Mundus vult decipi

Was tun mit Fake News?


Mundus vult decipi: Was tun mit Fake News? Interview

Wahrheit oder Lüge? Wer kann das in unseren digitalen Zeiten noch beantworten? Umso wichtiger sind klare Parameter und ein methodisch sauberes Vorgehen, um Fake News zu enttarnen. Dafür plädiert Risikomanagementexperte Frank Romeike im Interview mit PROTECTOR & WIK.

PROTECTOR&WIK: Was ist wahr, was ist fake? Wer kann das heute noch unterscheiden? Wie sehen Sie die Welt zwischen digitalem Wahrheitsstreben, Luftblasen und reinen Lügen oder Propaganda?

Frank Romeike: Zunächst vorab: Fake News sind deutlich älter als Facebook oder Twitter. Tarnen, tricksen, täuschen und lügen begleiten die Menschen, seit sie auf der Erde leben. Bereits die alten Ägypter und die Menschen im Altertum nutzten die "Kunst der Täuschung" und der Fake News. Mundus vult decipi: Die Welt will betrogen werden, hieß es bei den Römern.

Um zu erkennen, was wahr ist, lohnen sich ein kritischer Blick und ein strukturiertes Nachdenken. Man sollte ein paar Grundregeln beherzigen: Reißerische Formulierungen und dramatische Bilder können erste Hinweise auf Falschmeldungen liefern. Wer ist der Absender der Meldung? Ist die primäre Quelle vertrauenswürdig? Steckt hinter dem Absender ein Pseudonym und wie lange existiert der Twitter- oder Facebook-Account bereits? Wie viele Follower gibt es? Wer sind die Follower? Professionelle Journalisten haben hier in der Praxis einen recht einfachen Filter: Die Informationen müssen von mindestens zwei voneinander unabhängigen (primären) Informationsgebern bestätigt werden. Bei Fotos sollte man deren Authentizität prüfen. Wer ist Urheber? Wann wurde das Foto veröffentlicht? Handelt es sich um eine echte Redaktion, die sauber recherchiert? Nach welchen Standards arbeitet die Redaktion? Hierzu würde beispielsweise gehören, dass die Quellen sauber angegeben werden.

Wenn wir das Ganze aus dem Blickwinkel des Risikomanagements betrachten: Mit welchen Methoden lassen sich solche Fake News im Vorfeld herausfiltern und so Organisationen letztendlich besser gegen Falschmeldungen schützen?

Frank Romeike: Leider dominiert in der Praxis nicht selten eine rückspiegelorientierte Risikobuchhaltung, basierend auf Voodoo-Methoden. Da wird etwas als Risiko bezeichnet, das eigentlich die Ursache oder die Wirkung eines Risikos darstellt. Da werden Risiken aus irgendwelchen Kanälen verwendet, ohne deren Relevanz für die eigene Organisation kritisch zu hinterfragen. Interessengruppen, beispielsweise Lösungsanbieter oder Unternehmensberater, produzieren tagtäglich Studien, die höchst interessengeleitet sind und auf neue "Risiken" oder "Herausforderungen" hinweisen und nicht selten ein wenig "mit der Angst der Empfänger" spielen. Compliance ist hier ein schönes und hochaktuelles Thema.

Man sollte als kluger Risikomanager stattdessen über zukünftige Szenarien nachdenken und diese dem Vorstand präsentieren: Was bedeutet Digitalisierung für unser Geschäftsmodell? Welche Cyberrisiken können uns aus der Spur bringen? Welche disruptiven Geschäftsmodelle könnten uns gefährlich werden? Mit den richtigen und methodisch fundierten Werkzeugen und einer gelebten Risikokultur kann man eine höhere Risikotransparenz in den Unternehmen schaffen.

Also können wir an dieser Stelle von einem klaren Mehrwert des Methodeneinsatzes für den Risikomanager ausgehen?

Frank Romeike: Eindeutig. Auf der Methodenseite sehe ich riesige Baustellen in der Praxis. Viele Risikomanager konzentrieren sich im Wesentlichen auf Kollektionsmethoden (Checklisten, Risikoidentifikationsmatrix) und analytische Methoden (beispielsweise Failure Mode and Effects Analysis beziehungsweise Fehlermöglichkeits- und -einflussanalyse) und nutzen Kreativitätsmethoden gar nicht oder nur sehr eingeschränkt.

Moderne Methoden aus der Risk-Analytics-Welt werden nur von wenigen Unternehmen tatsächlich in der Praxis verwendet. Ich sehe in den Bereichen Machine Learning, Artificial Intelligence (AI) ein großes Potenzial für einen höheren Reifegrad im Risikomanagement.

Die Digitalisierung verspricht in diesem Kontext, mithilfe neuer Analysemethoden zu validen Aussagen zu gelangen. Doch ist die Technik ja nur ein Teil dieses Analyse- und Auswertungsprozesses. Wie schätzen Sie die Verbindung von Mensch und Maschine in diesem Zusammenhang ein?

Frank Romeike: Lassen Sie mich hierzu ein konkretes Beispiel nennen. Ein KI-System, das die weltbesten Go-Spieler besiegt, kann auch Risikomanagement besser als ein menschlicher Risikomanager. Erst vor wenigen Jahren hatte ein Team des Google-Forschungslabors Forschungslabors "DeepMind" den amtierenden Europameister Fan Hui mit fünf zu null Spielen vernichtend geschlagen.

Das aus Ostasien stammende Strategiespiel Go zeichnet sich durch einfache Regeln aus, aus denen eine schier unvorstellbare Komplexität resultiert. Die Zahl möglicher Partien auf dem 19 mal 19 Felder großen Brett lässt sich auf zehn hoch 171 abschätzen – was die Anzahl der Atome im Universum übertrifft. Das Google-System "AlphaGo" verwendet methodisch zum einen stochastische Simulationsmethoden und zum anderen auch Lernmethoden für tiefe neuronale Netzwerke. Ich würde mir wünschen, dass Unternehmen wenigstens die etablierten Werkzeuge der stochastischen Simulation im Risikomanagement intensiver nutzen würden, um beispielsweise mehr über Stressszenarien und ihre individuelle Risikolandkarte zu erfahren.

Die Verbindung von Mensch und Maschine bewerte ich als äußerst unkritisch, da unser Gehirn mit solchen Szenarien – und übrigens auch statistischen Verteilungsfunktion – sehr viel anfangen kann. Jedes Kind kann mir sofort ein Szenario mit einem "schlimmsten Szenario", "besten Szenario" und "realistischen Szenario" nennen.

Die Digitalisierung und der Umgang mit ihr verlangt nach Wissen. Wo müssen Unternehmen Ihrer Meinung nach ansetzen, um Know-how bei den eigenen Mitarbeitern auszubauen und so ein methodisch festes Grundgerüst im Bereich des Risikomanagements zu erlangen?

Frank Romeike: Ein wirksames Risikomanagement-System basiert immer auf vier Pfeilern: Organisation, Prozesse, Methoden und Risikokultur. Unternehmen sollten vor allem bei den beiden letzten Punkten ansetzen. Also die Methodenkompetenz ausbauen und in die Entwicklung einer gelebten Risikokultur investieren. Über Methoden und die Defizite in diesem Bereich hatten wir bereits kurz gesprochen. Wichtig sind hier fundierte Methoden, die trotz alledem dem "KISS"-Prinzip (Keep it simple, stupid) folgen. Das ist kein Widerspruch, sondern funktioniert in der Praxis einwandfrei. Das beweisen Unternehmen beispielsweise aus der Luftfahrtindustrie oder der Rückversicherungsbranche, die Risikomanagement in einem hohen Reifegrad seit Jahren erfolgreich leben.

Die Dimension "Risikokultur" ist aus meiner Sicht die wichtigste und gleichzeitig die größte Baustelle in der Praxis: Risikomanagement muss in der Organisation gelebt werden und Teil der Unternehmenskultur sein. Grundlegend ist hierfür vor allem ein aktives Wollen der Unternehmensleitung, also ein klarer "Tone from the top" aber auch "Tone from the Middle".

Abschließende Frage: Was wünschen Sie sich als Risikomanagementexperte bei einem Blick in den methodischen Werkzeugkasten in den kommenden Jahren? Auch mit Blick auf die zukünftige "Wahrheitsfindung"?

Frank Romeike: Weniger Voodoo und mehr fundierte Methoden. Was hilft mir in der Praxis eine Bewertung von Risiken mit einer Eintrittswahrscheinlichkeit und einem Schadensausmaß? Das ist ein äußerst unseriöser Umgang mit Unsicherheit. Ich stelle Praktikern gerne die Frage, ob sie mir die Eintrittswahrscheinlichkeit für eine Cyberattacke im eigenen Unternehmen nennen können! Sind es 17,5 oder 48,1 Prozent? Sie merken es schon: Die Frage ist unsinnig. Die richtige Frage wäre: Welches Szenario kannst du dir für das Risiko Cyberangriff vorstellen? Wo liegen potenzielle Ursachen? Was sind mögliche Wirkungen? Was wäre ein denkbares "worst case"-Szenario? Was wäre ein realistisches Szenario?

Das wäre ein seriöser Umgang mit Unsicherheit – zumindest solange wir keine Kristallkugel zur Verfügung haben. Und das hilft dann bei der Wahrheitsfindung.

Download Interview

[Wir danken der Redaktion von PROTECTOR&WIK für die Erlaubnis, das Interview auf RiskNET zu veröffentlichen. Quelle: PROTECTOR & WIK 6/2018, S. 64-65]

[ Bildquelle Titelbild: Adobe Stock ]
Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.