---
title: "Das eine Risikomaß"
date: 2026-03-11T07:35:00+01:00
draft: false
image: "2026-03-11_Das-eine-Risikomas.jpg"
tags: ["Anti-Pattern", "Risikomanagement", "FAIR", "ISO 27001"]
keywords: ["CVSS", "Risiko-Score", "ISO 31000", "Stakeholder-spezifische Sichten", "Zielabweichung", "Risikopriorisierung"]
description: "Ein universeller Risiko-Score versteckt die entscheidende Frage: Wessen Ziele sind eigentlich betroffen?"
---

## 🔍 Was beobachte ich?

Jedes Security-Dashboard zeigt Risiko-Scores. CVSS, Risk-Index, Risikorating – alles landet auf einer Skala. Die Ampel springt auf Rot, der Score überschreitet 7,5, also wird priorisiert. Wessen Abweichung von welchem Ziel dabei gemeint ist, fragt niemand.

## 🎯 Was soll eigentlich erreicht werden?

Risiken vergleichbar und priorisierbar machen. Entscheidungstragende sollen auf einen Blick sehen, was kritisch ist – und Investitionen dorthin lenken, wo der Handlungsbedarf am größten ist.

## ⚠️ Warum funktioniert das nicht?

ISO 31000 definiert Risiko als Auswirkung von Unsicherheit auf Ziele. Der Fehler beginnt davor: Personen und Gruppen verfolgen unterschiedliche Ziele. Ein CFO will finanzielle Stabilität. Betriebsverantwortliche wollen Verfügbarkeit. Die Compliance-Abteilung will regulatorische Konformität. Wessen Zielabweichung misst dieser eine Score?

Ein universelles Risikomaß beantwortet diese Frage nicht – es versteckt sie. Es tut so, als gäbe es ein gemeinsames Ziel, das sich sinnvoll in einer Zahl ausdrücken lässt. Das gibt es nicht.

## 💡 Was funktioniert besser?

Ziele explizit machen, bevor Risiken bewertet werden. Wessen Ziele sind betroffen – und wie stark? FAIR trennt zumindest Häufigkeit und Schadenshöhe: das ist ein Anfang. Stakeholder-spezifische Sichten helfen mehr als ein universelles Ranking. Wer priorisiert, trifft eine Entscheidung. Keine Formel nimmt das ab.

## 📚🔍

- ISO 31000:2018 Risk management — Guidelines [https://www.iso.org/standard/65694.html](https://www.iso.org/standard/65694.html)
- FAIR Institute – What is FAIR [https://www.fairinstitute.org/what-is-fair](https://www.fairinstitute.org/what-is-fair)
- MDPI: Multi-Dimensional Risk Analysis [https://www.mdpi.com/2227-9091/13/4/79](https://www.mdpi.com/2227-9091/13/4/79)
- FIRST – CVSS v4.0 Specification [https://www.first.org/cvss/v4-0/](https://www.first.org/cvss/v4-0/)
- SRA Glossary of Risk-Related Terms [https://www.sra.org/risk-analysis-introduction/risk-analysis-glossary/](https://www.sra.org/risk-analysis-introduction/risk-analysis-glossary/)