🔍 Was beobachte ich?

Risikoworkshops enden mit einem gepflegten Register: Bedrohungen erfasst, Schwachstellen zugeordnet, Schäden geschätzt. Was nicht im Register steht, gilt als abgedeckt. Die nicht identifizierten Risiken hinterlassen keine Spur – also gibt es sie nicht.

🎯 Was soll eigentlich erreicht werden?

ISO/IEC 27001 verlangt in Abschnitt 6.1.2 b ein Verfahren, das wiederholt konsistente, valide und vergleichbare Ergebnisse liefert. Das Register soll Entscheidungen tragen, Ressourcen lenken und Verantwortung sichtbar machen.

⚠️ Warum funktioniert das nicht?

Frank Knight trennte vor hundert Jahren Risiko von Unsicherheit: messbar gegen prinzipiell unmessbar. In der Informationssicherheit überwiegt das Unmessbare. Vollständigkeit ist hier erkenntnistheoretisch ausgeschlossen, nicht bloß schwer erreichbar – die Sicherheitsforschung formuliert es scharf: Mit der Gefährdungsidentifikation kann man grundsätzlich nie fertig sein. Talebs Schwarzer Schwan steht per Definition nicht im Register – wäre er drin, wäre er kein Schwan mehr. Das ist die Vollständigkeitsillusion: Die Lücke ist unsichtbar, also gilt die Liste als vollständig. Wer das Register für die Bedrohungslage hält, hat eine Landkarte erfunden, wo eigentlich ein weißes Feld stünde.

💡 Was funktioniert besser?

Die Illusion lässt sich nicht beseitigen, aber sichtbar machen. Neben die Identifikation gehört ein zweites Standbein: Widerstandsfähigkeit. Schnelle Erkennung, geübte Eindämmung, robuste Wiederherstellung wirken unabhängig vom konkreten Vektor. Die Pointe: 6.1.2 b verlangt Konsistenz, Validität und Vergleichbarkeit – keine Vollständigkeit. Erst ein Register, das seine Lücke offen ausweist, erfüllt die Norm. Eines, das Vollständigkeit behauptet, täuscht sie.

📚🔍