziele explizit machen, bevor Risiken bewertet werden. Wessen Ziele sind betroffen – und wie stark? FAIR trennt zumindest Häufigkeit und Schadenshöhe: das ist ein Anfang. Stakeholder-spezifische Sichten helfen mehr als ein universelles Ranking. Wer priorisiert, trifft eine Entscheidung. Keine Formel nimmt das ab.

📚🔍