🤝 Der vertraute Einwand

“Wir machen doch Risk Assessments.” Diesen Reflex erlebe ich bei jeder Frage nach den verborgenen Risiken eines Projekts. Verständlich. Wer ein ISMS nach ISO 27001 betreibt, hat eine Risikoeinschätzung vorzuweisen. Wer Projekte führt, hat ein Risikoregister. Methodik liegt vor, Werkzeuge auch. Alles geprüft, alles dokumentiert.

⚖️ Was daran stimmt

Die Methodik ist tatsächlich nicht das Problem. Risikoidentifikation, Bewertung, Behandlung – das beherrschen die Werkzeuge gut. Wer eine FAIR-Analyse macht, kommt zu belastbaren Zahlen. Wer Bow-Ties zeichnet, sieht Ursachen und Folgen. Wer Threat-Modelling betreibt, kennt seine Angreifertypen. Auf der Methodenseite liegt alles bereit.

🔍 Wo es brüchig wird

Trotzdem fehlt im Risikoregister regelmäßig der Eintrag, der das Projekt später wirklich versenkt. Nicht aus Unwissenheit, sondern weil ihn niemand aussprechen will. Wer im Steering Committee andeutet, das Lieblingsprojekt der Geschäftsführung werde scheitern – weil die Sponsorin in Elternzeit geht und der Lead Architect drei Monate vor der Rente steht – hat anschließend ein Imageproblem. Die gefährlichen Risiken sind oft sozial heikel, hierarchisch unbequem oder politisch geladen. Methodik hilft dort nicht. Das Schweigen entsteht nicht aus mangelnder Analyse, sondern aus fehlendem Schutzraum.

💡 Was Pre-Mortem wirklich tut

Gary Klein hat das Pre-Mortem nicht gegen Bias erfunden, sondern gegen Höflichkeit. Das Setting “Stellen wir uns vor, wir sind in zwölf Monaten gescheitert. Was ist passiert?” verschiebt die Frage aus der Prognose ins Forensische. Über ein bereits eingetretenes Scheitern lässt sich offen reden. Es ist niemandes Lieblingskind mehr. Niemand verdirbt die Stimmung. Die Aufgabe lautet: erklären, was geschehen ist – nicht voraussagen, was geschehen wird.

Das ist keine kognitive Spielerei. Es ist eine soziale Erlaubnis. Genau diese Erlaubnis fehlt in den meisten Risk Workshops.

📚🔍