Schwarze und weiße Schwäne

Aus aktuellem Anlass mache ich mir mal wieder Gedanken darüber, warum gutes Risikomanagement immer noch so schwer ist – egal ob es um Informationen und IT geht oder um andere Bereiche wie die Energiewirtschaft.

Folgende Faktoren können für suboptimale Entscheidungen oder ein Versagen bei der Risikohandhabung sorgen:

Ausreißer sind immer möglich. Auch bei sorgfältig kalkulierten Restrisiken sind extreme Ausreißer bei den Schadensereignissen nie auszuschließen. Besonders schwierig wird die Kalkulation bei sehr seltenen und spektakulären Schadensereignissen, wie sie etwa Naturgewalten darstellen. Von dieser Unsicherheit leben zu Recht unter anderem die (Rück-) Versicherungen. Und sie haben existenzgefährdende Auswirkungen auf all jene, die nicht versichert sind oder die gesundheitliche Schäden davontragen.

Dabei handelt es sich bei Ausreißern in der Regel nicht um den sprichwörtlichen „Schwarzen Schwan“. Die meisten Ausreißer sind durchaus vorherseh- oder zumindest vorstellbar.

Kognitive Verzerrungen. Die Neue Erwartungstheorie (Prospect Theory nach Kahneman/Tversky) zeigt, dass der Mensch als solcher keinesfalls ein rationales Wesen ist. Schuld daran sind kognitive Verzerrungen wie etwa die folgenden:

  • Überschätzen der eigenen Kenntnisse, der Fähigkeiten und des Urteilsvermögens. Dazu gehört z.B. eine überhöhte Technikgläubigkeit.
  • Menschen vermeiden Verluste weitaus stärker als dass sie Gewinne begrüßen. Das sind dann z.B. diejenigen, die technologische Neuerungen „ausbremsen“.
  • Semantisches Priming: Entscheidungen werden durch bekannte (vergangene) Erfahrungen geprägt. Damit wird der Blick auf wesentliche, aber vielleicht seltene oder zunächst als nicht plausibel empfundene Risiken verstellt.

Konzeptionelle Fehler und Unterbrechung der Kausalität von Handlung und Konsequenz. Dies tritt verstärkt dann auf, wenn Wissen, Entscheidungsbefugnis sowie das Tragen von Konsequenzen auf zwei bis drei disjunkte Gruppen mit geringer gegenseitiger Kommunikation oder mit verschiedenen Interessen verteilt werden.

Beispielsweise vermögen einzelne Mitarbeiter mit hoher IT-Security-Kompetenz wohl die technischen Risiken sehr gut einzuschätzen, aber sie haben oft keinen Zugang zur obersten Leitungsebene, die Budget und Ressourcen zur Reduzierung oder Vermeidung der Risiken bereitstellen muss. Jene wiederum weiß zwar, dass sie für Schäden haftbar gemacht werden kann, hat aber wenig Sachverstand in Informationssicherheit und verhält sich tendenziell gemäß dem semantischen Priming („es ist doch immer gut gegangen“). Wer sich bereits mit (auch großen) mittelständischen Kunden beschäftigt hat, wird diesen Teufelskreis kennen – Ausnahmen bestätigen die Regel. Ein CISO (Chief Information Security Officer), der auf Augenhöhe mit dem Top-Management agiert, hätte mehr Einfluss. Aber CISOs sind im Mittelstand selten.

Kommen wir nochmals auf meine Einleitung zurück. In der Energiewirtschaft gibt es die Politik, die Energieversorger und die Industriekunden und Bürger als wesentliche Interessengruppen. Ein komplexes Geflecht von Einzelinteressen, die zum Teil in deutlichem Widerspruch zueinander stehen, zumal die Interessen in der Politik sehr volatil sind. Die Politik strebt nach Wählerstimmen – anders ist das Atom-Moratorium nicht zu erklären, das aktuell ohne Veränderung der Schwachstellen- und Bedrohungs-Parameter in Deutschland beschlossen wurde. Oder liegt die Ursache schlicht und einfach in schlampigem Risikomanagement der Regierung? Vielleicht beides.

Die Energieversorger möchten ihrerseits wirtschaftlich prosperieren und ihre Aktionäre zufrieden stellen. Sie sind gleichzeitig zuständig fürs Risikomanagement, aber die Folgen extremer Zwischenfälle oder ungelöster Entsorgungswege werden gewöhnlich externalisiert, also auf den Staat und den einzelnen Bürger abgewälzt. Damit lässt sich nicht ausschließen, dass die Risikobewertungen der Versorger verzerrt werden und nicht das gesamte System repräsentativ abbilden. Und wenn es dann doch mal zu extremen Ereignissen kommt, muss eben der schwarze Schwan herhalten.