Die Angstmaschine | .kais blog

🔍 Was beobachte ich?

Sicherheitspräsentationen beginnen mit den schlimmsten Vorfällen des Quartals. Budgetanfragen enden mit „wenn das passiert, ist alles verloren." Bedrohungslisten ohne Wahrscheinlichkeit, ohne Kontext. Angst ist das implizite Kommunikationsmodell geworden.

🎯 Was soll eigentlich erreicht werden?

Entscheidende sollen Security ernst nehmen und Investitionen freigeben. Das Ziel ist berechtigt – Sicherheit braucht Ressourcen und Aufmerksamkeit.

⚠️ Warum funktioniert das nicht?

Kelly Shortridge analysierte das spieltheoretische Dilemma: Wer Angst verkauft, bekommt Budget – kurzfristig. Langfristig lernt das Management, dass „kritisch" die Standardeinstellung ist. Andrew Jaquith nannte das schon 2007 FUD: Fear, Uncertainty and Doubt ist das Fundament der Security-Industrie – und produziert ein Management, das gelernt hat, Sicherheitskommunikation zu misstrauen. Angstgetriebene Kommunikation erzeugt keine Entscheidungshaltung. Sie erzeugt Taubheit.

💡 Was funktioniert besser?

Risiken in Geschäftssprache übersetzen: Was kostet ein Vorfall? Wie wahrscheinlich ist er? Hubbard und Seiersen zeigen, dass grobe Schätzungen bessere Entscheidungen erzeugen als qualitative Szenarien. Wer Security als Risikomanagement kommuniziert, wird als strategischer Partner gehört – nicht als Alarmanlage.

📚🔍

Kelly Shortridge: Big Game Theory Hunting – The Peculiarities of Human Behavior in the InfoSec Game (Black Hat 2017) https://www.blackhat.com/docs/us-17/wednesday/us-17-Shortridge-Big-Game-Theory-Hunting-The-Peculiarities-Of-Human-Behavior-In-The-Infosec-Game.pdf
Andrew Jaquith: Security Metrics – Replacing Fear, Uncertainty, and Doubt (RSA Conference) https://www.rsaconference.com/library/blog/security-metrics-replacing-fear-uncertainty-and-doubt
Douglas Hubbard & Richard Seiersen: How to Measure Anything in Cybersecurity Risk (Wiley) https://www.howtomeasureanything.com/cybersecurity/
FAIR Institute: Why Cyber Risk Quantification Matters https://www.fairinstitute.org/what-is-fair