Informal Risk Acceptance
Warum bekannte Sicherheitsrisiken bleiben – und was sie Ihre P&L kosten
Ich sehe in Mandaten immer wieder das gleiche Muster: Ein Risiko ist bekannt, eine Maßnahme ist beschlossen, und trotzdem passiert über lange Zeit nichts. Die Gründe sind dabei selten irrational. Im Gegenteil – sie wirken plausibel: Die Umsetzung ist komplex, Ressourcen sind gebunden, andere Themen erscheinen dringlicher. Genau darin liegt jedoch das Problem. Denn faktisch wird in diesen Situationen keine Entscheidung vermieden, sondern eine getroffen – nur eben implizit. Das Risiko wird nicht aktiv akzeptiert, sondern über Zeit getragen.
Ich bezeichne dieses Phänomen als informelle Risikoakzeptanz. Und sie ist in vielen Organisationen deutlich teurer, als es auf den ersten Blick erscheint.
Carsten Reffgen
März 2026
Die teuerste Kategorie von Risiken
Aus Managementsicht lassen sich Risiken grob in drei Kategorien einteilen: unbekannte Risiken, korrekt behandelte Risiken – und eine dritte Kategorie, die in der Praxis besonders relevant ist: bekannte Risiken, bei denen die notwendige Maßnahme nicht umgesetzt wird. Gerade diese Risiken verschwinden nicht. Sie tauchen in jedem Reporting erneut auf, binden Aufmerksamkeit und erzeugen über Zeit Kosten, die selten systematisch erfasst werden.
Diese Kosten sind nicht abstrakt. Sie zeigen sich konkret in höheren Versicherungsprämien, zusätzlichen Audit-Anforderungen, Einschränkungen bei geschäftlichen Entscheidungen oder operativen Risiken im Ernstfall. Viele Organisationen betrachten diesen Zustand als gegeben. Tatsächlich ist er das Ergebnis wiederholter Entscheidungen.
Die zentrale Frage ist daher nicht nur, wie groß ein Risiko ist, sondern warum es bestehen bleibt.
Warum bekannte Risiken fortbestehen
In der Untersuchung von Social-Engineering-Angriffen fanden wir ein wiederkehrendes Muster menschlicher Entscheidungsprozesse. Dieses bezeichne ich als Emotion-Bias-Principle (EBP) Effect Model. Es beschreibt, wie emotionale Entlastung, kognitive Plausibilität und soziale Legitimation zusammenwirken und dadurch Entscheidungen stabilisieren – selbst dann, wenn sie objektiv nachteilig sind.
Das Modell dient nicht nur der Analyse von Sicherheitskontexten, sondern lässt sich auch auf den Umgang mit Risiken allgemein anwenden. Unter Unsicherheit neigen Menschen und Organisationen dazu, Entscheidungen zu bevorzugen, die kurzfristig Orientierung und emotionale Sicherheit vermitteln – und damit unbeabsichtigt bestehende Risiken verfestigen.
So erweitert das Modell die klassische Risikobetrachtung um eine zentrale Dimension: Es erklärt nicht nur, wie Risiken bewertet werden, sondern warum sie über Zeit bestehen bleiben.
Ein typischer Fall aus der Praxis
Ein Beispiel, das ich so oder ähnlich regelmäßig sehe, ist die verschobene Netzwerksegmentierung. Das zugrunde liegende Risiko ist bekannt, die Maßnahme fachlich unstrittig, die Umsetzung jedoch mit erheblichem Aufwand verbunden. In der Folge wird die Entscheidung wiederholt vertagt. Die Begründungen bleiben konsistent: zu komplex, zu ressourcenintensiv, aktuell nicht priorisiert.
Mit der Zeit entsteht so ein Zustand, der nicht aktiv gewählt wurde, sich aber stabilisiert. Genau hier liegt der entscheidende Punkt: Die Organisation trifft eine Entscheidung, ohne sie als solche zu behandeln. Das Risiko wird nicht formal akzeptiert, sondern implizit weitergetragen.
Kommt es in solchen Konstellationen zu einem Vorfall – etwa in Form eines Ransomware-Angriffs – zeigen sich die Konsequenzen unmittelbar. Statt einzelne Systeme isolieren zu können, müssen häufig größere Teile der Infrastruktur abgeschaltet werden. Die daraus entstehenden Kosten und Betriebsunterbrechungen übersteigen den ursprünglich notwendigen Aufwand oft deutlich.
Was Organisationen konkret tun können
Wenn man diese Perspektive einnimmt, verschiebt sich auch der Ansatz zur Verbesserung. Der zentrale Hebel liegt nicht primär in der Priorisierung einzelner Risiken, sondern im Verständnis der Entscheidungslogik, die zu ihrer Persistenz führt.
Ein pragmatischer erster Schritt besteht darin, Risiken zu identifizieren, die über mehrere Zyklen hinweg unverändert im Reporting erscheinen. Für diese Fälle sollte nicht nur die Höhe des Risikos betrachtet werden, sondern insbesondere die Frage, warum keine Umsetzung erfolgt. Bereits diese Perspektivverschiebung schafft in vielen Fällen Klarheit darüber, wo implizite Entscheidungen getroffen werden – und wo sich konkrete Ansatzpunkte zur Reduktion von Risiko und Kosten ergeben.
Fazit: Die größten Risiken sind oft die bekannten
Viele Organisationen gehen davon aus, dass ihre größten Risiken diejenigen sind, die sie nicht kennen. In der Praxis zeigt sich jedoch häufig ein anderes Bild: Die größten Risiken sind die, die bekannt sind – und dennoch bestehen bleiben.
Genau hier liegt in vielen Fällen auch der größte Hebel für eine nachhaltige Verbesserung der Sicherheits- und Kostensituation
Kontakt und Vertiefung
Wir bei der EOS unterstützen Organisationen dabei, diese Entscheidungslogiken sichtbar zu machen und gezielt zu verändern. Das zugrunde liegende EBP-Modell habe ich in der Analyse von Social Engineering entwickelt und auf Entscheidungsprozesse im Risiko- und Sicherheitsmanagement übertragen.
Wenn Sie 2–3 Risiken haben, die seit Jahren im Reporting stehen, lohnt sich ein genauer Blick.
👉 Vereinbaren Sie einen 30-min Executive Call und wir analysieren gemeinsam Ihre Situation – aus Sicherheits- und P&L-Perspektive.
Was ist Informal Risk Acceptance?
Informal Risk Acceptance beschreibt die Situation, in der Organisationen bekannte Risiken nicht bewusst akzeptieren, sondern über Zeit implizit tragen. Diese Form der Entscheidungsstabilisierung führt zu versteckten Kosten und erhöhter Risikoexposition.
Wer tiefer einsteigen möchte, findet die zugrunde liegende Analyse im folgenden Working Paper:
Reffgen, Carsten (2026): The Stability of Known Risk: Decision Stability and Informal Risk Acceptance under Normative Uncertainty
DOI: 10.2139/ssrn.6267599
Was ist das EBP Assessment der EOS?
Im von uns entwickelten Emotion-Bias-Principle (EBP) Assessment machen wir sichtbar, warum Risiken in Ihrer Organisation persistieren. Wir analysieren, wie Entscheidungen unter Unsicherheit tatsächlich getroffen werden – und identifizieren die Mechanismen, die zur stabilen Fortführung von Risiken führen.
Damit wird sichtbar, wo Risiken nicht entschieden, sondern getragen werden – und wo daraus vermeidbare Kosten entstehen.
Literatur
Kahneman, D. (2011). Thinking, fast and slow / Daniel Kahneman (1st ed.). Farrar, Straus and Giroux.
Kahneman, D., Sibony, O., & Sunstein, C. R. (2021). Noise: A flaw in human judgment. William Collins.
Lerner, J. S., Li, Y., Valdesolo, P., & Kassam, K. S. (2015). Emotion and Decision Making. Annual Review of Psychology, 66(1), 799–823. https://doi.org/10.1146/annurev-psych-010213-115043
March, J. G., & Olsen, J. P. (1989). Rediscovering institutions: The organizational basis of politics. Free press.
Reffgen, C. (2026). The Emotion-Bias-Principle (EBP) Effect Model; An Analytical Framework for Social Engineering as Decision-Making under Uncertainty. SSRN. https://doi.org/10.2139/ssrn.6139207
Reffgen, C. (2026). The Stability of Known Risk: Decision Stability and Informal Risk Acceptance under Normative Uncertainty. SSRN. https://doi.org/10.2139/ssrn.6267599
Suchman, M. C. (1995). Managing Legitimacy: Strategic and Institutional Approaches. The Academy of Management Review, 20(3), 571. https://doi.org/10.2307/258788
Thornton, P. H., Ocasio, W., & Lounsbury, M. (2012). The institutional logics perspective: A new approach to culture, structure and process. Oxford Univ. Press. https://doi.org/10.1093/acprof:oso/9780199601936.001.0001
Tversky, A., & Kahneman, D. (1974). Judgment under Uncertainty: Heuristics and Biases. Science (New York, N.Y.), 185(4157), 1124–1131. https://doi.org/10.1126/science.185.4157.1124