Wenn Zahlen versagen

❓ Die zentrale Frage

FAIR-Modelle sind logisch durchdacht, Risk-Register gewissenhaft gepflegt, Eintrittswahrscheinlichkeiten sauber kalkuliert. Und dann: die XZ-Backdoor. Über zwei Jahre schleuste ein Maintainer eine Backdoor in eine Kernbibliothek – entdeckt durch Zufall, Tage bevor sie in jede Linux-Distribution gewandert wäre. Kein Risikomodell hatte diesen Vektor je auf der Liste.

🔍 Die unbequeme Erkenntnis

Das ist kein Versäumnis der Methode. Das ist Frank Knights Erkenntnis von 1921: Es gibt Risiko – messbar, mit bekannter Verteilung. Und es gibt Knightian Uncertainty – Unsicherheit, bei der die Wahrscheinlichkeit selbst unbekannt ist. Zero-Day-Exploits, Supply-Chain-Attacken, geopolitische Kampagnen: das ist der Standard bei echten Bedrohungen.

Wir quantifizieren ständig – und müssen damit rechnen, völlig überrascht zu werden.

⚡ Die Folgefrage

Wenn sich etwas nicht quantifizieren lässt – ignorieren? Nein. Aber umdenken: Nicht „Wie sicher ist das System?" (die Frage ist unbeantwortbar). Sondern: „Wie widerstandsfähig bleibt es, wenn das Unerwartete eintritt?"

🎯 Die neue Orientierung

Antifragilität statt Vorhersage. Redundanz statt Perfektion. Diversifikation statt Monokultur.

Das bedeutet strukturell: Backups nach der 3-2-1-Regel mit Offline-Kopie – unerreichbar für Ransomware und kompromittierte Accounts. Eine Architektur, die nicht nur das Security-Team prüft, sondern auch Entwicklung, Betrieb und Angreifende – jede Seite sieht andere Schwachstellen. Vollständige Dokumentation der eigenen Systeme, Abhängigkeiten und Datenflüsse ist dabei keine Bürokratie – wer nicht weiß, was er betreibt, hat nicht nur eine fragile Organisation. Er hat eine blinde.

Und es bedeutet Übung: Red-Team-Tests, deren Ergebnisse in Architektur und Runbooks wandern – nicht in einen Audit-Ordner. Netflix’ Chaos Monkey legt absichtlich Produktionsserver lahm, damit das System lernt, ohne sie auszukommen. Chaos Engineering ist Antifragilität im Training.

Prävention adressiert das Bekannte. Widerstandsfähigkeit adressiert das Unbekannte. Die Kunst liegt darin, zu wissen, welche Ressourcen welcher Kategorie gehören – und aufzuhören, Millionen in die Illusion der Kontrolle zu stecken.

📚🔍

• Knight, F. H. (1921): Risk, Uncertainty, and Profit https://www.econlib.org/library/Knight/knRUP.html
• CISA (2024): Reported Supply Chain Compromise Affecting XZ Utils, CVE-2024-3094 https://www.cisa.gov/news-events/alerts/2024/03/29/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094
• NIST SP 800-160 Vol. 2 Rev. 1 (2021): Developing Cyber-Resilient Systems https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-160v2r1.pdf
• Netflix: Chaos Monkey https://netflix.github.io/chaosmonkey/
• Principles of Chaos Engineering https://principlesofchaos.org/