Wahrscheinliche Irrtümer – Alternative Risikoformel

Risiken und Wahrscheinlichkeiten haben eine Menge gemeinsam – allem voran, dass Menschen sie meist nicht objektiv wahrnehmen. Wenn beim Münzwurf schon fünfmal "Zahl" gefallen ist, müsste intuitiv die Wahrscheinlichkeit für ein weiteres Mal "Zahl" beim sechsten Wurf doch sinken, oder? Tut sie aber nicht – die Chancen sind erneut 50:50. Etwas anderes ist es natürlich, wenn wir vor dem ersten Wurf fragen, wie wahrscheinlich es ist, in der Zukunft gleich sechsmal nacheinander "Zahl" zu werfen (übrigens immer noch gut 1,5 %). Stellen wir die Frage nach dem sechsten Ergebnis aber erst nach dem fünften Münzwurf, ist das von der Vorgeschichte völlig unabhängig und die Antwort lautet weiterhin 50 % – die Münze hat schließlich kein Gedächtnis.

Doch auch umgekehrt machen Abhängigkeiten bei der Wahrscheinlichkeit den Menschen das Leben schwer. Betrachtet man beispielsweise eine Anlage, die – vielleicht per Gesichtserkennung – am Nebeneingang zum Parkplatz automatisch den Zutritt zu einem Firmengelände regeln soll, so schaut man üblicherweise auf die Zahlen zur "Fehlakzeptanz" (False Acceptance Rate, FAR) und "Fehlabweisung" (False Rejection Rate, FRR). Diese Qualitätskriterien beschreiben, mit welcher Wahrscheinlichkeit das System einen Unberechtigten einlässt (FAR) beziehungsweise wie häufig man nicht reinkommt, obwohl man das eigentlich dürfte (FRR).

Nehmen wir als Beispiel eine nicht so gute und vermutlich recht billige Lösung (es geht ja nur um den Parkplatz), die eine Fehlakzeptanzrate von 10 % und eine Fehlrückweisungsrate von 5 % hat. Um das Sicherheitsrisiko erträglich zu halten, speichert das System die Bilder von Menschen, die nicht als berechtigt erkannt werden, und gibt einen Alarm an die Security am Haupttor. Wie groß ist hier nun der Anteil der Fehlalarme?

Wer auf 5 % tippt, liegt kräftig daneben, denn diese Zahl beschreibt nur die Fehlalarmchance bei einem einzelnen Zutrittsversuch eines Berechtigten. Fragt man nach dem (statistischen) Anteil aller Fehlalarme, spielt auch das Verhältnis berechtigter und unberechtigter Zutrittsversuche eine wichtige Rolle – man muss eine so genannte bedingte Wahrscheinlichkeiten errechnen und dazu die Zahl der "echten" Alarme (in 90 % aller Missbrauchsfälle) mit der Zahl aller Alarmauslösungen ins Verhältnis setzen, für die zusätzlich die 5 % Fehlalarme aller berechtigten Zutrittsversuche zu berücksichtigen sind.

Zutrittsversuche durch Unberechtigte umfassen neben mutmaßlichen Industriespionen und Autodieben beispielsweise auch Schülerstreiche und Lieferanten, die womöglich nur ihren Weg abkürzen wollen, oder neue Mitarbeiter, die das System noch nicht kennt. Nimmt man an (oder weiß aus Erfahrung), dass 1 % aller Zutrittsversuche aus Systemsicht tatsächlich "unberechtigt" sind, ergibt die richtige mathematische Formel eine allgemeine Fehlalarmquote von fast 85 % – nur 15,4 % aller Alarmauslösungen werden dann tatsächlich durch den Zutrittsversuch eines Unberechtigten verursacht.

Wer bei der Risikobewertung für das Zutrittskontrollsystem im Beispiel nur mit der klassischen Formel "Schadenshöhe mal Eintrittswahrscheinlichkeit" arbeitet, kommt vermutlich zu anderen Schlussfolgerungen als jemand, dem die genannten Zahlen zur Verfügung stehen. Über die dahinter liegende (recht einfache) Mathematik und eine dynamische Risikobewertung berichtet die Fachzeitschrift in ihrer aktuellen Ausgabe 2014#3 – über www.kes.info/aktuell/leseprobe2.html ist der bewusste Beitrag derzeit auch frei zugänglich.