Aktuelle Version vom 21. April 2024, 12:06 Uhr

Unsicherheit - Bewusst wahrgenommenen Mangel an Sicherheit

Beschreibung

Reliabilität und Validität

Das Abstraktum Unsicherheit ist sprachlich die Negation und der kontradiktorische Gegensatz von Sicherheit.

Unsicherheit wird in vielen Fachgebieten als Begriff genutzt, wobei die Begriffsinhalte nur geringfügig voneinander abweichen.
Wenn für eine Entscheidung die hierfür relevanten Informationen nicht vollständig vorhanden sind (unvollkommene Information) oder der Entscheidungsträger nicht in der Lage ist, die Informationen perfekt zu verarbeiten und zu interpretieren, entsteht Unsicherheit. Die Wirtschaftswissenschaften versuchen mit dem Problem der Unsicherheit umzugehen, indem sie Risiken durch Bildung von Eintrittswahrscheinlichkeiten künftiger Ereignisse abzuschätzen versuchen.
Während beim Risiko die Eintrittswahrscheinlichkeiten bekannt sind, liegen bei Unsicherheiten keinerlei Informationen über die Eintrittswahrscheinlichkeiten der möglichen Ereignisse vor.

Gefahren sind gegebene Bedrohungen, bestehen unabhängig von Entscheidungen und lassen sich dem Entscheidungsträger nicht zurechnen.

In der Psychologie ist die Unsicherheit das Erleben der Ungewissheit.

Unsicherheit in der Entscheidungstheorie

Entscheidung unter Unsicherheit

In der Entscheidungstheorie werden mit Unsicherheit zukünftige Umweltzustände beschrieben, für welche keine Wahrscheinlichkeiten vorliegen.

Unsicherheit wird dabei in Ungewissheit, Risiko und Unwissen unterteilt.
Bei der Ungewissheit sind die möglichen Auswirkungen bekannt, man verfügt jedoch nicht über Informationen zur Eintrittswahrscheinlichkeit.
Beim Risiko ist als zusätzliche Information die Eintrittswahrscheinlichkeit bekannt, nicht aber der Zeitpunkt.
Beim Unwissen sind auch die Auswirkungen der untersuchten Handlungsalternativen nicht vollständig bekannt.
Die Entscheidungstheorie bietet verschiedene Methoden zur Entscheidung unter Ungewissheit, Entscheidung unter Unsicherheit und Entscheidung unter Risiko.
Die Anwendung mathematischer Modelle zur Repräsentation von Unsicherheit ist extrem schwierig.

Selbstunsicherheit in der Psychologie

Daneben gibt es die Bedeutung der Selbstunsicherheit als subjektiv-emotionalen Zustand eines Lebewesens infolge von fehlendem Vertrauen oder Ängstlichkeit im Gegensatz zur Selbstsicherheit.

Dieser Zustand kann sich beim Menschen als Persönlichkeitseigenschaft in Vermeidungsverhalten äußern und wird in der Psychiatrie auch als Selbstunsicher-vermeidende Persönlichkeitsstörung bezeichnet.

Unsicherheit in den Sozialwissenschaften

Studien mit sozialwissenschaftlichen Forschungsgruppen legen nahe, dass auch bei Vorlage gleicher Datenbestände großer Interpretationsspielraum innerhalb der Disziplinen vorherrscht.

Forschende plädieren deshalb für eine bewusste Kommunikation möglicher Unsicherheiten in der quantitativen und empirischen Sozialforschung.

Unsicherheit in der Messtechnik und in den Naturwissenschaften

Beim Messen einer physikalischen Größe entsteht eine Unbestimmtheit, die verschiedene Ursachen haben kann.

Sie wird als Messunsicherheit bezeichnet.

Dass gewisse Messgrößen generell nicht gleichzeitig exakt gemessen werden können, ist ein fundamentales Prinzip der Quantenmechanik und findet seine Formulierung in der heisenbergschen Unschärferelation.

Unsicherheit im Risikomanagement

Die Norm ISO 31000 definiert Risiko als Effekt der Unsicherheit auf den Grad der Zielerreichung.

Unsicherheit wird hierbei mit dem „gänzlichen oder teilweise Fehlen von Informationen“ beschrieben.

Entscheidung unter Unsicherheit

Entscheidungen unter Unsicherheit - Entscheidungsträger kennt nicht alle Konsequenzen aus einer Entscheidung

Beschreibung

Von Entscheidungen unter Unsicherheit spricht man im Rahmen der Betriebswirtschaftslehre und Entscheidungstheorie dann, wenn der Entscheidungsträger den eintretenden Umweltzustand nur mit Unsicherheit kennt und er mithin nicht sämtliche Konsequenzen aus einer Entscheidung voraussagen kann.

Allgemeines

Entscheidungen unter Unsicherheit hängen unmittelbar mit dem zugrunde liegenden Informationsgrad zusammen, bei ihnen liegt unvollständige Information im Hinblick auf Daten der Vergangenheit, Gegenwart und Zukunft zugrunde. Der Entscheidungsträger verfügt über unsichere Erwartungen, und die mit der Entscheidung verbundenen Konsequenzen sind nicht vollständig absehbar.

Die Aufteilung der konstitutiven Entscheidungen nach dem Informationsgrad geht auf Erich Gutenberg zurück.

Daneben unterschied er noch die Entscheidung unter Sicherheit und Entscheidung unter Risiko.

Bei der Entscheidung unter Unsicherheit liegt der Informationsgrad zwischen > 0 % und < 100 %.
Bei 0 % handelt es sich um Ignoranz.

Informationsgrad

Die Entscheidung unter Unsicherheit ist einzuordnen in den ihr zugrunde liegenden Informationsgrad.

Der abgestufte Informationsgrad lautet dabei konkret: Sicherheit, Risiko, Ungewissheit und Unsicherheit.

Um Sicherheit handelt es sich, wenn der Eintritt eines künftigen Umweltzustands zu 100 % determiniert ist (Entscheidung unter Sicherheit).

Beim Risiko können den möglichen Ausprägungen künftiger Umweltzustände subjektive oder objektive Eintrittswahrscheinlichkeiten zugeordnet werden (Entscheidung unter Risiko);

Ungewissheit kennzeichnet eine Entscheidungssituation, bei der die möglichen Ausprägungen künftiger Umweltzustände zwar bekannt sind, aber keine Wahrscheinlichkeiten zugeordnet werden können.

Unsicherheit schließlich beinhaltet die Möglichkeit von ex post-Überraschungen (Entscheidung unter Unsicherheit).

Letztere sind der „Wechsel der Erwartung aufgrund des Eintreffens neuer Daten“.

Andere Autoren stufen ab nach Sicherheit, Quasi-Sicherheit, Risiko, Unsicherheit, rationale Indeterminiertheit und Ignoranz.

Ignoranz besteht in einem vollständigen Fehlen von Daten oder Informationen, so dass eine rationale Entscheidung nicht möglich ist.

Übersicht

Nach dem Informationsgrad einzelner Merkmale können folgende Entscheidungsarten unterschieden werden:

Entscheidungsart	Merkmale
Entscheidung unter Sicherheit	alle Umweltzustände sind bekannt
Entscheidung unter Unsicherheit	tatsächliche Umweltzustände sind nicht bekannt; eine Wahrscheinlichkeitsverteilung über die möglicherweise eintretenden Umweltzustände ist bekannt
Entscheidung unter Ungewissheit	tatsächliche Umweltzustände sind nicht bekannt; eine Wahrscheinlichkeitsverteilung über die möglicherweise eintretenden Umweltzustände ist nicht bekannt
Entscheidung unter Risiko	den möglichen Umweltzuständen können bestimmte Eintrittswahrscheinlichkeiten zugeordnet werden

Die einzelnen Entscheidungsarten unterscheiden sich danach, welches Merkmal bekannt und welches unbekannt ist.

Unsicherheitsgrade

Auch wenn sich noch kein einheitlicher Sprachgebrauch entwickelt hat, so unterscheidet Wolfgang Müller, je nachdem, ob die Eintrittswahrscheinlichkeiten für die Umweltzustände bekannt sind, zwischen folgenden zwei Graden von Unsicherheit: Der Entscheidungsträger hat die Wahl zwischen verschiedenen Alternativen $a_{i}$ , die abhängig von den möglichen Umweltzuständen $s_{j}$ sind.

Entscheidung unter Risiko: Dem Entscheider sind die von seiner Entscheidung abhängigen Eintrittswahrscheinlichkeiten $w_{j}$ der Umweltzustände $s_{j}$ objektiv (z. B.
beim Lotto) oder subjektiv (aufgrund von Schätzungen oder von Vergangenheitswerten) bekannt.
Dabei muss die Summe der Wahrscheinlichkeiten gleich 1 sein:

\quad \sum _{j}w_{j}

= 1.

Entscheidung unter Ungewissheit: Dem Entscheider sind nur die von seiner Entscheidung abhängigen möglichen Umweltzustände $s_{j}$ bekannt, er kann jedoch keine Aussage über die Wahrscheinlichkeiten treffen, mit denen diese Umweltzustände eintreten werden.

Frank Knight unterschied 1921 in seinem Buch Risk, Uncertainty and Profit eine weitere Eskalationsstufe von Unsicherheit:

Entscheidung unter vollkommener Unsicherheit (Knightsche Unsicherheit): Dem Entscheidungsträger sind weder die von seiner Entscheidung abhängigen Eintrittswahrscheinlichkeiten

w_{j}

der Umweltzustände

s_{j}

noch die von seiner Entscheidung abhängigen möglichen Umweltzustände

s_{j}

bekannt.

Für diese Entscheidungssituationen schlägt Saras D.
Sarasvathy als Entscheidungshilfe die Entscheidungslogik Effectuation vor.

Gemäß dem Ökonom Hans-Werner Sinn kann die Unterteilung der beiden genannten Entscheidungssituationen auch unter der Berücksichtigung von Wahrscheinlichkeitshierarchien erfolgen.

Mit Wahrscheinlichkeitshierarchien ist gemeint, dass es für sämtliche Zustände alternative Wahrscheinlichkeitsverteilungen gibt.
Somit lassen sich Risiko und Ungewissheit folgendermaßen unterscheiden:
Entscheidung unter Risiko: Die Wahrscheinlichkeiten können mit Sicherheit bestimmt werden, und es liegt eine völlig bekannte Wahrscheinlichkeitshierarchie vor.
Entscheidung unter Ungewissheit: Die Wahrscheinlichkeiten sind völlig unbekannt, und die Wahrscheinlichkeitshierarchien können nur teilweise dargestellt werden.
Nach Sinn können diese beiden genannten Grade stets auf eine „sicher bekannte objektive Wahrscheinlichkeit“ zurückgeführt werden.
Diese kann dann für weitere Analysen und Entscheidungen genutzt werden.
Mit Hilfe von subjektiv geschätzten Wahrscheinlichkeiten kann auch eine Überleitung von der Ungewissheit zu Risiko erfolgen.

Prinzip des unzureichenden Grundes

Sind keinerlei Wahrscheinlichkeiten gegeben oder ist das Auftreten eines Umweltzustands nicht glaubwürdiger als das eines anderen, kann dem Prinzip des unzureichenden Grundes gefolgt werden.

Hierbei werden alle möglichen Zustände als gleich wahrscheinlich betrachtet.
Somit treten die Zustände mit der gleichen Wahrscheinlichkeit auf, und die Wahrscheinlichkeit wird als sichere objektive Größe angesehen.
Dies entspricht dem Entscheidungskriterium mit Hilfe des Erwartungswerts.
Diese Regel wird als Laplace-Regel bezeichnet.
Eine Begriffsunterscheidung zwischen Unsicherheit und Risiko wäre somit nicht notwendig.

Ein einfaches Beispiel für dieses Prinzip ist das Ziehen von Kugeln mit den Farben rot und blau aus einer Urne.

Bei völlig gleichmäßig verteilten Kugeln gibt es keinen Anreiz, dass eine Farbe eher als eine andere gezogen wird.
Somit ist das Ziehen der Farbe Rot gleich wahrscheinlich wie eine blaue Kugel zu ziehen.

Risiko im Risikomanagement

Im allgemeinen Sprachgebrauch wird Risiko oft als Gefahr des Misslingens einer Handlung oder Aktivität verstanden.

Im betriebswirtschaftlichen Fokus ergeben sich aus dem Risiko sowohl positive (= Gewinnchancen) als auch negative Abweichungen (= Verluste).
Dabei können sich verschiedene Risiken gegenseitig kompensieren.
Diese mögliche Risikokompensation muss in einer allgemeinen Risikodefinition beachtet werden.
Aus diesem Grund definiert Werner Gleißner den Risikobegriff im Unternehmen folgendermaßen:

Risiko ist die aus einer nicht sicher vorhersehbaren Zukunft resultierende, durch ‚zufällige‘ Störungen verursachte Möglichkeit, vom geplanten Zielen abzuweichen.

Somit wird im Risikomanagement oft keine Unterteilung in Ungewissheit und Risiko vorgenommen, sondern der Begriff Risiko verdeutlicht hier die gesamte Unsicherheit.

Die Rechtfertigung hierfür ist, dass bei Situationen unter Ungewissheit Wahrscheinlichkeiten mit den jeweils bestverfügbaren Informationen geschätzt werden können, wodurch eine Überleitung zur Risikosituation vorgenommen wird.

Entscheidungsregeln

Regeln für die Entscheidung unter Risiko

Bayes-Regel

Da bei der Entscheidung unter Risiko die Eintrittswahrscheinlichkeiten der Umweltzustände bekannt sind, kann hier die Bayes-Regel (auch μ-Regel genannt) angewendet werden.

Bei dieser Regel wird diejenige Handlungsalternative gewählt, welche den größten mathematischen Erwartungswert hat.

μ-σ-Regel

Die μ-σ-Regel berücksichtigt sowohl den Erwartungswert als auch die Risikoeinstellung des Entscheiders.

Dabei wird die Standardabweichung σ genutzt.
Ist der Entscheider risikofreudig so wird er bei gleichem Erwartungswert μ die Alternative wählen, welche ein höheres σ aufweist.
Wenn der Entscheider risikoavers ist, wird er eher die Alternative wählen, welche bei gleichen μ die geringere Standardabweichung hat.
Bei einem risikoneutralen Entscheider entspricht die Regel der Bayes-Regel.
Bevor die μ-σ-Regel angewendet werden kann, sollte immer geprüft werden, ob die Voraussetzung der Normalverteilung erfüllt sind.

μ-R-Regel

Bei dieser verallgemeinerten Regel wird die Entscheidung davon abhängig gemacht, was für ein bestimmter Erwartungswert µ und ein prinzipiell beliebiges Risikomaß R vorliegen.

Das μ-σ-Prinzip stellt somit einen Spezialfall dieser Regel dar.

Bernoulli-Prinzip

Beim Bernoulli-Prinzip werden die Handlungsergebnisse mithilfe von Risikonutzenfunktionen zu Nutzenwerten berechnet.

Jeder Entscheider hat dabei eine individuelle Risikonutzenfunktion, welche seine Risikopräferenz widerspiegelt. Konvexe Funktionsverläufe stehen dabei für einen risikoaversen Entscheider und konkave Verläufe für einen risikofreudigen Entscheider.
Es ist jedoch zu beachten, dass jeder Mensch in verschiedenen Situationen nicht immer gleich auf Risiken reagiert.
Die individuelle Risikofunktion kann also beide Verläufe, abhängig von den Umweltzuständen, darstellen.

Regeln für die Entscheidung unter Ungewissheit

In der Entscheidungstheorie wurden zahlreiche Verfahren entwickelt, um trotz der Ungewissheit geeignete Entscheidungsregeln anwenden zu können.

Diese spiegeln oft eine bestimmte Präferenz zum Risiko wider.
Die bekanntesten Regeln sind hierbei:

Maximin-Regel (nach Abraham Wald)

Bei dieser Regel geht man von einem pessimistischen Entscheidungsträger aus.

Es wird immer der Wert gewählt, welcher beim Eintreten des ungünstigsten Umweltzustands am größten ist.

Maximax-Regel (nach Abraham Wald)

Bei dieser Regel geht man von einem optimistischen Entscheidungsträger aus.

Es wird stets der Wert gewählt, welcher beim Eintreten des günstigsten Umweltzustands am größten ist.

Weitere Regeln sind die Hurwicz-Regel (nach Leonid Hurwicz) und die schon erwähnte Laplace-Regel.

Safety-First-Ansatz

Ein Ansatz im Bereich des Risiko- und Portfoliomanagements ist der Safety-First-Ansatz (Sicherheit geht vor).

Bei diesem Ansatz wird das Risiko beschränkt, sodass es eine festgesetzte obere Grenze nicht überschreitet.
Dabei spielen Nebenbedingungen von unternehmerischen Entscheidungen zentrale Rollen.
Somit wird im Safety-First-Ansatz Risiko als Verlustgefahr definiert.

Dieser Ansatz wird bei Entscheidungsfindungen eingesetzt, bei den die Wahl zwischen riskanten Handlungsalternativen getroffen werden soll (z. B.

bei Versicherungsunternehmen).

Beispielsweise wird bei einem Unternehmen eine maximale Verlustwahrscheinlichkeit oder eine höchste zugelassene Insolvenzwahrscheinlichkeit für einen bestimmten Zeithorizont festgelegt.

Das Risiko wird somit nach oben beschränkt.

Ein Beispiel für eine Verbindung zwischen der Shortfall-Wahrscheinlichkeit und der Insolvenzwahrscheinlichkeit wäre die Vorgabe eines Mindestratings eines Unternehmens.

Dieses entspricht der akzeptierten Insolvenzwahrscheinlichkeit und sie lässt sich außerdem als Anwendung der Shortfall-Wahrscheinlichkeit für vom Unternehmen vorgegebene Nebenbedingung interpretieren.

Arten des Safety-First-Ansatzes

Die Shortfall-Wahrscheinlichkeit des Portfolios wird minimiert.
Es gibt eine maximal akzeptierte Shortfall-Wahrscheinlichkeit des Portfolios.

Nun wird die maximale zu erwartende Rendite ausgewählt, ohne die festgesetzte Grenze zu überschreiten.

Es wird eine maximal akzeptierter Shortfall-Wahrscheinlichkeit und eine angestrebte Mindestrendite festgesetzt.

Unter den Portfolios, welche beide Voraussetzungen erfüllen, wird jenes ausgewählt, welches die höchste Rendite aufweist.

Bei der Betrachtung der drei Arten wird deutlich, dass die Safety-First-Ansätze nicht der Erwartungsnutzenmaximierung der allgemeinen Erwartungsnutzentheorie folgen.

Es wird vielmehr eine Rendite-Risiko-Kombination von Portfolios abgeleitet, welche die geforderte Mindestanforderung an Sicherheit bieten.

Anhang

Siehe auch

Unsicherheit

Anhang

Links

Weblinks

TMP

Ständiger Zustand der Unsicherheit

Wir befinden uns also, wenn wir nicht komplett auf Digitalisierung verzichten, in einem ständigen Zustand der Unsicherheit, des potenziellen Angriffs und der hektischen Flickschusterei – mithin ein Grund, warum Burn-out in der Profession der CISOs (Chief Information Security Officer) so verbreitet ist

Zero-Days sind längst nicht die einzigen Schwachstellen und erst recht nicht die einzigen Themen, mit denen sich IT-Sicherheitsbeauftragte herumschlagen müssen

Aber allein ihre Existenz zeigt, dass unverdientes Vertrauen in unsere IT-Systeme und Anwendungen eine gefährliche Illusion ist

Die Erkenntnis, dass jedweder Vertrauensvorschuss eine Gefahr birgt, nennt sich, konsequent zu Ende gedacht, Zero Trust

Auch wenn dieses Schlagwort für das Marketing von "Lösungen" (wie wir oben gesehen haben, ein frivoler Euphemismus) des Securityproblems missbraucht wird, umschreibt er eigentlich eine Haltung, quasi das Zen der modernen Security:# Hundertprozentige Sicherheit kann es prinzipiell nicht geben

Im Gegenteil müssen wir an jeder einzelnen Stelle unseres Sicherheitskonzepts bei null anfangen. "Assume breach", wie es heißt: Geh davon aus, dass die Angreifer schon da sind – und schau von da, wie du Stück für Stück sauberere Räume baust
Insbesondere muss jedes kleinste bisschen Vertrauen mühsam erarbeitet und verdient werden
Das gilt vor allem, aber nicht nur für das Netzwerk

Mein angeblicher "Ort" im Netzwerk alleine beweist noch gar nichts
Traditionelle und gefühlte Privilegien dürfen in der neuen Welt nichts zählen

@@ Zeile 41: / Zeile 41: @@
 * Unsicherheit wird hierbei mit dem „gänzlichen oder teilweise Fehlen von Informationen“ beschrieben.
-<noinclude>
+== Entscheidung unter Unsicherheit ==
-== Anhang ==
-=== Siehe auch ===
-{{Special:PrefixIndex/{{BASEPAGENAME}}}}
-==== Links ====
-===== Projekt =====
-===== Weblinks =====
-# https://de.wikipedia.org/wiki/Unsicherheit
-[[Kategorie:Risiko]]
-[[Kategorie:Risikomanagement]]
-= Entscheidung unter Unsicherheit =
 '''Entscheidungen unter Unsicherheit''' - [[Entscheidungsträger]] kennt nicht alle [[Konsequenz]]en aus einer [[Entscheidung]]
-== Beschreibung ==
+=== Beschreibung ===
 Von '''Entscheidungen unter Unsicherheit''' spricht man im Rahmen der [[Betriebswirtschaftslehre]] und [[Entscheidungstheorie]] dann, wenn der [[Entscheidungsträger]] den eintretenden [[Umweltzustand]] nur mit [[Unsicherheit]] kennt und er mithin nicht sämtliche [[Konsequenz]]en aus einer [[Entscheidung]] voraussagen kann.
-== Allgemeines ==
+=== Allgemeines ===
 [[Entscheidung]]en unter Unsicherheit hängen unmittelbar mit dem zugrunde liegenden [[Informationsgrad]] zusammen, bei ihnen liegt [[unvollständige Information]] im Hinblick auf [[Daten]] der [[Vergangenheit]], [[Gegenwart]] und [[Zukunft]] zugrunde.
 Der Entscheidungsträger verfügt über unsichere [[Erwartung (Psychologie)|Erwartungen]], und die mit der Entscheidung verbundenen Konsequenzen sind nicht vollständig absehbar.
 * Die Aufteilung der [[konstitutive Entscheidung|konstitutiven Entscheidungen]] nach dem Informationsgrad geht auf [[Erich Gutenberg]] zurück.
 Daneben unterschied er noch die [[Entscheidung unter Sicherheit]] und [[Entscheidung unter Risiko]].
 * Bei der Entscheidung unter Unsicherheit liegt der Informationsgrad zwischen > 0 % und < 100 %.
 * Bei 0 % handelt es sich um [[Ignoranz]].
-== Informationsgrad ==
+=== Informationsgrad ===
 Die Entscheidung unter Unsicherheit ist einzuordnen in den ihr zugrunde liegenden Informationsgrad.
 * Der abgestufte Informationsgrad lautet dabei konkret: [[Sicherheit]], [[Risiko]], [[Ungewissheit]] und [[Unsicherheit]].
 Um ''Sicherheit'' handelt es sich, wenn der Eintritt eines künftigen [[Umweltzustand]]s zu 100 % determiniert ist ([[Entscheidung unter Sicherheit]]).
 * Beim ''Risiko'' können den möglichen Ausprägungen künftiger Umweltzustände subjektive oder objektive [[Eintrittswahrscheinlichkeit]]en zugeordnet werden ([[Entscheidung unter Risiko]]);
 ''Ungewissheit'' kennzeichnet eine Entscheidungssituation, bei der die möglichen Ausprägungen künftiger Umweltzustände zwar bekannt sind, aber keine [[Wahrscheinlichkeit]]en zugeordnet werden können.
 ''Unsicherheit'' schließlich beinhaltet die Möglichkeit von [[ex post]]-[[Überraschung]]en (Entscheidung unter Unsicherheit).
 * Letztere sind der „Wechsel der [[Erwartung (Psychologie)|Erwartung]] aufgrund des Eintreffens neuer Daten“.
 Andere Autoren stufen ab nach Sicherheit, Quasi-Sicherheit, Risiko, Unsicherheit, rationale Indeterminiertheit und Ignoranz.
 Ignoranz besteht in einem vollständigen Fehlen von [[Daten]] oder [[Information]]en, so dass eine [[Rationalität|rationale]] [[Entscheidung]] nicht möglich ist.
-== Übersicht ==
+=== Übersicht ===
 Nach dem Informationsgrad einzelner [[Merkmal]]e können folgende Entscheidungsarten unterschieden werden:
@@ Zeile 108: / Zeile 96: @@
 Die einzelnen Entscheidungsarten unterscheiden sich danach, welches Merkmal bekannt und welches unbekannt ist.
-== Unsicherheitsgrade ==
+=== Unsicherheitsgrade ===
 Auch wenn sich noch kein einheitlicher Sprachgebrauch entwickelt hat, so unterscheidet [[Wolfgang Müller (Betriebswirt)|Wolfgang Müller]], je nachdem, ob die [[Eintrittswahrscheinlichkeit]]en für die Umweltzustände bekannt sind, zwischen folgenden zwei Graden von Unsicherheit:
 Der Entscheidungsträger hat die Wahl zwischen verschiedenen Alternativen <math>a_i</math>, die abhängig von den möglichen Umweltzuständen <math>s_j</math> sind.
 * [[Entscheidung unter Risiko]]: Dem Entscheider sind die von seiner Entscheidung abhängigen Eintrittswahrscheinlichkeiten <math> w_j </math> der Umweltzustände <math>s_j</math> objektiv (z.&nbsp;B.
 * beim [[Lotto]]) oder subjektiv (aufgrund von [[Schätzung]]en oder von Vergangenheitswerten) bekannt.
 * Dabei muss die Summe der Wahrscheinlichkeiten gleich 1 sein:
 :<math>\quad \sum_{j}w_j </math> = 1.
@@ Zeile 118: / Zeile 106: @@
 [[Frank Knight (Wirtschaftswissenschaftler)|Frank Knight]] unterschied 1921 in seinem Buch ''Risk, Uncertainty and Profit'' eine weitere Eskalationsstufe von Unsicherheit:
 : ''Entscheidung unter vollkommener Unsicherheit'' ([[Knightsche Unsicherheit]]): Dem Entscheidungsträger sind weder die von seiner Entscheidung abhängigen Eintrittswahrscheinlichkeiten <math> w_j </math> der Umweltzustände <math> s_j </math> noch die von seiner Entscheidung abhängigen möglichen Umweltzustände <math> s_j </math> bekannt.
 * Für diese Entscheidungssituationen schlägt Saras D.
 * Sarasvathy als Entscheidungshilfe die Entscheidungslogik [[Effectuation]] vor.
 Gemäß dem Ökonom [[Hans-Werner Sinn]] kann die Unterteilung der beiden genannten Entscheidungssituationen auch unter der Berücksichtigung von Wahrscheinlichkeitshierarchien erfolgen.
 * Mit Wahrscheinlichkeitshierarchien ist gemeint, dass es für sämtliche Zustände alternative Wahrscheinlichkeitsverteilungen gibt.
 * Somit lassen sich Risiko und Ungewissheit folgendermaßen unterscheiden:
 * [[Entscheidung unter Risiko]]: Die Wahrscheinlichkeiten können mit Sicherheit bestimmt werden, und es liegt eine völlig bekannte Wahrscheinlichkeitshierarchie vor.
 * [[Entscheidung unter Ungewissheit]]: Die Wahrscheinlichkeiten sind völlig unbekannt, und die Wahrscheinlichkeitshierarchien können nur teilweise dargestellt werden.
 * Nach Sinn können diese beiden genannten Grade stets auf eine „sicher bekannte objektive Wahrscheinlichkeit“ zurückgeführt werden.
 * Diese kann dann für weitere Analysen und Entscheidungen genutzt werden.
 * Mit Hilfe von subjektiv geschätzten Wahrscheinlichkeiten kann auch eine Überleitung von der Ungewissheit zu Risiko erfolgen.
-== Prinzip des unzureichenden Grundes ==
+=== Prinzip des unzureichenden Grundes ===
 Sind keinerlei Wahrscheinlichkeiten gegeben oder ist das Auftreten eines Umweltzustands nicht glaubwürdiger als das eines anderen, kann dem [[Indifferenzprinzip|Prinzip des unzureichenden Grundes]] gefolgt werden.
 * Hierbei werden alle möglichen Zustände als gleich wahrscheinlich betrachtet.
 * Somit treten die Zustände mit der gleichen Wahrscheinlichkeit auf, und die Wahrscheinlichkeit wird als sichere objektive Größe angesehen.
 * Dies entspricht dem Entscheidungskriterium mit Hilfe des [[Erwartungswert]]s.
 * Diese Regel wird als [[Laplace-Regel]] bezeichnet.
 * Eine Begriffsunterscheidung zwischen Unsicherheit und Risiko wäre somit nicht notwendig.
 Ein einfaches Beispiel für dieses Prinzip ist das Ziehen von Kugeln mit den Farben rot und blau aus einer Urne.
 * Bei völlig gleichmäßig verteilten Kugeln gibt es keinen Anreiz, dass eine Farbe eher als eine andere gezogen wird.
 * Somit ist das Ziehen der Farbe Rot gleich wahrscheinlich wie eine blaue Kugel zu ziehen.
-== Risiko im Risikomanagement ==
+=== Risiko im Risikomanagement ===
 Im allgemeinen Sprachgebrauch wird [[Risiko]] oft als Gefahr des Misslingens einer Handlung oder Aktivität verstanden.
 * Im betriebswirtschaftlichen Fokus ergeben sich aus dem Risiko sowohl positive (= [[Gewinnchance]]n) als auch negative Abweichungen (= [[Jahresfehlbetrag|Verlust]]e).
 * Dabei können sich verschiedene Risiken gegenseitig kompensieren.
 * Diese mögliche [[Risikokompensation]] muss in einer allgemeinen Risikodefinition beachtet werden.
 * Aus diesem Grund definiert [[Werner Gleißner]] den Risikobegriff im Unternehmen folgendermaßen:
 : Risiko ist die aus einer nicht sicher vorhersehbaren Zukunft resultierende, durch ‚zufällige‘ Störungen verursachte Möglichkeit, vom geplanten Zielen abzuweichen.
 Somit wird im [[Risikomanagement]] oft keine Unterteilung in Ungewissheit und Risiko vorgenommen, sondern der Begriff Risiko verdeutlicht hier die gesamte Unsicherheit.
 * Die Rechtfertigung hierfür ist, dass bei Situationen unter Ungewissheit Wahrscheinlichkeiten mit den jeweils bestverfügbaren Informationen geschätzt werden können, wodurch eine Überleitung zur Risikosituation vorgenommen wird.
-== Entscheidungsregeln ==
+=== Entscheidungsregeln ===
-=== Regeln für die Entscheidung unter Risiko ===
+==== Regeln für die Entscheidung unter Risiko ====
 ;[[Bayes-Regel]]
 Da bei der Entscheidung unter Risiko die Eintrittswahrscheinlichkeiten der Umweltzustände bekannt sind, kann hier die Bayes-Regel (auch μ-Regel genannt) angewendet werden.
 * Bei dieser Regel wird diejenige Handlungsalternative gewählt, welche den größten mathematischen Erwartungswert hat.
 ;[[Entscheidung unter Risiko|μ-σ-Regel]]
 Die μ-σ-Regel berücksichtigt sowohl den Erwartungswert als auch die [[Risikoeinstellung]] des Entscheiders.
 * Dabei wird die Standardabweichung σ genutzt.
 * Ist der Entscheider [[Risikofreude|risikofreudig]] so wird er bei gleichem Erwartungswert μ die Alternative wählen, welche ein höheres σ aufweist.
 * Wenn der Entscheider [[Risikoaversion|risikoavers]] ist, wird er eher die Alternative wählen, welche bei gleichen μ die geringere Standardabweichung hat.
 * Bei einem risikoneutralen Entscheider entspricht die Regel der Bayes-Regel.
 * Bevor die μ-σ-Regel angewendet werden kann, sollte immer geprüft werden, ob die Voraussetzung der [[Normalverteilung]] erfüllt sind.
 ;μ-R-Regel
 Bei dieser verallgemeinerten Regel wird die Entscheidung davon abhängig gemacht, was für ein bestimmter Erwartungswert µ und ein prinzipiell beliebiges Risikomaß R vorliegen.
 * Das μ-σ-Prinzip stellt somit einen Spezialfall dieser Regel dar.
 ;[[Entscheidung unter Risiko#Bernoulli-Prinzip|Bernoulli-Prinzip]]
 Beim Bernoulli-Prinzip werden die Handlungsergebnisse mithilfe von Risikonutzenfunktionen zu Nutzenwerten berechnet.
 * Jeder Entscheider hat dabei eine individuelle Risikonutzenfunktion, welche seine Risikopräferenz widerspiegelt. [[Konvexe und konkave Funktionen|Konvexe]] Funktionsverläufe stehen dabei für einen risikoaversen Entscheider und [[Konvexe und konkave Funktionen|konkave]] Verläufe für einen risikofreudigen Entscheider.
 * Es ist jedoch zu beachten, dass jeder Mensch in verschiedenen Situationen nicht immer gleich auf Risiken reagiert.
 * Die individuelle [[Risikofunktion]] kann also beide Verläufe, abhängig von den Umweltzuständen, darstellen.
-=== Regeln für die Entscheidung unter Ungewissheit ===
+==== Regeln für die Entscheidung unter Ungewissheit ====
 In der Entscheidungstheorie wurden zahlreiche Verfahren entwickelt, um trotz der [[Entscheidung unter Ungewissheit|Ungewissheit]] geeignete Entscheidungsregeln anwenden zu können.
 * Diese spiegeln oft eine bestimmte Präferenz zum Risiko wider.
 * Die bekanntesten Regeln sind hierbei:
 ;[[Minimax-Regel|Maximin-Regel]] (nach Abraham Wald)
 Bei dieser Regel geht man von einem pessimistischen Entscheidungsträger aus.
 * Es wird immer der Wert gewählt, welcher beim Eintreten des ungünstigsten Umweltzustands am größten ist.
 ;[[MaxiMax-Regel|Maximax-Regel]] (nach Abraham Wald)
 Bei dieser Regel geht man von einem optimistischen Entscheidungsträger aus.
 * Es wird stets der Wert gewählt, welcher beim Eintreten des günstigsten Umweltzustands am größten ist.
 Weitere Regeln sind die [[Hurwicz-Regel]] (nach [[Leonid Hurwicz]]) und die schon erwähnte ''Laplace-Regel''.
-== Safety-First-Ansatz ==
+=== Safety-First-Ansatz ===
 Ein Ansatz im Bereich des [[Risikomanagement|Risiko-]] und [[Portfoliomanagement]]s ist der Safety-First-Ansatz (Sicherheit geht vor).
 * Bei diesem Ansatz wird das Risiko beschränkt, sodass es eine festgesetzte obere Grenze nicht überschreitet.
 * Dabei spielen Nebenbedingungen von unternehmerischen Entscheidungen zentrale Rollen.
 * Somit wird im Safety-First-Ansatz Risiko als Verlustgefahr definiert.
 Dieser Ansatz wird bei Entscheidungsfindungen eingesetzt, bei den die Wahl zwischen riskanten Handlungsalternativen getroffen werden soll (z.&nbsp;B.
 * bei [[Versicherungsunternehmen]]).
 Beispielsweise wird bei einem Unternehmen eine maximale Verlustwahrscheinlichkeit oder eine höchste zugelassene [[Insolvenzwahrscheinlichkeit]] für einen bestimmten Zeithorizont festgelegt.
 * Das Risiko wird somit nach oben beschränkt.
 Ein Beispiel für eine Verbindung zwischen der Shortfall-Wahrscheinlichkeit und der Insolvenzwahrscheinlichkeit wäre die Vorgabe eines Mindestratings eines Unternehmens.
 * Dieses entspricht der akzeptierten Insolvenzwahrscheinlichkeit und sie lässt sich außerdem als Anwendung der Shortfall-Wahrscheinlichkeit für vom Unternehmen vorgegebene Nebenbedingung interpretieren.
 ; Arten des Safety-First-Ansatzes
 # Die Shortfall-Wahrscheinlichkeit des Portfolios wird minimiert.
 # Es gibt eine maximal akzeptierte Shortfall-Wahrscheinlichkeit des Portfolios.
 * Nun wird die maximale zu erwartende [[Rendite]] ausgewählt, ohne die festgesetzte Grenze zu überschreiten.
 # Es wird eine maximal akzeptierter Shortfall-Wahrscheinlichkeit und eine angestrebte Mindestrendite festgesetzt.
 * Unter den Portfolios, welche beide Voraussetzungen erfüllen, wird jenes ausgewählt, welches die höchste Rendite aufweist.
 Bei der Betrachtung der drei Arten wird deutlich, dass die Safety-First-Ansätze nicht der Erwartungsnutzenmaximierung der allgemeinen Erwartungsnutzentheorie folgen.
 * Es wird vielmehr eine Rendite-Risiko-Kombination von Portfolios abgeleitet, welche die geforderte Mindestanforderung an Sicherheit bieten.
@@ Zeile 221: / Zeile 209: @@
 {{Special:PrefixIndex/{{BASEPAGENAME}}}}
 ----
+=== Anhang ===
 * [[Ellsberg-Paradoxon]]
 * [[Entscheidungsfunktion]]
 * [[Statistisches Entscheidungsproblem]]
-==== Links ====
+===== Links =====
-===== Projekt =====
+====== Weblinks ======
-===== Weblinks =====
 # https://de.wikipedia.org/wiki/Entscheidung_unter_Unsicherheit
 # https://de.wikipedia.org/wiki/Unsicherheit
@@ Zeile 234: / Zeile 222: @@
 [[Kategorie:Risiko]]
-</noinclude>
-</noinclude>
+= TMP =
+== Ständiger Zustand der Unsicherheit ==
+Wir befinden uns also, wenn wir nicht komplett auf Digitalisierung verzichten, in einem ständigen Zustand der Unsicherheit, des potenziellen Angriffs und der hektischen Flickschusterei – mithin ein Grund, warum Burn-out in der Profession der CISOs (Chief Information Security Officer) so verbreitet ist
+Zero-Days sind längst nicht die einzigen Schwachstellen und erst recht nicht die einzigen Themen, mit denen sich IT-Sicherheitsbeauftragte herumschlagen müssen
+* Aber allein ihre Existenz zeigt, dass unverdientes Vertrauen in unsere IT-Systeme und Anwendungen eine gefährliche Illusion ist
+Die Erkenntnis, dass jedweder Vertrauensvorschuss eine Gefahr birgt, nennt sich, konsequent zu Ende gedacht, Zero Trust
+* Auch wenn dieses Schlagwort für das Marketing von "Lösungen" (wie wir oben gesehen haben, ein frivoler Euphemismus) des Securityproblems missbraucht wird, umschreibt er eigentlich eine Haltung, quasi das Zen der modernen Security:# Hundertprozentige Sicherheit kann es prinzipiell nicht geben
+# Im Gegenteil müssen wir an jeder einzelnen Stelle unseres Sicherheitskonzepts bei null anfangen. "Assume breach", wie es heißt: Geh davon aus, dass die Angreifer schon da sind – und schau von da, wie du Stück für Stück sauberere Räume baust
+# Insbesondere muss jedes kleinste bisschen Vertrauen mühsam erarbeitet und verdient werden
+# Das gilt vor allem, aber nicht nur für das Netzwerk
+* Mein angeblicher "Ort" im Netzwerk alleine beweist noch gar nichts
+* Traditionelle und gefühlte Privilegien dürfen in der neuen Welt nichts zählen