Archiv der Kategorie: Risiko

Risk Management

Unterschätzte Risiken: Koalitionsverträge?

Security, Unterschätzte Risiken, ,

Das Antiterrorblog macht sich so seine Gedanken zu den aufgeschobenen Stoppschildern:

»Ende 2010 ist dann aber wiederum nur ein erneuter Erlass des Bundesinnenministers nötig, um die Schilder aufzustellen. Kein Beschluss des Bundestages oder Bundeskabinettes, also auch keine Beteiligung der FDP. Für eine Klage vor dem Bundesverfassungsgericht könnte es dann aber wegen dieser Frist schon zu spät sein! Vertrauen wir dabei also auf die FDP und lassen uns einlullen, kann das Böse enden.«

(Antiterror.blog.de: Internetsperren: Klage unzulässig?)

Wie ich dort bereits als Kommentar kurz schrieb, wäre die Masche ja nicht ganz neu. Abofallenbetrüger zum Beispiel arbeiten seit jeher damit: das Opfer schließt einen Abovertrag, ohne sich dessen bewusst zu sein. Während der gesetzlich garantierten Widerrufsfrist wird die Gegenseite nun tunlichst alles vermeiden, was das Opfer auf seinen Irrtum hinweisen könnte. Die erste Rechnung kommt folglich dann, wenn die Widerrufsfrist abgelaufen ist, denn dann ist der einfachste Ausweg verbaut.

Unterschätzte Risiken: Impfkampagnen

Safety, Unterschätzte Risiken, ,

Das ist doch mal eine schöne Theorie:

»Dann aber berichtet der Teamleiter von einer überraschenden Beobachtung: In China und anderen Ländern, wo sich die neue Variante des Virustyps H1N1 ausbreite, „gehen die Befunde mit H3N2 gleichzeitig schnell nach unten“, sagt er. Die Kollegen merken auf. Heißt das, die neuen Viren, Verursacher der weltweit verbreiteten Schweinegrippe, verdrängen die bisherigen, saisonalen Grippeviren, weil sie im Körper ihrer Wirte um den gleichen Platz konkurrieren? Werden damit die „pathogeneren“ Viren ausgerottet, diejenigen also, die mehr schwere Erkrankungen und Todesfälle verursachen?«

(Tagesspiegel: Schweinegrippe: Höchste Warnstufe)

Ob so etwas medizinisch plausibel ist, kann ich nicht beurteilen, und es interessiert mich auch nicht besonders. Viel interessanter ist nämlich der Aspekt der Risikomanagements. Wenn so ein Verdrängungseffekt prinzipiell möglich ist, er aber erst nach einer größeren Zahl beobachteter Fälle nachweisbar wird, worauf stütze ich dann a priori meine Risikoschätzung? Wieviel Willkür, wieviel Faustregel und wieviel Cargo-Kult steckt eigentlich in einer Impfempfehlung?

Unterschätzte Risiken: Atomkriege

Forschung, Unterschätzte Risiken, , ,

Atomkriege sind schlecht für … die Ozonschicht:

»A limited nuclear weapons exchange between Pakistan and India using their current arsenals could create a near-global ozone hole, triggering human health problems and wreaking environmental havoc for at least a decade, according to a study led by the University of Colorado at Boulder.«

(Regional Nuclear Conflict Would Create Near-global Ozone Hole, Says Study)

Irgendwas tun

Angst, Risiko, Security

Das lesen wir selten so deutlich:

»Kameras helfen gegen Leute, die unerkannt bleiben wollen, etwa Diebe. Amokläufe sind aber keine geheimen Taten, sondern bewusst öffentlich. Metalldetektoren nützen wenig, wie auch Wachmänner. An der Schule von Jeffrey Weise gab es Metalldetektoren und Wachmänner. Jeffrey erschoss einen von ihnen, auch der Metalldetektor hielt ihn nicht auf.«

(Spiegel Online: Schüler als Mörder: Was Amokläufer antreibt)

Sicherheitsmaßnahmen haben spezifische Wirkungen unter spezifischen Bedingungen. Sind die zugrundeliegenden Annahmen verletzt, werden die Maßnahmen wirkungslos. Manche Annahmen kann ein Täter verletzen, ohne sein Ziel zu ändern. Andere gelten für einen Teil der möglichen Taten, der Sicherheitsmechanismus wählt dann gewissermaßen aus, welche Täter noch zum Zuge kommen.

Unterschätzte Risiken: Handtascheninnenraumbeleuchtung

Unterschätzte Risiken, ,

Unnützes Feature mit unerwünschter Nebenwirkung, das ist ein Klassiker:

»Licht in der Tasche – Stress an der Kasse: Die Innenbeleuchtung einer Handtasche des Kaffeerösters Tchibo gefährdet die Zahlungsfähigkeit der Besitzerinnen. Der eingebaute Magnet kann die Magnetstreifen von EC-Karten angreifen – und im Extremfall unbrauchbar machen.«

(Spiegel Online: Gefahr für EC-Karten: Verbraucherschützer warnen vor Tchibo-Handtasche)

Unterschätzte Risiken: Milchbauern

Unterschätzte Risiken, ,

»Rund eine Tonne toter Fische wurde am Kloster Helfta, dem Tagungsort der Agrarminister, seit Samstag geborgen. Die Fische verendeten vermutlich wegen der von Bauern ausgekippten Milch. Am Freitag hatten Landwirte aus Protest gegen die niedrigen Milchpreise mehrere zehntausend Liter Milch aus Güllefahrzeugen vor das Kloster gekippt.«

(Welt Online:
Niedrige Milchpreise: Milchbauern bringen durch Protest Fische um)

Unterschätzte Risiken: Mallorca

Safety, Unterschätzte Risiken, Unterwegs,

Was die Frankfurter Rundschau berichtet, ist bis zur nächsten Badesaison sicher wieder vergessen:

»Innerhalb von rund zwei Wochen sind auf der Ferieninsel elf Menschen beim Schwimmen oder Tauchen im Meer ums Leben gekommen – acht der Opfer waren deutsche Touristen.«

(Frankfurter Rundschau: Badeunfälle: Tod vor Mallorca)

Alles übers Ertrinken erfahren Sie unter www.blausand.de. Insgesamt kommen jedes Jahr einige Hundert Deutsche bei Badeunfällen ums Leben.

Management ohne Metriken

IT, O-Ton, Risiko, , , ,

Der eine oder andere dürfte es mitbekommen haben. Tom DeMarco, dem wir die Manager-Faustregel: “You can’t control what you can’t measure.” verdanken, macht einen Rückzieher. An Software Engineering will er nicht mehr so recht glauben, und an Metriken auch nicht. In seinem Artikel Software Engineering: An Idea Whose Time Has Come and Gone? erläutert er seinen Sinneswandel unter anderem an diesem Beispiel:

»Imagine you’re trying to control a teenager’s upbringing. The very idea of controlling your child ought to make you at least a little bit queasy. Yet the stakes for control couldn’t be higher.
(…)
Now apply “You can’t control what you can’t measure” to the teenager. Most things that really matter—honor, dignity, discipline, personality, grace under pressure, values, ethics, resourcefulness, loyalty, humor, kindness—aren’t measurable.«

Von der Vorstellung, wir könnten ausgerechnet in der IT-Sicherheit Risiken anhand von Metriken steuern, sollten wird uns schnell verabschieden. Zusätzliche Unbekannte und Rückkopplungen vereinfachen das Problem sicher nicht.

Ach ja, und hört nicht auf Gurus.

»Minister Tatenlos«

Angst, Begriffe, Regierungsviertel, Risiko, , , ,

Schäublone-Erfinder Dirk Adler im Interview (via Isotopp) über die mutmaßlichen Motive des Innenministers:

»Ich glaube, er fürchtet sich davor nach einem Terroranschlag hier in Deutschland als Minister Tatenlos da zu stehen. Seine Verantwortung für die Sicherheit treibt ihn an alle möglichen Hebel in Bewegung zu setzen, ob sie nun die richtigen sind oder nicht.«

Ich nenne das mal vorläufig Visible Precaution Bias und meine damit die bereits früher beschriebene Tendenz verantwortlicher Amtsträger, sichtbar Vorsichtsmaßnahmen zu ergreifen, auch wenn diese Maßnahmen objektiv keinen Sinn haben.

Kennt jemand Ansätze im Risikomanagement, die solche Effekte berücksichtigen und systematisch korrigieren?

Unterschätzte Risiken: Tresore

Nebenwirkung, Risiko, Security, Unterschätzte Risiken, Werkbank,

Kleine Geldbeträge gehören in die Schublade und nicht in einen teuren Tresor:

»In der Nacht zum Donnerstag sind Unbekannte in ein Freibad in Bad Hersfeld eingebrochen. Sie knackten den Tresor und verschwanden mit der Beute.

(…)

In dem Tresor befanden sich mehrere hundert Euro Bargeld. Die Täter entkamen mit der Beute. Der Sachschaden beträgt mindestens 6.500 Euro.«

(HR: Einbruch: Tresor in Schwimmbad ausgeräumt)

Das ist allerdings ein Einzelfall, den wir obendrein noch rückwirkend betrachten. Welches Risiko der ängstliche Tresorbenutzer und der unbekümmerte Schubladenverwender jeweils insgesamt eingehen, wäre noch zu überlegen.

Strategischer Datenverlust

Archivierung, Forschung, Fundbüro, Risiko, Security

Ob das eine großer Vertuschung ist oder nur eine aufgeblasene Nebensächlichkeit, möchte ich nicht beurteilen, ebenso wenig ob es sich um Schlamperei oder Absicht handelt:

»The world’s source for global temperature record admits it’s lost or destroyed all the original data that would allow a third party to construct a global temperature record. The destruction (or loss) of the data comes at a convenient time for the Climatic Research Unit (CRU) in East Anglia – permitting it to snub FoIA requests to see the data.«

(The Register: Global Warming ate my data)

Eine interessante Anregung zum Risikomanagement ist es allemal. Vielleicht ist der erwartete Schaden ja geringer, wenn die Daten einfach weg sind.

Risikoperspektive

Angst, Freundlich zum Nutzer, Regierungsviertel, Risiko, Sicherheitshinweise, Unterwegs, Wahrnehmung, , , , ,

Über die Tipps des Auswärtigen Amtes zur Redution des persönlichen Terrorrisikos wollte ich mich auch noch lustig machen. Muss ich aber nicht, denn Burkhard Müller-Ullrich hat über diese CYA-Aktion bereits alles gesagt:

»Nochmal zum Mitschreiben: Das Außenministerium rät Mallorca-Urlaubern, Menschenansammlungen zu meiden. Man fragt sich, ob der Verfasser dieses Ratschlags schon mal auf Mallorca war und was er sonst noch von der Welt weiß.«

(Die Achse des Guten: Menschenmassen meiden!)

Tatsächlich geht es wohl gar nicht gar nicht darum, brauchbare Sicherheitshinweise zu geben. Das wäre weder nötig noch praktikabel, denn das persönliche Risiko ist auch nach den Knallfröschen vom Wochenende gering und jede weitere Reduktion mit übergroßen Kosten verbunden. Aber ein zuständiges Amt traut sich nur selten, einfach mit den Schultern zu zucken und unvermeidliche Risiken auf sich beruhen zu lassen. Irgendetwas muss man vorher tun, damit einem später keiner vorwerfen kann, man habe nichts getan. Risikointuition nennen wir das, und sie ergibt sich stets aus der persönlichen Perspektive des Handelnden. Wobei der Begriff Intuition vielleicht falsch ist, denn der Kern des Problems ist nicht die intuitive Bewertung des Risikos, sondern dessen Betrachtung aus der individuellen Perspektive.