🔍 Was beobachte ich?

In Risiko-Workshops kommen Zahlen heraus, die wie Messungen aussehen: 23 % Eintrittswahrscheinlichkeit, 2,5 Mio. € Schaden. Niemand fragt, woher die Eingaben stammen. Die Zahl trägt ihre Herkunft nicht an sich.

🎯 Was soll eigentlich erreicht werden?

Risiken vergleichbar machen, Entscheidungen begründen. ISO/IEC 27001 verlangt in Abschnitt 6.1.2 b ein Verfahren, das wiederholt konsistente, valide und vergleichbare Ergebnisse liefert.

⚠️ Warum funktioniert das nicht?

Die Eingaben sind subjektive Schätzungen, oft in einer Sitzung schnell vergeben. Das Verfahren rechnet sauber, doch aus Bauchgefühl wird keine Messung – nur ein Diagramm. Douglas Hubbard nennt das Analyse-Placebo: Form erzeugt Vertrauen, Treffsicherheit wird nie gemessen. Eine drei Komma fünf sieht genauso seriös aus, ob sie aus zwanzig Jahren Statistik stammt oder aus einem Bauchgefühl der letzten halben Stunde. Das ist die Objektivitätsillusion: Nicht die Zahl ist falsch – ihre Herkunft ist unsichtbar.

💡 Was funktioniert besser?

Subjektivität ausweisen statt verstecken. Schätzungen als Spannen angeben, Fachleute kalibrieren (nachweislich erlernbar), die Bandbreite mit Monte-Carlo-Verfahren durchspielen. Die Pointe: 6.1.2 b verlangt Konsistenz, Validität und Vergleichbarkeit – keine Präzision. Erst eine Schätzung, die ihre Unsicherheit ausweist, erfüllt die Norm. Eine glatte Zahl ohne Spanne täuscht sie.

📚🔍