Risikowahrnehmung und -bewertung im Bereich der Informationssicherheit stellen komplexe Herausforderungen dar. Sicherheitsexperten müssen Entscheidungen unter Unsicherheit treffen – etwa bei der Einschätzung von Bedrohungen durch Cyberangriffe – und diese Risiken verständlich an Entscheidungsträger oder die Öffentlichkeit kommunizieren. Klassische Modelle der Risikobewertung gehen häufig von einem „Homo oeconomicus“ aus, der alle verfügbaren Informationen rational auswertet, Wahrscheinlichkeiten berechnet und Nutzenfunktionen maximiert[1][2]. Demgegenüber hat der deutsche Psychologe Gerd Gigerenzer ein alternatives Menschenbild geprägt: den „Homo heuristicus“, der sich begrenzter kognitiver Ressourcen bewusst ist und auf heuristische Entscheidungsverfahren – also einfache, aber effiziente Daumenregeln – zurückgreift[1].
In diesem Essay werden Gigerenzers theoretische Konzepte (u. a. Homo heuristicus, Rekognitionsheuristik, adaptive Toolbox) erläutert und im Lichte epistemologischer Fragen – insbesondere hinsichtlich Unsicherheit, Intuition und rationaler Entscheidungsfindung – kritisch reflektiert. Anschließend wird diskutiert, inwiefern diese Ansätze geeignet sind, Risiken in der Informationssicherheit zu bewerten und zu kommunizieren. Dabei liegt der Fokus auf Gigerenzers Methoden der heuristischen Risikobewertung und deren möglichen Vorteilen und Grenzen im Vergleich zu klassischen Ansätzen.
„Intelligent decision making entails knowing what tool to use for what problem.“ – Gerd Gigerenzer[3]
(„Intelligente Entscheidungsfindung bedeutet, zu wissen, welches Werkzeug für welches Problem einzusetzen ist.“)
Diese Aussage aus Risk Savvy von Gigerenzer unterstreicht bereits das Leitmotiv: Nicht jede Entscheidungssituation erfordert maximalen Rechenaufwand – manchmal führt der kluge Einsatz einfacher Werkzeuge (Heuristiken) zu besseren Entscheidungen. Im Folgenden werden zunächst die theoretischen Grundlagen dieses Ansatzes dargestellt.
Theoretische Grundlagen: Vom Homo Oeconomicus zum Homo Heuristicus
Begrenzte Rationalität und adaptive Toolbox
Die traditionelle Wirtschaftstheorie unterstellt mit dem Modell des Homo oeconomicus einen ideal rational handelnden Akteur[1]: ein Nutzenmaximierer mit vollständiger Information und unbegrenzter Verarbeitungskapazität[1]. Spätestens seit Herbert Simon (1955) wird diese Vorstellung jedoch infrage gestellt. Simon führte den Begriff der bounded rationality (begrenzte Rationalität) ein, der anerkennt, dass Menschen nur begrenzte Zeit, Informationen und kognitive Ressourcen haben und daher oft nach einer satisficing (zufriedenstellenden) Lösung suchen, anstatt die optimale Lösung zu berechnen[1].
Gerd Gigerenzer greift diese Idee auf und entwickelt sie mit dem Konzept der „adaptiven Werkzeugkiste” (adaptive toolbox) weiter[1]. Darunter versteht er das Repertoire an einfachen Entscheidungsheuristiken, das Individuen (oder Institutionen) zur Verfügung steht, um in unterschiedlichen Umwelten zurechtzukommen[4][1]. Rationalität wird hierbei nicht als starres Befolgen der Regeln der Logik oder Wahrscheinlichkeitstheorie aufgefasst, sondern als die Fähigkeit, im jeweiligen Kontext das passende heuristische Werkzeug zu wählen[4][1]. Eine Heuristik nennt Gigerenzer „ökologisch rational“, wenn sie an die Struktur der Umwelt angepasst ist[4].
Gigerenzer kontrastiert seine Sichtweise explizit mit der sogenannten Heuristics-and-Biases-Tradition von Kahneman und Tversky[4]. Während jene kognitiven Heuristiken primär als Quellen systematischer Fehler und Verzerrungen betrachten[1][1], betont Gigerenzer die Adaptivität und Leistungsfähigkeit einfacher Regeln unter Unsicherheit[4]. Er und seine Kolleg*innen haben gezeigt, dass in vielen Situationen „weniger mehr ist“ – also weniger Information, weniger Rechenaufwand und weniger Zeit zu besseren Ergebnissen führen können[4][1]. Dieses sogenannte „Less-Is-More“-Prinzip widerspricht der klassischen Intuition, dass mehr Information stets zu besseren Entscheidungen führt[4]. So wurden experimentell und analytisch Fälle nachgewiesen, in denen das Ignorieren bestimmter Informationen die Treffsicherheit von Urteilen erhöht[4]. Mit anderen Worten: Unwissenheit kann in einer komplexen, unsicheren Welt manchmal nützlich sein, um zu präziseren Urteilen zu gelangen[1].
Homo Heuristicus: Heuristiken als Erfolgsrezepte
Gigerenzer skizziert mit dem Homo heuristicus ein Menschenbild, das diese ökologisch rationale Nutzung von Heuristiken verkörpert[1]. Der Homo heuristicus verfügt über einen „metaphorischen kognitiven Werkzeugkasten“ voller einfacher Regeln, die sich evolutionär oder durch Lernen bewährt haben und für bestimmte Aufgabentypen geeignet sind[1]. Einige prominente Beispiele aus Gigerenzers Toolkit sind:
- Rekognitionsheuristik: Wenn eine von zwei Optionen wiedererkannt wird und die andere nicht, schließt der Homo heuristicus daraus, dass die bekannte Option einen höheren Wert im Kriterium hat[4][3]. Diese einfache Regel – „wähle das, was Du kennst“ – kann erstaunlich erfolgreich sein. In einer berühmten Studie mussten Probanden die größere von zwei Städten wählen: Deutsche Studierende erkannten von zwei US-Städten oft nur San Diego und wählten es in 89 % der Fälle – und lagen damit in 71 % der Fälle richtig[3]. Umgekehrt wussten US-Studierende bei deutschen Städten oft nur von München und trafen dank Rekognitionsheuristik häufiger die korrekte Wahl als deutsche Einheimische[3]. Dieses Phänomen demonstriert den Less-Is-More-Effekt: Mit weniger Wissen (Halbwissen über fremde Städte) trafen die Teilnehmer bessere Vorhersagen[3]. Kritiker merken an, die Rekognitionsheuristik funktioniere vor allem in relativ stabilen Umwelten (z. B. ändern sich Stadtgrößen langsam)[3]. Doch Studien zeigen, dass sie auch in dynamischeren Bereichen greifen kann – etwa bei Sportwetten oder Wahlen, wo Laien mit dieser Heuristik Sieger überraschend genau prognostizieren konnten (bis zu 92 % Trefferquote in einem Wimbledon-Tennis-Turnier)[3].
- Take-The-Best-Heuristik: Hierbei handelt es sich um eine Ein-Faktor-Entscheidungsregel. Man vergleicht mehrere Optionen, nimmt das wichtigste Kriterium (den besten Prädiktor) und wählt die Option aus, die nach diesem einen Kriterium überlegen ist[4][3]. Alle weiteren Informationen werden ignoriert, sobald ein klares Signal gefunden ist. Gigerenzer zeigte mit Goldstein in Simulationen, dass Take-The-Best in vielen Fällen ebenso gute oder bessere Entscheidungen liefert wie komplexe statistische Verfahren, die alle verfügbaren Daten einbeziehen[3]. In einer Studie zur US-Präsidentenwahl etwa genügte ein einziges Issue (das den Wählern jeweils wichtigste Thema), um mit 97 % Genauigkeit den Sieger vorauszusagen – ein Ergebnis, das deutlich komplexeren Prognosemodellen kaum nachstand[3]. Solche Befunde illustrieren, dass einfache Heuristiken komplexe Modelle schlagen können, solange sie die richtige „diagnostische“ Information fokussieren[3].
- Fast-and-Frugal Trees: Dies sind stark vereinfachte Entscheidungsbäume, die mit wenigen dichotomen Fragen auskommen. Sie werden z. B. in Notaufnahmen eingesetzt, um mit minimalem Aufwand kritische Fälle (etwa drohende Herzinfarkte) zu erkennen[4]. Anstatt zahllose Faktoren zu berücksichtigen, hangeln sich Ärzte an einem kompakten Baum entlang – und erzielen vergleichbare Trefferquoten wie aufwändige Diagnoseverfahren. Ähnlich konnten die Entscheidungsstrategien von Ermittlern (Polizei, Zoll) oder sogar Einbrechern durch solch einfache Bäume modelliert werden[4][3]. Hier zeigt sich, dass selbst sicherheitsrelevante Entscheidungen (z. B. Zollbeamte, die in wenigen Sekunden einen potenziell gefährlichen Reisenden einschätzen) in der Praxis oft auf heuristischen Abläufen beruhen – mit Erfolg, sofern die Erfahrung der Experten in die Regeln eingeflossen ist[4].
Diese Beispiele veranschaulichen Gigerenzers Hauptpunkt: Heuristiken sind keineswegs bloß „Notlösungen“, denen zwangsläufig die Genauigkeit rationaler Kalküle fehlt. Im Gegenteil hängt die Leistungsfähigkeit einer Heuristik von ihrer Passung zur Umwelt ab. Ist die Heuristik das richtige Werkzeug für die Aufgabe, kann sie beeindruckende Genauigkeit erzielen – oft mit weniger Aufwand als komplexe Analysen[5]. Gigerenzer spricht in diesem Zusammenhang auch von „ökologischer Rationalität“, die dann gegeben ist, wenn die Struktur der Heuristik zur Struktur des Problems passt[4]. Daraus ergibt sich jedoch unmittelbar die Frage: Wann ist welches Werkzeug das richtige? Nicht jede Daumenregel funktioniert in jeder Umgebung gleich gut. Gigerenzer betont, dass die Auswahl der passenden Heuristik selbst eine kompetente Meta-Entscheidung erfordert[3]. Dies ist ein zentraler epistemologischer Punkt: Rationalität zeigt sich hier als Metarationalität – die Fähigkeit, angesichts begrenzten Wissens geeignete Vereinfachungen zu wählen, anstatt starr an der fiktiven Optimalität vollkommener Information festzuhalten[1].
Klassische vs. heuristische Risikobewertungsmethoden
Angesichts dieser Grundlagen stellt sich die Frage, wie Risikobewertung nach klassischem Verständnis im Vergleich zu einer heuristischen Vorgehensweise aussieht. Traditionelle Risikomodelle – sowohl in der Finanzwelt, im Projektmanagement als auch in der Informationssicherheit – beruhen meist auf einer quantitativen Analyse von Eintrittswahrscheinlichkeit und Schadensausmaß. Wo möglich, werden statistische Daten herangezogen, um Eintrittswahrscheinlichkeiten zu schätzen; fehlen Daten, wird versucht, Experteneinschätzungen zumindest qualitativ (etwa in Kategorien wie „hoch/mittel/niedrig“) zu erfassen[2]. Oft resultiert daraus eine Risikomatrix, in der Wahrscheinlichkeit und Auswirkungsgröße kombiniert werden, um ein Gesamtrisikolevel abzuleiten[2]. Dieses Vorgehen ist systematisch und nachvollziehbar, kann aber trügerische Genauigkeit suggerieren – vor allem in Bereichen, wo zahlenmäßige Daten kaum vorhanden sind[2]. Gerade in der Informationssicherheit fehlen für viele Schadensereignisse verlässliche statistische Grundlagen, da Bedrohungen neuartig und Angriffe selten (wenn auch potenziell verheerend) sind[2].
Dem gegenüber steht ein heuristischer Ansatz zur Risikobewertung, der bewusst auf Vereinfachung setzt. Anstatt jedes Risiko in formalisierten Zahlen auszudrücken, würden hierbei Schlüsselindikatoren oder Erfahrungswerte genutzt, um Gefahren intuitiv einzustufen. Beispielsweise könnte ein Sicherheitsverantwortlicher auf Grundlage weniger Fragen – etwa „Ist dieses System exponiert? Enthält es vertrauliche Daten? Wurden in letzter Zeit ähnliche Systeme attackiert?“ – eine schnelle Risikoeinschätzung vornehmen, ohne ein vollständiges Bedrohungsmodell zu erstellen. Gigerenzers Prinzipien legen nahe, dass eine solche reduzierte Analyse durchaus valide sein kann, wenn sie die richtigen Indikatoren fokussiert (analog zur Take-The-Best-Heuristik, bei der ein einzelner dominanter Faktor betrachtet wird[3]).
Die folgende Tabelle stellt einige Unterschiede zwischen dem klassischen Ansatz der Risikobewertung und einer heuristischen Risikobewertung à la Homo heuristicus gegenüber:
| Aspekt | Klassische Risikobewertung | Heuristische Risikobewertung |
|---|---|---|
| Menschenbild | Homo oeconomicus – vollständig rational, nutzt alle Infos[1]. | Homo heuristicus – begrenzt rational, nutzt adaptiv einfache Regeln[1]. |
| Umgang mit Information | „Mehr ist besser“ – sammelt möglichst alle verfügbaren Daten, Detailanalyse. | „Weniger ist mehr“ – fokussiert auf wenige Schlüsselinformationen, ignoriert irrelevante Daten[1]. |
| Methode | Quantitativ/algorithmisch: Wahrscheinlichkeit × Schaden, statistische Modelle, Risikomatrix[2]. | Qualitativ/heuristisch: Faustregeln (z. B. Checklisten, Rangfolge wichtiger Faktoren), Expertenintuition. |
| Umgang mit Unsicherheit | Versucht, Unsicherheit in Risiko zu überführen (durch Schätzung von Eintrittswahrscheinlichkeiten)[2][2]. | Akzeptiert grundlegende Unsicherheit; zielt auf robuste Entscheidungen auch ohne exakte Wahrscheinlichkeiten[6][6]. |
| Voraussetzungen | Braucht umfangreiche Daten, Zeit und Rechenkapazität; formalisiertes Rahmenwerk. | Braucht Erfahrung oder valide Heuristik; setzt passende Umweltstruktur voraus (ökologische Rationalität). |
| Stärke | Transparenz, Nachvollziehbarkeit, vermeintliche Genauigkeit; vergleichbar mit Standards. | Schnelligkeit, Einfachheit, Robustheit bei extremen Unsicherheiten; weniger Aufwand[6]. |
| Schwäche | Anfällig für Scheingenauigkeit bei unbekannten Größen; Überforderung bei zu vielen Faktoren; datengetrieben (kann träge sein). | Anfällig für Bias, wenn falsche Heuristik gewählt; erfordert Feedback zum Lernen (schwierig bei seltenen Ereignissen)[5]; für Außenstehende evtl. weniger transparent. |
Tabelle: Vergleich zwischen klassischer und heuristischer Risikobewertung.
Diese Gegenüberstellung verdeutlicht, dass heuristische Verfahren keine „exakten“ Risiken im Zahlensinn liefern, dafür aber in Situationen großer Unsicherheit handlungsfähig bleiben. Bereits Frank Knight (1921) unterschied bekanntermaßen zwischen berechenbarem Risiko und wahrer Unsicherheit, bei der keine verlässlichen Wahrscheinlichkeiten bekannt sind[6]. In solchen Fällen verliert die mathematische Wahrscheinlichkeitrechnung an Relevanz – stattdessen können „fast-and-frugal heuristics“ robuste Strategien bieten, die mit Ungewissheit besser umgehen[6]. Gigerenzer formuliert es zugespitzt so: „In an uncertain world, less often proves to be more.“[6] – in einer unsicheren Welt erweist sich weniger (Information) oft als mehr.
Allerdings hängt der Erfolg eines heuristischen Ansatzes stark von der Beschaffenheit der Umwelt ab. Eine Heuristik, die unter bestimmten Bedingungen optimal ist, kann versagen, wenn sich die Bedingungen ändern. Klassische Verfahren sind in der Regel generisch anwendbar (aber eben oft unpräzise, wenn es an Daten fehlt), während Heuristiken meist maßgeschneidert auf bestimmte Kontexttypen funktionieren. Dies bedeutet für die Informationssicherheit, dass wir sorgfältig prüfen müssen, wo heuristische Vereinfachungen sinnvoll sind und wo sie gefährlich werden könnten. Im nächsten Abschnitt betrachten wir daher konkreter die Anwendbarkeit von Gigerenzers Heuristiken im Kontext der Informationssicherheit.
Anwendung auf die Informationssicherheit: Chancen und Grenzen
Wie lassen sich die oben skizzierten Ideen konkret in der Praxis der Informationssicherheit verorten? Klassisches IT-Risikomanagement folgt häufig normativen Standards und Frameworks (ISO 27005, NIST RMF etc.), welche im Kern auf Inventarisierung von Assets, Identifikation von Bedrohungen, Abschätzung von Eintrittswahrscheinlichkeiten und Schadenspotentialen sowie Ableitung von Maßnahmen beruhen. Auch ohne auf spezifische Frameworks einzugehen, ist das Grundprinzip vergleichbar mit dem allgemeinen klassischen Ansatz: man versucht, so viele relevante Informationen wie möglich zu sammeln (Schwachstellenregister, bekannte Angriffsstatistiken, Incident-Historien usw.), um daraus Risikokennzahlen abzuleiten, die dann z. B. in Ampelstufen oder Prioritäten münden. Dieses Vorgehen bietet Struktur und Dokumentation, kann aber gerade in schnelllebigen Bedrohungslagen zu langsam oder unflexibel sein. Hier könnten heuristische Ansätze ansetzen, die Erfahrungswissen und Intuition stärker gewichten.
Ein Bereich, in dem heuristische Risikobeurteilung bereits implizit geschieht, ist die tägliche Sicherheitsentscheidung von Experten. Ein erfahrener Security-Analyst entwickelt über Jahre ein Gespür dafür, welche Vorfälle sofortige Aufmerksamkeit erfordern und welche vernachlässigt werden können – oft ohne zuerst alle Daten auszuwerten. Diese Intuition kann als eine Art persönliche Heuristik gesehen werden, gespeist aus der adaptive toolbox des Experten. Gigerenzer würde fragen: Ist diese Heuristik in der gegebenen Umgebung gültig? Ist also die Erfahrung tatsächlich repräsentativ für künftige Fälle, so dass die Abkürzung (z. B. „Alarm X ist fast immer ein Fehlalarm, den ignoriere ich erstmal“) weiterhin zum Erfolg führt? In einer stabilen Umgebung mit wiederkehrenden Mustern (etwa typische Malware-Alarme) kann dies der Fall sein. In einer wechselhaften Umgebung dagegen – etwa neuartige Angriffstechniken – könnten eingefahrene Daumenregeln in die Irre führen.
Eine wichtige Überlegung ist die Feedback-Schleife: Im Gegensatz zu vielen Alltagssituationen (wo Fehlentscheidungen oft schnelle Rückmeldung geben, etwa „Hand auf heiße Herdplatte“ führt sofort zu Schmerz und Lerneffekt) ist das Feedback in der Cybersecurity verzögert oder diffus[5]. Große Sicherheitsvorfälle (Datenlecks, erfolgreiche Angriffe) sind seltene Ereignisse in der Karriere eines Einzelnen und oft liegen zwischen Ursache und Entdeckung Wochen oder Monate. Das erschwert das Erlernen zuverlässiger Heuristiken. Corey Neskey bemerkt dazu: “Cybersecurity may not [lend] itself to building intuition… we’re typically faced with rare, high impact events with long delays between attacks and loss events”[5]. Ein CISO mag also jahrelang keine gravierende Attacke erleben und in falscher Sicherheit wiegen – oder umgekehrt durch einen früh erlebten Vorfall überall Gespenster sehen (Verfügbarkeitsheuristik bzw. -bias). Hier zeigt sich die Janusköpfigkeit heuristischer Vereinfachung: Nutzen wir die falsche Heuristik, laufen wir Gefahr, systematisch falsch zu liegen[5]. Ein Beispiel wäre die Verfügbarkeitsheuristik (availability heuristic): Kommt ein bestimmter Angriffstyp (z. B. Ransomware) in den Medien häufig vor, neigen Sicherheitsentscheider dazu, dessen Wahrscheinlichkeit zu überschätzen, während seltener diskutierte Bedrohungen (z. B. Insider-Angriffe) unterschätzt werden[5]. Kahneman würde dies als kognitive Verzerrung kritisieren – Gigerenzer hingegen fordert zu fragen: Ist die zugrundeliegende Heuristik vielleicht sinnvoll, oder wird sie falsch eingesetzt? Im genannten Fall könnte sich herausstellen, dass alle aktuellen Bedrohungsberichte von Ransomware handeln – dann ist ihre hohe subjektive Wahrscheinlichkeit durchaus gerechtfertigt. Falls jedoch ein Hype besteht, wäre die Heuristik zu korrigieren. Gigerenzers Ansatz lehrt uns hier, Heuristiken nicht pauschal zu verdammen, sondern kontextspezifisch auf ihre ökologische Rationalität zu prüfen[5].
Ein weiterer Punkt ist die Risikokommunikation innerhalb von Organisationen. Manager und Mitarbeiter sind keine Statistiker – hier können Gigerenzers Erkenntnisse helfen, Sicherheitsrisiken verständlich zu vermitteln. Anstatt abstrakte Wahrscheinlichkeiten zu nennen („Die Wahrscheinlichkeit eines Datenlecks beträgt 0,1% pro Jahr“), könnte man anschauliche Frequenzen verwenden: „Ohne Schutz hätten wir im Schnitt einen erfolgreichen Hackerangriff alle 10 Jahre.“ Gigerenzer hat gezeigt, dass selbst komplexe statistische Sachverhalte – etwa die Beurteilung medizinischer Testergebnisse – für Laien greifbar werden, wenn man sie in „natürliche Häufigkeiten“ umformuliert (z. B. „1 von 1000“ statt „0,1 %“)[4]. Übertragen auf Informationssicherheit bedeutet dies, beim Sensibilisierungstraining die Sprache der Zielgruppe zu sprechen: Konkrete Szenarien, Vergleich mit Alltagsrisiken, absolute Häufigkeiten. So könnte man Mitarbeitern erklären: „Von 100 Phishing-Mails, die an unser Unternehmen geschickt werden, schaffen es durchschnittlich 5 in die Inbox und 1 davon führt zu einem Schaden.“ Diese Darstellung ist für viele verständlicher als „Es besteht ein Risiko von 1 % pro Mail“ und fördert eine realistischere Risikowahrnehmung. Die Forschung zur Risikokompetenz (Risk Literacy), die Gigerenzer vorantreibt, hebt hervor, dass das Problem oft weniger beim Empfänger liegt als in der Darstellung der Information[4]. Menschen handeln scheinbar „irrational“, wenn Risikodaten untransparent oder kontraintuitiv präsentiert werden. Bereitet man dieselben Daten kognitiv gerecht auf, steigt die Verständnis- und Entscheidungsqualität deutlich[4]. Für die Informationssicherheit heißt das: Klare, einfache Kommunikation von Risiken (etwa durch Visualisierungen, Ampelsysteme, Analogien) ist entscheidend, um sowohl auf Mitarbeiterebene vorsichtiges Verhalten zu fördern als auch auf Vorstandsebene Unterstützung für Sicherheitsmaßnahmen zu gewinnen. Hier begegnen sich Gigerenzers Ansatz und die Praxis: Die Form der Darstellung beeinflusst, ob eine Risikobotschaft verfängt oder ignoriert wird.
Zusammenfassend bietet der heuristische Ansatz in der Informationssicherheit Chancen: Wo klassische Methoden mangels Daten ins Leere laufen, können qualitative Einschätzungen, basierend auf Erfahrung oder genialen einfachen Regeln, Entscheidungen erleichtern. Zudem kann die Kommunikation von Risiken durch heuristikorientierte Darstellung deutlich verbessert werden. Gleichzeitig gibt es Grenzen und Gefahren: Ohne verlässliche Rückkopplung kann Intuition fehlgeleitet sein; Angreifer können menschliche Heuristiken ausnutzen; und nicht zuletzt erfordert auch die Anwendung von Heuristiken kritisches Denken, um nicht von einem Bias in den nächsten zu tappen. Diese Zwiespältigkeit verweist auf tiefer liegende epistemologische Fragen, denen der nächste Abschnitt gewidmet ist.
Epistemologische Betrachtung: Unsicherheit, Intuition und Rationalität
Die Diskussion um heuristische vs. analytische Risikobewertung rührt an grundlegende erkenntnistheoretische Fragen: Was heißt es, rational zu entscheiden, wenn Wissen unsicher ist? Welche Art von Wissen liefern uns Heuristiken verglichen mit probabilistischen Modellen? Und wie verhält sich Intuition zur klassischen Vernunft?
Ein Ausgangspunkt ist die Feststellung, dass wir es in der Informationssicherheit oft mit echter Ungewissheit im Sinne Knights zu tun haben – unbekannten Unbekannten, die sich nicht in exakte Wahrscheinlichkeiten überführen lassen[6]. Klassische Rationalität – verstanden als Befolgung der Gesetze der Wahrscheinlichkeitstheorie und Nutzentheorie – gerät hier an eine Grenze: Wenn die Grundlage der Berechnung wackelt (d. h. die Wahrscheinlichkeiten nur Annahmen sind), wird auch das Ergebnis fragil. Philosophisch gesprochen: Das Wissen über Risiken ist in solchen Fällen eher qualitativ und kontextuell als quantifizierbar. Gigerenzer argumentiert, dass in einer fundamental unsicheren Welt probabilistisches Denken allein nicht ausreicht[4]. Statt auf einen Traum vollkommener Berechenbarkeit zu setzen, sollten wir die Realität unserer kognitiven Begrenzungen und der Umweltkomplexität akzeptieren – und daraus eine Form von Rationalität entwickeln, die damit umgehen kann[1]. Seine Antwort ist die adaptive Rationalität: vernünftiges Handeln heißt, angepasste Heuristiken zu verwenden, die mit begrenztem Wissen funktionieren.
Diese Sicht wirft die Frage auf, ob Rationalität hier neu definiert wird. Klassisch wäre eine Entscheidung rational, wenn sie gewissen Normen genügt (Transitivität der Präferenzen, Maximierung des Erwartungswerts etc.). In Gigerenzers Sinn ist eine Entscheidung rational, wenn sie im realen Kontext zum Erfolg führt – selbst wenn sie gegen gewisse formale Normen verstößt. Diese Unterscheidung spiegelt den Unterschied zwischen normativer und ökologischer Rationalität wider[1]. Ersterer Zugang (normativ) fragt: Was wäre unter idealen Bedingungen rational? Letzterer (ökologisch) fragt: Was bewährt sich tatsächlich unter den gegebenen Bedingungen? In diesem pragmatischen Rationalitätsbegriff steckt auch eine ethische Komponente: Es geht weniger darum, einer theoretischen Vorgabe zu genügen, als darum, verantwortlich mit Unsicherheit umzugehen. So gesehen besitzt der Homo heuristicus eine Form von praktischer Vernunft, die an Aristoteles’ phronesis erinnern mag – die kluge, erfahrungsgeleitete Urteilskraft, die im Konkreten richtig handelt, wo theoretische Gewissheit nicht zu haben ist.
Dennoch darf man Intuition nicht mystifizieren. Intuition ist in Gigerenzers Modell nichts Übernatürliches, sondern meist das Ergebnis unbewusster Lernprozesse – das „Bauchgefühl“, das Ergebnis vieler erlebter Situationen, verdichtet in einer Heuristik. Ist dieses Lernmaterial verkehrt oder unvollständig, kann auch die Intuition in die Irre führen. Der epistemologische Status heuristischer Urteile bleibt also empirisch: Ihre Gültigkeit erweist sich a posteriori in der Erfahrung. In der Sicherheitsdomäne würde dies bedeuten: Wir sollten überprüfen, wie gut unsere heuristischen Einschätzungen tatsächliche Ereignisse vorhersagen oder eingrenzen. Die Adaptivität ist der Schlüssel: eine Heuristik muss angepasst werden oder weichen, wenn die Umwelt es erfordert.
Interessant ist in diesem Zusammenhang Gigerenzers Forderung nach einer „zweiten Revolution“ in unserem Verständnis von Rationalität[4]. Die erste Revolution war die Wahrscheinlichkeitstheorie, die im 17. Jahrhundert die deterministische Sicht der Welt ablöste und uns lehrte, mit Unsicherheit mittels Kalkül umzugehen[4]. Die zweite Revolution, so Gigerenzer, besteht darin, das Bild vom allwissenden Rechner (der alle Wahrscheinlichkeiten bedenken kann) endgültig zu verabschieden und den begrenzten Verstand mit seinen heuristischen Werkzeugen zu rehabilitieren[4][4]. Hier schwingt eine kritische Erkenntnistheorie mit: Wir müssen anerkennen, dass alle unser Wissen vorläufig, vereinfacht und kontextgebunden ist – und genau darin liegt kein Mangel, sondern die Bedingung für Handlungsfähigkeit. Denn würde man absolute Gewissheit abwarten, käme kein Handeln zustande. In der Praxis der Informationssicherheit bedeutet dies: Entscheidungen müssen oft unter Unsicherheit getroffen werden, und es ist rational, dabei auf „weniger perfekte“ Methoden zurückzugreifen, solange sie nachweislich funktionieren.
Gleichzeitig mahnt uns die philosophische Betrachtung zu Bescheidenheit. Weder die besten statistischen Modelle noch die klügsten Heuristiken liefern Absolutewahrheiten. Jede Risikobewertung – ob durch formales Modell oder Intuition – ist ein Modell der Realität, kein Abbild dieser selbst. Sich dessen bewusst zu sein, stärkt die Bereitschaft, verschiedene Ansätze zu kombinieren und ständig dazuzulernen. Möglicherweise ist gerade eine Integration beider Perspektiven der Königsweg: Wo Daten und Zeit vorhanden sind, kann man analytisch vorgehen; wo nicht, stützt man sich auf heuristische Verfahren, und man nutzt jede Gelegenheit, heuristische Annahmen zu validieren oder kalibrieren (etwa durch Simulationen, post mortems nach Sicherheitsvorfällen, gezieltes Einholen verschiedener Expertenmeinungen etc.).
Fazit
Gerd Gigerenzers Forschung zur Risikowahrnehmung und heuristischen Entscheidungsfindung bietet wertvolle Einsichten für den Bereich der Informationssicherheit. Philosophisch fundiert lädt sie dazu ein, das traditionelle Verständnis von Rationalität – als strikt formal und allwissend – zu hinterfragen. Stattdessen rückt sie eine adaptive Rationalität ins Blickfeld, bei der Begrenztheit nicht als Makel, sondern als Ausgangspunkt für effektive Entscheidungen gesehen wird. Die Konzepte des Homo heuristicus und der adaptiven Toolbox zeigen, dass Intuition und einfache Regeln unter den richtigen Umständen leistungsfähig und verlässlich sein können[1][4]. Gerade in einer Domäne wie der Cybersecurity, die geprägt ist von hohem Tempo, Neuartigkeit der Gefahren und Intransparenz der Wahrscheinlichkeiten, könnten solche heuristischen Verfahren eine praktische Ergänzung zu klassischen Ansätzen sein.
Die heuristische Risikobewertung erweist sich als besonders nützlich, wenn schnelles Handeln gefragt ist oder Daten unsicher sind. Sie kann Sicherheitsprofis helfen, Prioritäten intuitiv richtig zu setzen, anstatt gelähmt zu werden, weil genaue Zahlen fehlen. Ebenso liefert Gigerenzers Arbeit Strategien für die Risikokommunikation: Informationen in Einklang mit menschlicher Kognition zu präsentieren (Stichwort Natürliche Häufigkeiten[4]), kann die Risikowahrnehmung verbessern und Menschen zu sicherheitsbewusstem Verhalten motivieren.
Allerdings warnt der Blick durch die epistemologische Brille auch vor Übersimplifizierung. Nicht jede Heuristik ist in jeder Situation ökologisch rational; blinder Vertrauen in Bauchgefühl kann ebenso fehlleiten wie blindes Vertrauen in scheinpräzise Modelle. Die Kunst liegt darin, die richtige Balance zu finden: Heuristiken als Werkzeug zu nutzen, aber ihre Grenzen zu kennen. Ein aufgeklärter Homo heuristicus in der Informationssicherheit wird daher beides schätzen – Zahlenwerk und Bauchgefühl – und kontextabhängig kombinieren.
Abschließend lässt sich sagen: Gigerenzers Ansätze sind anwendbar, aber nicht als Patentrezept. Sie erweitern den Werkzeugkasten der Risikobewertung um eine phänomenologische Dimension: der Anerkennung, wie Menschen tatsächlich entscheiden, und wie man diese Fähigkeiten konstruktiv nutzen kann, statt sie nur als Fehlerquelle abzutun. In einer Welt voller Unsicherheiten – sei es im Alltag oder im Cyberspace – können wir es uns nicht leisten, die Weisheit einfacher Heuristiken zu ignorieren. Ebenso wenig dürfen wir aber die demütige Erkenntnis vergessen, dass kein Verfahren Unfehlbarkeit garantiert. Eine informierte Mischung aus beidem – analytischer Strenge und heuristischer Cleverness – könnte sich als der klügste Weg erweisen, mit Risiken in der Informationssicherheit umzugehen. Denn letztlich gilt: Rational handelt, wer weiß, wann er mit wenig Information auskommt und wann nicht[6][3].
References
[1] Homo heuristicus: Menschliche Rationalität aus …
[2] BSI – 4.3 Risiken bewerten
[3] Gerd Gigerenzer – The Decision Lab
[4] Gerd Gigerenzer – Wikipedia