🔍 Was beobachte ich?

Risikoworkshops enden mit Ampelfarben. „Hoch", „mittel", „niedrig" – ohne Zahlen, ohne Herleitung. Nicht weil Daten fehlen. Sondern weil „hoch" niemanden festlegt. Wer nie eine Zahl nennt, kann nie danebenliegen.

🎯 Was soll eigentlich erreicht werden?

Risiken sollen priorisierbar sein – über Zeit, über Personen, über Budgetentscheidungen hinweg.

⚠️ Warum funktioniert das nicht?

„Hoch" ist nicht falsifizierbar. Ein Risiko mit 5 % Wahrscheinlichkeit und 10 Mio. € Schaden ist „hoch". Eines mit 40 % und 200.000 € auch. Was kostet die Gegenmaßnahme – und lohnt sie sich für welches der beiden? Die Ampel kann diese Frage nicht beantworten. Sie schützt nicht vor dem Risiko. Sie schützt vor der Aussage.

💡 Was funktioniert besser?

Fermi-Zerlegung: Statt einer Kategorie zerlegen wir in prüfbare Teilfragen. P(Ransomware) ≈ Angriffsrate im Sektor × Exposition × (1 − Kontrolleffektivität). Jeder Faktor ist separat hinterfragbar – und verbesserbar. Das FAIR-Framework formalisiert diesen Ansatz. Hubbard zeigt: Ein 90-%-Konfidenzintervall ist präziser als „hoch" und ehrlicher als eine Punktschätzung, die niemand einhalten muss.

📚🔍