https://blog.0x2e6b6169.de/tags/risikobewertung/Recent content in Risikobewertung on .kais blogHugode-deWed, 03 Jun 2026 07:35:00 +0200https://blog.0x2e6b6169.de/posts/2026-06-03-die-serioese-zahl/Wed, 03 Jun 2026 07:35:00 +0200https://blog.0x2e6b6169.de/posts/2026-06-03-die-serioese-zahl/<h2 id="-was-beobachte-ich">🔍 Was beobachte ich?</h2> <p>In Risiko-Workshops kommen Zahlen heraus, die wie Messungen aussehen: 23 % Eintrittswahrscheinlichkeit, 2,5 Mio. € Schaden. Niemand fragt, woher die Eingaben stammen. Die Zahl trägt ihre Herkunft nicht an sich.</p> <h2 id="-was-soll-eigentlich-erreicht-werden">🎯 Was soll eigentlich erreicht werden?</h2> <p>Risiken vergleichbar machen, Entscheidungen begründen. ISO/IEC 27001 verlangt in Abschnitt 6.1.2 b ein Verfahren, das wiederholt konsistente, valide und vergleichbare Ergebnisse liefert.</p> <h2 id="-warum-funktioniert-das-nicht">⚠️ Warum funktioniert das nicht?</h2> <p>Die Eingaben sind subjektive Schätzungen, oft in einer Sitzung schnell vergeben. Das Verfahren rechnet sauber, doch aus Bauchgefühl wird keine Messung – nur ein Diagramm. Douglas Hubbard nennt das Analyse-Placebo: Form erzeugt Vertrauen, Treffsicherheit wird nie gemessen. Eine drei Komma fünf sieht genauso seriös aus, ob sie aus zwanzig Jahren Statistik stammt oder aus einem Bauchgefühl der letzten halben Stunde. Das ist die Objektivitätsillusion: Nicht die Zahl ist falsch – ihre Herkunft ist unsichtbar.</p>