https://blog.0x2e6b6169.de/tags/risikomanagement/Recent content in Risikomanagement on .kais blogHugode-deWed, 18 Mar 2026 07:35:00 +0100https://blog.0x2e6b6169.de/posts/2026-03-18-einmal-bewertet-immer-gueltig/Wed, 18 Mar 2026 07:35:00 +0100https://blog.0x2e6b6169.de/posts/2026-03-18-einmal-bewertet-immer-gueltig/<h2 id="-was-beobachte-ich">🔍 Was beobachte ich?</h2> <p>Risikobewertungen entstehen einmal im Jahr vor dem Audit. Danach ruhen sie im Register. Zwischendurch passiert ein Vorfall in der Branche, eine neue Schwachstelle wird bekannt, die Bedrohungslage ändert sich. Neue Services gehen live, IT-Systeme werden migriert, Abteilungen umstrukturiert. Die Bewertungen bleiben, wie sie sind.</p> <h2 id="-was-soll-eigentlich-erreicht-werden">🎯 Was soll eigentlich erreicht werden?</h2> <p>Ein aktuelles Lagebild der Risikosituation.</p> <h2 id="-warum-funktioniert-das-nicht">⚠️ Warum funktioniert das nicht?</h2> <p>Eine Wahrscheinlichkeitsschätzung ist kein Foto, das man einmal macht und einrahmt. Sie spiegelt den Wissensstand zum Zeitpunkt der Bewertung. Neue Informationen verändern diesen Wissensstand. Wer das ignoriert, trifft Entscheidungen auf Basis veralteter Annahmen.</p>https://blog.0x2e6b6169.de/posts/2026-03-11-das-eine-risikomas/Wed, 11 Mar 2026 07:35:00 +0100https://blog.0x2e6b6169.de/posts/2026-03-11-das-eine-risikomas/<h2 id="-was-beobachte-ich">🔍 Was beobachte ich?</h2> <p>Jedes Security-Dashboard zeigt Risiko-Scores. CVSS, Risk-Index, Risikorating – alles landet auf einer Skala. Die Ampel springt auf Rot, der Score überschreitet 7,5, also wird priorisiert. Wessen Abweichung von welchem Ziel dabei gemeint ist, fragt niemand.</p> <h2 id="-was-soll-eigentlich-erreicht-werden">🎯 Was soll eigentlich erreicht werden?</h2> <p>Risiken vergleichbar und priorisierbar machen. Entscheidungstragende sollen auf einen Blick sehen, was kritisch ist – und Investitionen dorthin lenken, wo der Handlungsbedarf am größten ist.</p>https://blog.0x2e6b6169.de/posts/2026-02-27-punktlandung-im-nebel/Fri, 27 Feb 2026 07:35:00 +0100https://blog.0x2e6b6169.de/posts/2026-02-27-punktlandung-im-nebel/<h2 id="-was-beobachte-ich">🔍 Was beobachte ich?</h2> <p>Im Risk-Register steht: Eintrittswahrscheinlichkeit 30%. Schadenshöhe 250.000 Euro. Zwei Nachkommastellen Genauigkeit, null Nachkommastellen Ehrlichkeit. Niemand fragt, wie sicher sich die schätzende Person bei diesen Zahlen ist.</p> <h2 id="-was-soll-eigentlich-erreicht-werden">🎯 Was soll eigentlich erreicht werden?</h2> <p>Risiken vergleichbar und priorisierbar machen.</p> <h2 id="-warum-funktioniert-das-nicht">⚠️ Warum funktioniert das nicht?</h2> <p>Ein einzelner Punktwert suggeriert eine Präzision, die nicht existiert. Wer &ldquo;30%&rdquo; sagt, meint vielleicht &ldquo;irgendwo zwischen 10% und 50%&rdquo;. Diesen Unterschied verschluckt die Zahl. Entscheidungstragende treffen auf dieser Basis Investitionsentscheidungen - ohne zu wissen, wie dünn das Eis ist.</p>https://blog.0x2e6b6169.de/posts/2026-02-25-einmal-bewertet-immer-gueltig/Wed, 25 Feb 2026 07:35:00 +0100https://blog.0x2e6b6169.de/posts/2026-02-25-einmal-bewertet-immer-gueltig/<h2 id="-was-beobachte-ich">🔍 Was beobachte ich?</h2> <p>Risikobewertungen entstehen einmal im Jahr vor dem Audit. Danach ruhen sie im Register. Zwischendurch passiert ein Vorfall in der Branche, eine neue Schwachstelle wird bekannt, die Bedrohungslage ändert sich. Neue Services gehen live, IT-Systeme werden migriert, Abteilungen umstrukturiert. Die Bewertungen bleiben, wie sie sind.</p> <h2 id="-was-soll-eigentlich-erreicht-werden">🎯 Was soll eigentlich erreicht werden?</h2> <p>Ein aktuelles Lagebild der Risikosituation.</p> <h2 id="-warum-funktioniert-das-nicht">⚠️ Warum funktioniert das nicht?</h2> <p>Eine Wahrscheinlichkeitsschätzung ist kein Foto, das man einmal macht und einrahmt. Sie spiegelt den Wissensstand zum Zeitpunkt der Bewertung. Neue Informationen verändern diesen Wissensstand. Wer das ignoriert, trifft Entscheidungen auf Basis veralteter Annahmen.</p>https://blog.0x2e6b6169.de/posts/2026-02-20-ohne-daten-keine-wahrscheinlichkeit/Fri, 20 Feb 2026 07:35:00 +0100https://blog.0x2e6b6169.de/posts/2026-02-20-ohne-daten-keine-wahrscheinlichkeit/<h2 id="-was-beobachte-ich">🔍 Was beobachte ich?</h2> <p>&ldquo;Wir können keine Wahrscheinlichkeiten angeben - uns fehlen die statistischen Daten.&rdquo; Diesen Satz höre ich in fast jedem Risk-Assessment-Workshop. Die Folge: Risiken werden gar nicht bewertet oder mit bedeutungslosen Kategorien wie &ldquo;mittel&rdquo; versehen.</p> <h2 id="-was-soll-eigentlich-erreicht-werden">🎯 Was soll eigentlich erreicht werden?</h2> <p>Eine fundierte Einschätzung, wie plausibel der Eintritt eines Risikos ist.</p> <h2 id="-warum-funktioniert-das-nicht">⚠️ Warum funktioniert das nicht?</h2> <p>Wer auf objektive Statistiken wartet, wartet bei singulären Risiken für immer. Die nächste Ransomware-Attacke auf genau diese Organisation ist kein wiederholbares Zufallsexperiment. Objektive Häufigkeiten helfen hier nicht weiter. Also passiert nichts - oder jemand schätzt ohne Methode.</p>https://blog.0x2e6b6169.de/posts/2026-02-18-babylonisches-risikomanagement/Wed, 18 Feb 2026 07:35:00 +0100https://blog.0x2e6b6169.de/posts/2026-02-18-babylonisches-risikomanagement/<h2 id="-was-beobachte-ich">🔍 Was beobachte ich?</h2> <p>Zehn Leute bewerten Risiken im Workshop. Drei meinen mit &ldquo;Risiko&rdquo; die Eintrittswahrscheinlichkeit, zwei den Schaden, der Rest irgendetwas dazwischen. Alle nicken. Niemand meint dasselbe.</p> <h2 id="-was-soll-eigentlich-erreicht-werden">🎯 Was soll eigentlich erreicht werden?</h2> <p>Eine gemeinsame Risikobewertung. Eine Sprache, vergleichbare Ergebnisse.</p> <h2 id="-warum-funktioniert-das-nicht">⚠️ Warum funktioniert das nicht?</h2> <p>ISO 31000 definiert Risiko als &ldquo;Auswirkung von Unsicherheit auf Ziele&rdquo;. NIST spricht von Threats und Vulnerabilities. FAIR zerlegt Risiko in Loss Event Frequency und Loss Magnitude. Alle bringen ihr Framework im Kopf mit. Niemand legt die Karten auf den Tisch. Das Ergebnis: Ein Risk-Register voller Bewertungen, die nicht vergleichbar sind.</p>