"Ich weiß, dass ich nichts weiß", so wird der griechische Philosoph Sokrates von dem römischen Politiker und Schriftsteller Marcus Tullius Cicero zitiert. Er wollt damit wohl ausdrücken, dass ihm Weisheit oder ein wirkliches, über jeden Zweifel erhabenes Wissen fehle. Die wahre menschliche Weisheit ist es, sich des Nichtwissens im Wissenmüssen bewusst zu sein.
Doch warum ist Nichtwissen so schwer zu erfassen? Weil es Nichtwissen nicht gibt. Es ist unsinnig auf Wissen als Gegensatz von Nichtwissen zu verweisen. Während wir in der heutigen Zeit Wissensdefizite haben (etwa über die Unendlichkeit oder Endlichkeit des Universums oder die positive und negative Wirkung von Viren und Bakterien in der Umwelt, in Tieren oder in unserem Körper), werden wir auf der anderen Seite überfrachtet mit einem Tsunami an unnützem Wissen. Die Informationsmenge nimmt jeden Tag mit 2,5 Quintillionen Bytes zu, aber damit eben gerade nicht die Menge an nützlicher Information. So fällt es vielen Menschen immer schwerer, sinnvolle Signale im allgemeinen Rauschen wahrzunehmen. Bezogen auf die Unternehmenswelt ist das Entscheiden und Handeln unter Bedingungen der Unsicherheit alltäglich. Geschäftsführer, Vorstände und auch Politiker müssen tagtäglich mit unsicheren Szenarien umgehen und am Ende des Tages eine Entscheidung treffen.
Wichtig ist hierbei, dass man sich der Wissensdefizite bewusst ist und die unterschiedlichen Szenarien aus unterschiedlichen Perspektiven abwägt, um schließlich zu einer Entscheidung zu gelangen. Erforderlich ist hierfür eine Kultur der Abwägung. Dies bedingt immer einen interdisziplinären Ansatz und einen konstruktiven Diskurs. Die Alternative wäre die Fokussierung auf ein (gewünschtes) Szenario und die Erfindung alternativer Fakten. Was heute leider in der Politik eher die Regel als die Ausnahme ist.
Anmaßung von Wissen im Risikomanagement
Ein unseriöser Umgang mit Unsicherheit kann regelmäßig bei der Bewertung von Risiken in der Praxis der Unternehmen beobachtet werden. So werden Risiken von "Experten" anhand von Eintrittswahrscheinlichkeiten und einem Schadensausmaß bewertet, als würden Sie die Zukunft aus einer Kristallkugel ablesen. Es liegt eine Anmaßung von Wissen im Risikomanagement vor, welches nicht vorhanden ist.
Stochastische Aussagen würden hingegen eine Bandbreite potenzieller Szenarien liefern. Wir kennen schlicht und einfach die potenziellen Überraschungen in der Zukunft nicht. Daher sollten Risiken in einem interdisziplinären Diskurs über eine Bandbreite potenzieller Szenarien bewertet werden. Eine fundierte Risikoanalyse vermeidet Scheingenauigkeiten und Einzelszenarien und bietet dafür realistische Bandbreiten der zukünftigen Entwicklung. Im einfachsten Fall wird ein "worst case szenario", ein "realistic szenario" und ein "best case szenario" bewertet. Die Welt der Stochastik und Probabilistik macht unser Wissen facettenreicher und vielfältiger, aber nicht ungenauer (Renn 2019, S. 39).
Quantitative Risikoanalysen können mit schlechten Daten umgehen
Perfekte Informationen hat man in der Realität nie und daher können Risikoanalysen mit schlechten Daten umgehen und helfen, die tatsächlich verfügbaren Informationen optimal auszuwerten. Ein exzellentes Anwendungsbeispiel für einen unseriösen Umgang mit Unsicherheit liefert uns bis heute die Diskussion rund um die Risikobewertung von SARS-Cov-2. Basierend auf einer monodisziplinären Analyse von Virologen wurden Maßnahmen definiert, ohne dass andere Disziplinen involviert waren. Es werden Studien präsentiert und als "Wahrheit" verkündigt, obwohl bei genauerem Hinsehen Statistiker und Datenethiker Bauchkrämpfe bekommen. So wurden in den letzten Monaten methodische Defizite (etwa bei der Anwendung einer Regressionsanalyse, einer fehlerhaften Bewertung der Fehlerquote bei sogenannten Polymerase-Chain-Reaction(PCR)-Tests, fehlerhafter Quotienten bei der Berechnung der "Case Fatality Rate" etc.) transparent gemacht. So ist die Kommunikation der "Wahrheit" rund um SARS-Cov-2 vor allem ein Evidenz-Fiasko. In vielen Studien, u.a. des Imperial College in London wurden in Modellrechnungen äußerst ungenaue Eingangsvariablen verwendetet, die dann zu dem bekannten GIGO-Effekt führten (Garbage In, Garbage Out). Auf die Unsicherheit bei der Parametrisierung wurde nur äußerst selten hingewiesen. Seriös wäre es gewesen, Ergebnisse in Bandbreiten zu kommunizieren, wie etwa die Stanford University School of Medicine, die ihre Analyseergebnisse für Santa Clara County mit einer Letalität von 0,12% bis 0,2% ("infection fatality rate") angegeben hat. Bei den Ergebnissen der "Heinsberg-Studie" in Gangelt im Kreis Heinsberg wurde die Letalität mit 0,37% angegeben. Wird eine Betaverteilung mit einem Konfidenzniveau von 95% unterstellt, kann davon ausgegangen werden, dass die tatsächliche Letalität zwischen 0,15% und 0,69% liegt. Da die Dichtefunktion rechtsschief ist, liegt der Erwartungswert (Mean) für die Letalität eher bei 0,32%.
Bewertung von Cyber-Szenarien
Alle Risiken, die durch einen hohen Grad an Unsicherheit gekennzeichnet sind, können mithilfe von Szenarien und Bandbreiten antizipiert werden, ohne dass eine "Anmaßung von Wissen" vorliegt. Kein IT-Experte sollte sich anmaßen, die potenziellen Wirkungsszenarien einer Cyberattacke in Form einer Punktschätzung einer Eintrittswahrscheinlichkeit und eines Schadensausmaßes zu schätzen (wie es viele internationale und etablierte IT-Sicherheitsstandards, beispielsweise vom Bundesamt für Sicherheit in der Informationstechnik, BSI, vorschlagen). Eine solche Schätzung wäre eine reine Anmaßung von Wissen, über welches wir nicht verfügen. Zur Untermauerung dieser These empfehle ich allen Lesern, sich intensiv mit den Wirkungsmechanismen der NotPetya-Attacke auf die Unternehmensgruppe A.P. Møller-Mærsk zu beschäftigen.
Die Unsicherheit potenzieller Cyberrisiken könnte seriös auf Basis einer Szenarioanalyse erfolgen. Wir häufig ist mit einem bestimmten Szenario zu rechnen? Und wenn uns ein solches Szenario auf die Füße fällt, welche Wirkungen (hinsichtlich Umsatz, bestimmter Aufwand, Reputation etc.) sind denkbar? Und zwar bewertet als "schlimmstes Szenario", "realistisches Szenario" oder "optimistisches Szenario"). Die Bewertung erfolgt über geeignete statistische Verteilungsfunktionen, die die Unsicherheit in der Schätzung der Parameter korrekt abbilden. So bietet sich beispielsweise für Cyberrisiken die Bewertung mithilfe einer Compoundverteilung, die geschätzte Häufigkeit (bewertet beispielsweise anhand einer Poissonverteilung) und geschätzte Wirkungsszenarien (bewertet beispielsweise durch eine PERT- oder Betaverteilung) intelligent miteinander verknüpft. Die bewerteten Szenarien bilden die Grundlage für eine stochastische Simulation, um potenzielle Wirkungen auf die Finanzwelt des Unternehmens zu antizipieren. Ergebnis der Simulation ist nicht eine Wahrheit (im Sinne eines Szenarios), sondern eine ganze Bandbreite an Szenarien (unter anderem Erwartungswerte und Stressszenarien). Mithilfe einer Sensitivitätsanalyse lassen sich anschließend Maßnahmen priorisieren und hinsichtlich ihrer Wirkung und Effizienz analysieren.
Intelligente Kombination von Expertenwissen und Statistik
Die stochastische Szenariosimulation kombiniert in einer intelligenten Form Expertenwissen (auch in Form von Intuition und Bauchgefühl) mit der Leistungsfähigkeit statistischer Werkzeuge. Denn statistisches Denken führt im Ergebnis zu mehr Kompetenz im Umgang mit Unsicherheit. Statistik zu verstehen ist eine notwendige Fähigkeit (nicht nur für Risikomanager), um die Welt, in der wir leben, einordnen und bewerten zu können und um Entscheidungen unter Unsicherheit zu treffen. Der indische Statistiker C.R. Rao bringt es auf den Punkt: Sicheres Wissen entstehe in einer neuen Art des Denkens aus der Kombination von unsicherem Wissen und dem Wissen über das Ausmaß der Unsicherheit. Analog zu einem Statistiker sollte auch ein Risikomanager über vier Kompetenzen verfügen:
- Sie können Wesentliches von Unwesentlichem unterscheiden.
- Sie können mit Risiko und Unsicherheit umgehen.
- Sie können Probleme strukturieren und in methodisch fundierte Modelle übersetzen.
- Sie können Daten strukturieren und in Lösungen übersetzen.
Aus den vergangenen Monaten habe ich vor allem eine Erkenntnis mitgenommen: Eine interdisziplinäre und fundierte Risikoanalyse wäre auch in der "Hochrisikosituation" Corona-Krise als Entscheidungsgrundlage erforderlich gewesen – sie existiert aber noch immer nicht, was nichts anderes ist als das vollständige Ignorieren des gesamten Wissens aus der Risikoforschung. Vielleicht, weil viele Virologen, Epidemiologen und auch Politiker nicht genug von Entscheidungsfindung unter Risiko verstehen? Sie verstehen nicht, dass stochastische Aussagen, und damit das Aufzeigen von Unsicherheiten, kein Zeichen von Schwäche sind, sondern eine Stärke wissenschaftlicher Erkenntnis.
Literatur:
- Renn, Ortwin (2019): Gefühlte Wahrheiten – Orientierung in Zeiten postfaktischer Verunsicherung, Verlag Barbara Budrich, Opladen 2019.
- Schüller, Katharina (2015): Statistik und Intuition – Alltagsbeispiele kritisch hinterfragt, Springer Spektrum, Berlin 2015.
- Romeike, Frank/Hager, Peter (2020): Erfolgsfaktor Risikomanagement 4.0: Methoden, Prozess, Organisation und Risikokultur, 4. komplett überarbeitete Auflage, Springer Verlag, Wiesbaden 2020.
Hinweis: Der Text wurde erstmalig im avedos-Blog veröffentlicht.