---
title: "Das strategische Hoch"
date: 2026-05-20T07:35:00+02:00
draft: false
image: "2026-05-20_Orakel-Schaetzung.jpg"
tags: ["Anti-Pattern", "Risikomanagement", "FAIR", "Fermi-Schätzung"]
keywords: ["Fermi-Zerlegung", "Douglas Hubbard", "Konfidenzintervall", "Falsifizierbarkeit", "Ampelbewertung", "Risikoquantifizierung"]
description: "Vage Risikokategorien wie »hoch« schützen nicht vor Risiken – sie schützen vor Aussagen."
---

## 🔍 Was beobachte ich?

Risikoworkshops enden mit Ampelfarben. „Hoch", „mittel", „niedrig" – ohne Zahlen, ohne Herleitung. Nicht weil Daten fehlen. Sondern weil „hoch" niemanden festlegt. Wer nie eine Zahl nennt, kann nie danebenliegen.

## 🎯 Was soll eigentlich erreicht werden?

Risiken sollen priorisierbar sein – über Zeit, über Personen, über Budgetentscheidungen hinweg.

## ⚠️ Warum funktioniert das nicht?

„Hoch" ist nicht falsifizierbar. Ein Risiko mit 5 % Wahrscheinlichkeit und 10 Mio. € Schaden ist „hoch". Eines mit 40 % und 200.000 € auch. Was kostet die Gegenmaßnahme – und lohnt sie sich für welches der beiden? Die Ampel kann diese Frage nicht beantworten. Sie schützt nicht vor dem Risiko. Sie schützt vor der Aussage.

## 💡 Was funktioniert besser?

Fermi-Zerlegung: Statt einer Kategorie zerlegen wir in prüfbare Teilfragen. P(Ransomware) ≈ Angriffsrate im Sektor × Exposition × (1 − Kontrolleffektivität). Jeder Faktor ist separat hinterfragbar – und verbesserbar. Das FAIR-Framework formalisiert diesen Ansatz. Hubbard zeigt: Ein 90-%-Konfidenzintervall ist präziser als „hoch" und ehrlicher als eine Punktschätzung, die niemand einhalten muss.

## 📚🔍

- Hubbard & Seiersen: How to Measure Anything in Cybersecurity Risk (2. Aufl.) [https://www.wiley.com/en-us/How+to+Measure+Anything+in+Cybersecurity+Risk%2C+2nd+Edition-p-9781119892304](https://www.wiley.com/en-us/How+to+Measure+Anything+in+Cybersecurity+Risk%2C+2nd+Edition-p-9781119892304)
- FAIR Institute: What Is FAIR [https://www.fairinstitute.org/what-is-fair](https://www.fairinstitute.org/what-is-fair)
- Verizon 2025 Data Breach Investigations Report [https://www.verizon.com/about/news/2025-data-breach-investigations-report](https://www.verizon.com/about/news/2025-data-breach-investigations-report)
- IBM Cost of a Data Breach 2024 [https://www.ibm.com/reports/data-breach](https://www.ibm.com/reports/data-breach)
- Wikipedia: Fermi-Aufgabe – Zerlegungsmethode [https://de.wikipedia.org/wiki/Fermi-Aufgabe](https://de.wikipedia.org/wiki/Fermi-Aufgabe)