Unsicherheit: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung Markierung: Manuelle Zurücksetzung |
Keine Bearbeitungszusammenfassung |
||
Zeile 222: | Zeile 222: | ||
[[Kategorie:Risiko]] | [[Kategorie:Risiko]] | ||
= TMP = | |||
== Ständiger Zustand der Unsicherheit == | |||
Wir befinden uns also, wenn wir nicht komplett auf Digitalisierung verzichten, in einem ständigen Zustand der Unsicherheit, des potenziellen Angriffs und der hektischen Flickschusterei – mithin ein Grund, warum Burn-out in der Profession der CISOs (Chief Information Security Officer) so verbreitet ist | |||
Zero-Days sind längst nicht die einzigen Schwachstellen und erst recht nicht die einzigen Themen, mit denen sich IT-Sicherheitsbeauftragte herumschlagen müssen | |||
* Aber allein ihre Existenz zeigt, dass unverdientes Vertrauen in unsere IT-Systeme und Anwendungen eine gefährliche Illusion ist | |||
Die Erkenntnis, dass jedweder Vertrauensvorschuss eine Gefahr birgt, nennt sich, konsequent zu Ende gedacht, Zero Trust | |||
* Auch wenn dieses Schlagwort für das Marketing von "Lösungen" (wie wir oben gesehen haben, ein frivoler Euphemismus) des Securityproblems missbraucht wird, umschreibt er eigentlich eine Haltung, quasi das Zen der modernen Security:# Hundertprozentige Sicherheit kann es prinzipiell nicht geben | |||
# Im Gegenteil müssen wir an jeder einzelnen Stelle unseres Sicherheitskonzepts bei null anfangen. "Assume breach", wie es heißt: Geh davon aus, dass die Angreifer schon da sind – und schau von da, wie du Stück für Stück sauberere Räume baust | |||
# Insbesondere muss jedes kleinste bisschen Vertrauen mühsam erarbeitet und verdient werden | |||
# Das gilt vor allem, aber nicht nur für das Netzwerk | |||
* Mein angeblicher "Ort" im Netzwerk alleine beweist noch gar nichts | |||
* Traditionelle und gefühlte Privilegien dürfen in der neuen Welt nichts zählen |
Aktuelle Version vom 21. April 2024, 12:06 Uhr
Unsicherheit - Bewusst wahrgenommenen Mangel an Sicherheit
Beschreibung
Das Abstraktum Unsicherheit ist sprachlich die Negation und der kontradiktorische Gegensatz von Sicherheit.
- Unsicherheit wird in vielen Fachgebieten als Begriff genutzt, wobei die Begriffsinhalte nur geringfügig voneinander abweichen.
- Wenn für eine Entscheidung die hierfür relevanten Informationen nicht vollständig vorhanden sind (unvollkommene Information) oder der Entscheidungsträger nicht in der Lage ist, die Informationen perfekt zu verarbeiten und zu interpretieren, entsteht Unsicherheit. Die Wirtschaftswissenschaften versuchen mit dem Problem der Unsicherheit umzugehen, indem sie Risiken durch Bildung von Eintrittswahrscheinlichkeiten künftiger Ereignisse abzuschätzen versuchen.
- Während beim Risiko die Eintrittswahrscheinlichkeiten bekannt sind, liegen bei Unsicherheiten keinerlei Informationen über die Eintrittswahrscheinlichkeiten der möglichen Ereignisse vor.
Gefahren sind gegebene Bedrohungen, bestehen unabhängig von Entscheidungen und lassen sich dem Entscheidungsträger nicht zurechnen.
In der Psychologie ist die Unsicherheit das Erleben der Ungewissheit.
Unsicherheit in der Entscheidungstheorie
Entscheidung unter Unsicherheit
In der Entscheidungstheorie werden mit Unsicherheit zukünftige Umweltzustände beschrieben, für welche keine Wahrscheinlichkeiten vorliegen.
- Unsicherheit wird dabei in Ungewissheit, Risiko und Unwissen unterteilt.
- Bei der Ungewissheit sind die möglichen Auswirkungen bekannt, man verfügt jedoch nicht über Informationen zur Eintrittswahrscheinlichkeit.
- Beim Risiko ist als zusätzliche Information die Eintrittswahrscheinlichkeit bekannt, nicht aber der Zeitpunkt.
- Beim Unwissen sind auch die Auswirkungen der untersuchten Handlungsalternativen nicht vollständig bekannt.
- Die Entscheidungstheorie bietet verschiedene Methoden zur Entscheidung unter Ungewissheit, Entscheidung unter Unsicherheit und Entscheidung unter Risiko.
- Die Anwendung mathematischer Modelle zur Repräsentation von Unsicherheit ist extrem schwierig.
Selbstunsicherheit in der Psychologie
Daneben gibt es die Bedeutung der Selbstunsicherheit als subjektiv-emotionalen Zustand eines Lebewesens infolge von fehlendem Vertrauen oder Ängstlichkeit im Gegensatz zur Selbstsicherheit.
- Dieser Zustand kann sich beim Menschen als Persönlichkeitseigenschaft in Vermeidungsverhalten äußern und wird in der Psychiatrie auch als Selbstunsicher-vermeidende Persönlichkeitsstörung bezeichnet.
Unsicherheit in den Sozialwissenschaften
Studien mit sozialwissenschaftlichen Forschungsgruppen legen nahe, dass auch bei Vorlage gleicher Datenbestände großer Interpretationsspielraum innerhalb der Disziplinen vorherrscht.
- Forschende plädieren deshalb für eine bewusste Kommunikation möglicher Unsicherheiten in der quantitativen und empirischen Sozialforschung.
Unsicherheit in der Messtechnik und in den Naturwissenschaften
Beim Messen einer physikalischen Größe entsteht eine Unbestimmtheit, die verschiedene Ursachen haben kann.
- Sie wird als Messunsicherheit bezeichnet.
Dass gewisse Messgrößen generell nicht gleichzeitig exakt gemessen werden können, ist ein fundamentales Prinzip der Quantenmechanik und findet seine Formulierung in der heisenbergschen Unschärferelation.
Unsicherheit im Risikomanagement
Die Norm ISO 31000 definiert Risiko als Effekt der Unsicherheit auf den Grad der Zielerreichung.
- Unsicherheit wird hierbei mit dem „gänzlichen oder teilweise Fehlen von Informationen“ beschrieben.
Entscheidung unter Unsicherheit
Entscheidungen unter Unsicherheit - Entscheidungsträger kennt nicht alle Konsequenzen aus einer Entscheidung
Beschreibung
Von Entscheidungen unter Unsicherheit spricht man im Rahmen der Betriebswirtschaftslehre und Entscheidungstheorie dann, wenn der Entscheidungsträger den eintretenden Umweltzustand nur mit Unsicherheit kennt und er mithin nicht sämtliche Konsequenzen aus einer Entscheidung voraussagen kann.
Allgemeines
Entscheidungen unter Unsicherheit hängen unmittelbar mit dem zugrunde liegenden Informationsgrad zusammen, bei ihnen liegt unvollständige Information im Hinblick auf Daten der Vergangenheit, Gegenwart und Zukunft zugrunde. Der Entscheidungsträger verfügt über unsichere Erwartungen, und die mit der Entscheidung verbundenen Konsequenzen sind nicht vollständig absehbar.
- Die Aufteilung der konstitutiven Entscheidungen nach dem Informationsgrad geht auf Erich Gutenberg zurück.
Daneben unterschied er noch die Entscheidung unter Sicherheit und Entscheidung unter Risiko.
- Bei der Entscheidung unter Unsicherheit liegt der Informationsgrad zwischen > 0 % und < 100 %.
- Bei 0 % handelt es sich um Ignoranz.
Informationsgrad
Die Entscheidung unter Unsicherheit ist einzuordnen in den ihr zugrunde liegenden Informationsgrad.
- Der abgestufte Informationsgrad lautet dabei konkret: Sicherheit, Risiko, Ungewissheit und Unsicherheit.
Um Sicherheit handelt es sich, wenn der Eintritt eines künftigen Umweltzustands zu 100 % determiniert ist (Entscheidung unter Sicherheit).
- Beim Risiko können den möglichen Ausprägungen künftiger Umweltzustände subjektive oder objektive Eintrittswahrscheinlichkeiten zugeordnet werden (Entscheidung unter Risiko);
Ungewissheit kennzeichnet eine Entscheidungssituation, bei der die möglichen Ausprägungen künftiger Umweltzustände zwar bekannt sind, aber keine Wahrscheinlichkeiten zugeordnet werden können.
Unsicherheit schließlich beinhaltet die Möglichkeit von ex post-Überraschungen (Entscheidung unter Unsicherheit).
- Letztere sind der „Wechsel der Erwartung aufgrund des Eintreffens neuer Daten“.
Andere Autoren stufen ab nach Sicherheit, Quasi-Sicherheit, Risiko, Unsicherheit, rationale Indeterminiertheit und Ignoranz.
Ignoranz besteht in einem vollständigen Fehlen von Daten oder Informationen, so dass eine rationale Entscheidung nicht möglich ist.
Übersicht
Nach dem Informationsgrad einzelner Merkmale können folgende Entscheidungsarten unterschieden werden:
Entscheidungsart | Merkmale |
---|---|
Entscheidung unter Sicherheit | alle Umweltzustände sind bekannt |
Entscheidung unter Unsicherheit | tatsächliche Umweltzustände sind nicht bekannt; eine Wahrscheinlichkeitsverteilung über die möglicherweise eintretenden Umweltzustände ist bekannt |
Entscheidung unter Ungewissheit | tatsächliche Umweltzustände sind nicht bekannt; eine Wahrscheinlichkeitsverteilung über die möglicherweise eintretenden Umweltzustände ist nicht bekannt |
Entscheidung unter Risiko | den möglichen Umweltzuständen können bestimmte Eintrittswahrscheinlichkeiten zugeordnet werden |
Die einzelnen Entscheidungsarten unterscheiden sich danach, welches Merkmal bekannt und welches unbekannt ist.
Unsicherheitsgrade
Auch wenn sich noch kein einheitlicher Sprachgebrauch entwickelt hat, so unterscheidet Wolfgang Müller, je nachdem, ob die Eintrittswahrscheinlichkeiten für die Umweltzustände bekannt sind, zwischen folgenden zwei Graden von Unsicherheit: Der Entscheidungsträger hat die Wahl zwischen verschiedenen Alternativen , die abhängig von den möglichen Umweltzuständen sind.
- Entscheidung unter Risiko: Dem Entscheider sind die von seiner Entscheidung abhängigen Eintrittswahrscheinlichkeiten der Umweltzustände objektiv (z. B.
- beim Lotto) oder subjektiv (aufgrund von Schätzungen oder von Vergangenheitswerten) bekannt.
- Dabei muss die Summe der Wahrscheinlichkeiten gleich 1 sein:
- = 1.
- Entscheidung unter Ungewissheit: Dem Entscheider sind nur die von seiner Entscheidung abhängigen möglichen Umweltzustände bekannt, er kann jedoch keine Aussage über die Wahrscheinlichkeiten treffen, mit denen diese Umweltzustände eintreten werden.
Frank Knight unterschied 1921 in seinem Buch Risk, Uncertainty and Profit eine weitere Eskalationsstufe von Unsicherheit:
- Entscheidung unter vollkommener Unsicherheit (Knightsche Unsicherheit): Dem Entscheidungsträger sind weder die von seiner Entscheidung abhängigen Eintrittswahrscheinlichkeiten der Umweltzustände noch die von seiner Entscheidung abhängigen möglichen Umweltzustände bekannt.
- Für diese Entscheidungssituationen schlägt Saras D.
- Sarasvathy als Entscheidungshilfe die Entscheidungslogik Effectuation vor.
Gemäß dem Ökonom Hans-Werner Sinn kann die Unterteilung der beiden genannten Entscheidungssituationen auch unter der Berücksichtigung von Wahrscheinlichkeitshierarchien erfolgen.
- Mit Wahrscheinlichkeitshierarchien ist gemeint, dass es für sämtliche Zustände alternative Wahrscheinlichkeitsverteilungen gibt.
- Somit lassen sich Risiko und Ungewissheit folgendermaßen unterscheiden:
- Entscheidung unter Risiko: Die Wahrscheinlichkeiten können mit Sicherheit bestimmt werden, und es liegt eine völlig bekannte Wahrscheinlichkeitshierarchie vor.
- Entscheidung unter Ungewissheit: Die Wahrscheinlichkeiten sind völlig unbekannt, und die Wahrscheinlichkeitshierarchien können nur teilweise dargestellt werden.
- Nach Sinn können diese beiden genannten Grade stets auf eine „sicher bekannte objektive Wahrscheinlichkeit“ zurückgeführt werden.
- Diese kann dann für weitere Analysen und Entscheidungen genutzt werden.
- Mit Hilfe von subjektiv geschätzten Wahrscheinlichkeiten kann auch eine Überleitung von der Ungewissheit zu Risiko erfolgen.
Prinzip des unzureichenden Grundes
Sind keinerlei Wahrscheinlichkeiten gegeben oder ist das Auftreten eines Umweltzustands nicht glaubwürdiger als das eines anderen, kann dem Prinzip des unzureichenden Grundes gefolgt werden.
- Hierbei werden alle möglichen Zustände als gleich wahrscheinlich betrachtet.
- Somit treten die Zustände mit der gleichen Wahrscheinlichkeit auf, und die Wahrscheinlichkeit wird als sichere objektive Größe angesehen.
- Dies entspricht dem Entscheidungskriterium mit Hilfe des Erwartungswerts.
- Diese Regel wird als Laplace-Regel bezeichnet.
- Eine Begriffsunterscheidung zwischen Unsicherheit und Risiko wäre somit nicht notwendig.
Ein einfaches Beispiel für dieses Prinzip ist das Ziehen von Kugeln mit den Farben rot und blau aus einer Urne.
- Bei völlig gleichmäßig verteilten Kugeln gibt es keinen Anreiz, dass eine Farbe eher als eine andere gezogen wird.
- Somit ist das Ziehen der Farbe Rot gleich wahrscheinlich wie eine blaue Kugel zu ziehen.
Risiko im Risikomanagement
Im allgemeinen Sprachgebrauch wird Risiko oft als Gefahr des Misslingens einer Handlung oder Aktivität verstanden.
- Im betriebswirtschaftlichen Fokus ergeben sich aus dem Risiko sowohl positive (= Gewinnchancen) als auch negative Abweichungen (= Verluste).
- Dabei können sich verschiedene Risiken gegenseitig kompensieren.
- Diese mögliche Risikokompensation muss in einer allgemeinen Risikodefinition beachtet werden.
- Aus diesem Grund definiert Werner Gleißner den Risikobegriff im Unternehmen folgendermaßen:
- Risiko ist die aus einer nicht sicher vorhersehbaren Zukunft resultierende, durch ‚zufällige‘ Störungen verursachte Möglichkeit, vom geplanten Zielen abzuweichen.
Somit wird im Risikomanagement oft keine Unterteilung in Ungewissheit und Risiko vorgenommen, sondern der Begriff Risiko verdeutlicht hier die gesamte Unsicherheit.
- Die Rechtfertigung hierfür ist, dass bei Situationen unter Ungewissheit Wahrscheinlichkeiten mit den jeweils bestverfügbaren Informationen geschätzt werden können, wodurch eine Überleitung zur Risikosituation vorgenommen wird.
Entscheidungsregeln
Regeln für die Entscheidung unter Risiko
Da bei der Entscheidung unter Risiko die Eintrittswahrscheinlichkeiten der Umweltzustände bekannt sind, kann hier die Bayes-Regel (auch μ-Regel genannt) angewendet werden.
- Bei dieser Regel wird diejenige Handlungsalternative gewählt, welche den größten mathematischen Erwartungswert hat.
Die μ-σ-Regel berücksichtigt sowohl den Erwartungswert als auch die Risikoeinstellung des Entscheiders.
- Dabei wird die Standardabweichung σ genutzt.
- Ist der Entscheider risikofreudig so wird er bei gleichem Erwartungswert μ die Alternative wählen, welche ein höheres σ aufweist.
- Wenn der Entscheider risikoavers ist, wird er eher die Alternative wählen, welche bei gleichen μ die geringere Standardabweichung hat.
- Bei einem risikoneutralen Entscheider entspricht die Regel der Bayes-Regel.
- Bevor die μ-σ-Regel angewendet werden kann, sollte immer geprüft werden, ob die Voraussetzung der Normalverteilung erfüllt sind.
- μ-R-Regel
Bei dieser verallgemeinerten Regel wird die Entscheidung davon abhängig gemacht, was für ein bestimmter Erwartungswert µ und ein prinzipiell beliebiges Risikomaß R vorliegen.
- Das μ-σ-Prinzip stellt somit einen Spezialfall dieser Regel dar.
Beim Bernoulli-Prinzip werden die Handlungsergebnisse mithilfe von Risikonutzenfunktionen zu Nutzenwerten berechnet.
- Jeder Entscheider hat dabei eine individuelle Risikonutzenfunktion, welche seine Risikopräferenz widerspiegelt. Konvexe Funktionsverläufe stehen dabei für einen risikoaversen Entscheider und konkave Verläufe für einen risikofreudigen Entscheider.
- Es ist jedoch zu beachten, dass jeder Mensch in verschiedenen Situationen nicht immer gleich auf Risiken reagiert.
- Die individuelle Risikofunktion kann also beide Verläufe, abhängig von den Umweltzuständen, darstellen.
Regeln für die Entscheidung unter Ungewissheit
In der Entscheidungstheorie wurden zahlreiche Verfahren entwickelt, um trotz der Ungewissheit geeignete Entscheidungsregeln anwenden zu können.
- Diese spiegeln oft eine bestimmte Präferenz zum Risiko wider.
- Die bekanntesten Regeln sind hierbei:
- Maximin-Regel (nach Abraham Wald)
Bei dieser Regel geht man von einem pessimistischen Entscheidungsträger aus.
- Es wird immer der Wert gewählt, welcher beim Eintreten des ungünstigsten Umweltzustands am größten ist.
- Maximax-Regel (nach Abraham Wald)
Bei dieser Regel geht man von einem optimistischen Entscheidungsträger aus.
- Es wird stets der Wert gewählt, welcher beim Eintreten des günstigsten Umweltzustands am größten ist.
Weitere Regeln sind die Hurwicz-Regel (nach Leonid Hurwicz) und die schon erwähnte Laplace-Regel.
Safety-First-Ansatz
Ein Ansatz im Bereich des Risiko- und Portfoliomanagements ist der Safety-First-Ansatz (Sicherheit geht vor).
- Bei diesem Ansatz wird das Risiko beschränkt, sodass es eine festgesetzte obere Grenze nicht überschreitet.
- Dabei spielen Nebenbedingungen von unternehmerischen Entscheidungen zentrale Rollen.
- Somit wird im Safety-First-Ansatz Risiko als Verlustgefahr definiert.
Dieser Ansatz wird bei Entscheidungsfindungen eingesetzt, bei den die Wahl zwischen riskanten Handlungsalternativen getroffen werden soll (z. B.
- bei Versicherungsunternehmen).
Beispielsweise wird bei einem Unternehmen eine maximale Verlustwahrscheinlichkeit oder eine höchste zugelassene Insolvenzwahrscheinlichkeit für einen bestimmten Zeithorizont festgelegt.
- Das Risiko wird somit nach oben beschränkt.
Ein Beispiel für eine Verbindung zwischen der Shortfall-Wahrscheinlichkeit und der Insolvenzwahrscheinlichkeit wäre die Vorgabe eines Mindestratings eines Unternehmens.
- Dieses entspricht der akzeptierten Insolvenzwahrscheinlichkeit und sie lässt sich außerdem als Anwendung der Shortfall-Wahrscheinlichkeit für vom Unternehmen vorgegebene Nebenbedingung interpretieren.
- Arten des Safety-First-Ansatzes
- Die Shortfall-Wahrscheinlichkeit des Portfolios wird minimiert.
- Es gibt eine maximal akzeptierte Shortfall-Wahrscheinlichkeit des Portfolios.
- Nun wird die maximale zu erwartende Rendite ausgewählt, ohne die festgesetzte Grenze zu überschreiten.
- Es wird eine maximal akzeptierter Shortfall-Wahrscheinlichkeit und eine angestrebte Mindestrendite festgesetzt.
- Unter den Portfolios, welche beide Voraussetzungen erfüllen, wird jenes ausgewählt, welches die höchste Rendite aufweist.
Bei der Betrachtung der drei Arten wird deutlich, dass die Safety-First-Ansätze nicht der Erwartungsnutzenmaximierung der allgemeinen Erwartungsnutzentheorie folgen.
- Es wird vielmehr eine Rendite-Risiko-Kombination von Portfolios abgeleitet, welche die geforderte Mindestanforderung an Sicherheit bieten.
Anhang
Siehe auch
Anhang
Links
Weblinks
- https://de.wikipedia.org/wiki/Entscheidung_unter_Unsicherheit
- https://de.wikipedia.org/wiki/Unsicherheit
- Modelling Society’s Capacity to Manage Extraordinary Events (PDF; 241 kB) From the Swedish Morphological Society
- Strategic Decision Support using Computerised Morphological Analysis
TMP
Ständiger Zustand der Unsicherheit
Wir befinden uns also, wenn wir nicht komplett auf Digitalisierung verzichten, in einem ständigen Zustand der Unsicherheit, des potenziellen Angriffs und der hektischen Flickschusterei – mithin ein Grund, warum Burn-out in der Profession der CISOs (Chief Information Security Officer) so verbreitet ist
Zero-Days sind längst nicht die einzigen Schwachstellen und erst recht nicht die einzigen Themen, mit denen sich IT-Sicherheitsbeauftragte herumschlagen müssen
- Aber allein ihre Existenz zeigt, dass unverdientes Vertrauen in unsere IT-Systeme und Anwendungen eine gefährliche Illusion ist
Die Erkenntnis, dass jedweder Vertrauensvorschuss eine Gefahr birgt, nennt sich, konsequent zu Ende gedacht, Zero Trust
- Auch wenn dieses Schlagwort für das Marketing von "Lösungen" (wie wir oben gesehen haben, ein frivoler Euphemismus) des Securityproblems missbraucht wird, umschreibt er eigentlich eine Haltung, quasi das Zen der modernen Security:# Hundertprozentige Sicherheit kann es prinzipiell nicht geben
- Im Gegenteil müssen wir an jeder einzelnen Stelle unseres Sicherheitskonzepts bei null anfangen. "Assume breach", wie es heißt: Geh davon aus, dass die Angreifer schon da sind – und schau von da, wie du Stück für Stück sauberere Räume baust
- Insbesondere muss jedes kleinste bisschen Vertrauen mühsam erarbeitet und verdient werden
- Das gilt vor allem, aber nicht nur für das Netzwerk
- Mein angeblicher "Ort" im Netzwerk alleine beweist noch gar nichts
- Traditionelle und gefühlte Privilegien dürfen in der neuen Welt nichts zählen