Es gibt Szenen, in denen ein ganzer Denker in wenigen Minuten sichtbar wird. Es gibt Szenen, in denen ein ganzer Denker in wenigen Minuten sichtbar wird. Eine solche Szene spielte sich um 1950 vor den amerikanischen Ökonomen ab, als Frank Hyneman Knight – damals Präsident der American Economic Association – mit scharfer Ironie gegen staatliche Preisfestsetzungen und die Illusion planbarer Marktsteuerung argumentierte. Der Ton war scharf, der Witz trocken, die Botschaft unerbittlich: Wer Preise unter das Marktniveau drückt, erzeugt Knappheit; wer sie darüber fixiert, erzeugt Überschüsse. Knight spottete darüber, dass Öffentlichkeit und Politik dann überrascht auf Mangel und Überfluss starrten, als handele es sich um geheimnisvolle Phänomene und nicht um Folgen der eigenen Eingriffe. Das war nicht nur ökonomische Polemik. Es war ein Charakterbild: Knight misstraute jeder Denkweise, die so tat, als ließe sich die Welt glatter, eindeutiger und berechenbarer machen, als sie tatsächlich ist.
Ein Philosoph unter Ökonomen
Genau aus diesem Misstrauen gegenüber scheinbarer Sicherheit speist sich auch der Kern seines bekanntesten Beitrags. Frank Hyneman Knight, 1885 in Illinois geboren, erhielt seine Ausbildung am Milligan College und an der University of Tennessee, promovierte an der Cornell University und lehrte später an der University of Iowa, bevor er an der University of Chicago zu einer prägenden Figur der Chicagoer Ökonomie wurde. Zu seinen Schülern zählten später unter anderem Milton Friedman, einer der einflussreichsten Ökonomen des 20. Jahrhunderts, George Stigler, Ökonom und Nobelpreisträger, sowie James Buchanan, Ökonom und Mitbegründer der Public-Choice-Theorie. Berühmt wurde er vor allem durch sein Buch "Risk, Uncertainty and Profit" von 1921. Dort führte er eine Unterscheidung ein, die bis heute in Ökonomie, Unternehmenssteuerung und Risikomanagement nachwirkt: die Unterscheidung zwischen Risiko und Ungewissheit.
Knight war nie nur ein enger Fachökonom. Seine frühe philosophische Schulung und sein dauerhafter Skeptizismus gegenüber großen theoretischen Vereinfachungen erklären, warum seine Texte oft weniger wie technische Lehrstücke als wie begriffliche Operationen wirken. Er wollte nicht bloß rechnen, sondern unterscheiden. Seine zentrale Frage lautete: Was genau meinen wir eigentlich, wenn wir von Unsicherheit sprechen? Und was darf man mit dieser Unsicherheit mathematisch anfangen?
Gerade darin lag seine intellektuelle Stärke. Viele Autoren vor ihm hatten mit Wahrscheinlichkeiten, Gefahren und unternehmerischen Chancen gearbeitet. Knight aber bestand darauf, dass man zwei sehr unterschiedliche Lagen nicht in denselben Topf werfen dürfe. Es gibt Situationen, in denen wir Wahrscheinlichkeiten vernünftig angeben können. Und es gibt Situationen, in denen genau das gerade nicht geht. Wer beides verwechselt, produziert zwar Zahlen, aber noch keine Erkenntnis.
Was Knight unter Risiko verstand
Risiko war für Knight die kalkulierbare Seite der Unsicherheit. Gemeint sind Situationen, in denen die möglichen Ausgänge zwar offen sind, ihre Wahrscheinlichkeiten aber bekannt oder zumindest mit brauchbarer Stabilität schätzbar sind. Solche Lagen lassen sich mit statistischen und auch versicherungsmathematischen Methoden vergleichsweise gut bearbeiten: Man kann Wahrscheinlichkeiten schätzen, Erwartungswerte berechnen, Rückstellungen oder Sicherheitsmargen ableiten und auf dieser Grundlage Preise, Reserven oder Maßnahmen dimensionieren. In diesem Sinn ist Risiko eine Form von Unsicherheit, die durch Daten, Erfahrung und hinreichend stabile Regelmäßigkeiten zumindest näherungsweise quantifizierbar wird.
Ein klassisches Beispiel ist der Feuer- oder Kfz-Schaden in einem großen Versicherungsbestand. Der einzelne Schadenfall bleibt ungewiss, doch im Kollektiv zeigen sich belastbare Häufigkeiten und Schadendurchschnitte. Gerade weil viele vergleichbare Fälle vorliegen, lassen sich Wahrscheinlichkeiten, Erwartungswerte und Kapitalbedarfe sinnvoll modellieren.
Ähnlich verhält es sich in der Industrie oder in anderen Branchen, wenn wiederkehrende Risikoszenarien bewertet werden: etwa die Ausfallwahrscheinlichkeit einer standardisierten Maschinenkomponente, die Häufigkeit bestimmter Qualitätsmängel in einem Serienprozess oder die Eintrittswahrscheinlichkeit klar definierter Störungen in einer Lieferkette. Auch hier bleibt das einzelne Ereignis offen, doch über viele vergleichbare Beobachtungen hinweg entstehen statistische Muster, auf deren Basis man Schadenerwartungen, Sicherheitsbestände, Wartungsintervalle oder Risikopuffer festlegen kann. Risiko ist damit nicht die Abwesenheit von Unsicherheit, sondern ihre statistisch disziplinierte und methodisch bearbeitbare Form.
Was Knight unter Ungewissheit verstand
Ungewissheit im engeren, knightianischen Sinn beginnt dort, wo die statistische Disziplinierung der Zukunft nicht mehr trägt. In solchen Situationen fehlen nicht nur sichere Ergebnisse, sondern bereits belastbare Wahrscheinlichkeiten für die möglichen Zustände der Welt. Man weiß also nicht bloß nicht, was eintreten wird; man weiß oft nicht einmal, welche Zustände sinnvoll unterschieden werden sollten und mit welcher Verteilung sich ihre Eintrittschancen überhaupt beschreiben ließen. Gerade deshalb lässt sich unter echter Ungewissheit kein tragfähiger Erwartungswert angeben. Die Zukunft erscheint dann nicht als berechenbare Lotterie, sondern als strukturell offene Lage.
In diese Zone fallen auch jene seltenen, folgenreichen und im Nachhinein oft vorschnell "erklärten" Ereignisse, die später als "Black Swans" bezeichnet wurden: nicht einfach unwahrscheinliche Ausprägungen eines bekannten Modells, sondern Ereignisse, die außerhalb des gewohnten Erwartungsraums liegen und gerade deshalb von bestehenden Kategorien, Datenreihen und Modellen nur unzureichend erfasst werden.
Das hat eine weitreichende Konsequenz. Wenn unternehmerische Entscheidungen in einer Welt getroffen werden, in der sich nicht alle relevanten Zukünfte in bekannte Wahrscheinlichkeiten übersetzen lassen, dann ist Gewinn für Knight nicht bloß die Vergütung von Kapital oder Arbeit. Er ist auch die Prämie dafür, unter nicht versicherbarer Ungewissheit urteilen und handeln zu müssen. Der Unternehmer ist damit nicht einfach ein Optimierer unter gegebenen Verteilungen, sondern jemand, der in eine Zukunft hinein entscheidet, deren Struktur selbst nur unvollständig erkennbar ist.
Ein konkretes Beispiel: Cyberangriff, Quantencomputer
Die begriffliche Differenz lässt sich an einem konkreten Beispiel aus dem Bereich Cyber- und Technologierisiken besonders gut zeigen. Stellen wir uns ein Unternehmen vor, das eine zentrale Kundenplattform in eine neue Cloud-Architektur migriert, dabei auf mehrere externe Dienstleister angewiesen ist und zugleich mit neuen Angriffsvektoren konfrontiert wird – etwa AI-gestütztem Phishing, neuartigen Angriffen auf Identitäts- und Zugriffsmanagement oder, perspektivisch, kryptographischen Risiken durch leistungsfähige Quantencomputer. Auf den ersten Blick könnte man all dies unter dem Sammelbegriff "Unsicherheit" zusammenfassen. Bei genauerem Hinsehen liegen jedoch sehr unterschiedliche Erkenntnislagen vor.
Für wiederkehrende und hinreichend gut beobachtbare Phänomene kann man oft von Risiko im engeren Sinn sprechen: etwa bei der Häufigkeit bestimmter Phishing-Versuche, bei typischen Fehlkonfigurationen in Standard-Cloud-Umgebungen, bei bekannten Ausfallraten technischer Komponenten oder bei der durchschnittlichen Dauer standardisierter Serviceunterbrechungen. Hier liegen genügend Erfahrungswerte vor, um Wahrscheinlichkeiten, Verteilungen und Erwartungswerte zumindest näherungsweise zu schätzen.
Anders verhält es sich bei völlig neu entstehenden Bedrohungsszenarien, in denen nicht nur der Eintritt offen ist, sondern bereits die Struktur des Problems unscharf bleibt. Das gilt etwa für die Frage, ob neue AI-gestützte Angriffsformen, bislang unbekannte Schwachstellen in komplexen Cloud-Abhängigkeiten oder künftig praktisch einsetzbare Quantencomputer bestehende Sicherheitsarchitekturen in einer Weise unterlaufen, die heutige Modelle systematisch überfordert. In solchen Fällen ist nicht bloß unklar, ob ein Schaden eintritt, sondern oft schon, welche Szenarien überhaupt die relevanten sind, welche Wirkungszusammenhänge dominieren und ob sich dafür belastbare Wahrscheinlichkeiten angeben lassen. Genau hier beginnt echte knightianische Ungewissheit.
Risiko, Unsicherheit und Ungewissheit im Vergleich
Die Praxis verwendet diese Begriffe häufig unscharf. Gerade deshalb ist eine systematische Gegenüberstellung hilfreich. In der folgenden Tabelle wird derselbe Unternehmenskontext – eine Cloud-Migration mit Cyber- und Lieferkettenbezug – unter drei verschiedenen erkenntnistheoretischen Blickwinkeln gelesen.
| Begriff | Was ist bekannt? | Sind Wahrscheinlichkeiten belastbar? | Beispiel | Geeignete Methode |
|---|---|---|---|---|
| Unsicherheit (allgemeiner Oberbegriff) | Die Zukunft ist offen; nicht alle relevanten Informationen liegen vor. | Nicht automatisch. Unsicherheit sagt zunächst nur, dass der Ausgang offen ist. | Unklar ist insgesamt, wie sich eine Cloud-Migration, neue Angriffsvektoren, regulatorische Anforderungen und Drittanbieterabhängigkeiten gemeinsam entwickeln. | Strukturierung des Problems, Begriffsarbeit, Abgrenzung von Datenlage und Annahmen |
| Risiko (kalkulierbare Unsicherheit) | Mögliche Ausgänge und ihre Häufigkeiten sind aus Erfahrung oder Daten näherungsweise beschreibbar. | Ja, zumindest näherungsweise; Erwartungswerte, Verteilungen oder Intervalle sind sinnvoll. | Historische Häufigkeit bestimmter Phishing-Angriffe, typische Fehlkonfigurationen in Standard-Cloud-Umgebungen, bekannte Ausfallraten technischer Komponenten oder die durchschnittliche Dauer standardisierter Serviceunterbrechungen. | Statistische Modelle, Frequenzanalysen, Verlustverteilungen, Stochastische Simulationen, Limits |
| Ungewissheit (Knightian uncertainty) | Es ist unklar, welche Zustände überhaupt relevant werden und welches Modell angemessen wäre. | Nein, nicht in belastbarer Form; ein sauberer Erwartungswert wäre oft Scheingenauigkeit. | Ob neue AI-gestützte Angriffsvektoren, bislang unbekannte Schwachstellen in komplexen Cloud-Abhängigkeiten oder künftig praktisch einsetzbare Quantencomputer bestehende Sicherheitsarchitekturen in einer Weise unterlaufen, die heutige Modelle systematisch überfordert. | (Deterministische) Szenarioanalyse, Bow-Tie-Analyse, diverse Kreativitätsmethoden, BCM und Notfallmanagement, Frühwarnsysteme |
Tab. 01: Risiko, Unsicherheit und Ungewissheit im Vergleich
Knight im heutigen Risikomanagement
Für die heutige Risikopraxis ergibt sich daraus eine nüchterne Lehre: Wo belastbare Wahrscheinlichkeitsmodelle tragfähig sind, sollten sie konsequent genutzt werden. Wo jedoch knightianische Ungewissheit vorliegt, stoßen statistische Verfahren an prinzipielle Grenzen. Dann genügt es nicht, Eintrittswahrscheinlichkeiten und Erwartungswerte zu berechnen. Erforderlich sind ergänzend Szenarioanalysen, strukturierte Expertenurteile, Kreativitätsmethoden zur Identifikation neuartiger Entwicklungspfade, Notfallmanagement, Business Continuity Management (BCM) sowie die ausdrückliche Benennung von Modellgrenzen und blinden Flecken. Genau hier treffen sich Knight und modernes Risikomanagement: Nicht jede offene Zukunft lässt sich probabilistisch modellieren; manche Probleme bleiben im Kern Urteils-, Strukturierungs- und Resilienzprobleme.
Gerade in der Praxis des Risikomanagements werden die Begrifflichkeiten jedoch oft nicht sauber verwendet. Häufig wird schon jede Bedrohung, jedes Schlagwort oder jeder allgemeine Trend als "Risiko" bezeichnet, obwohl damit zunächst nur eine Quelle möglicher Störungen benannt ist. Knight würde gerade an dieser Stelle auf begriffliche Präzision drängen: Ein Risiko ist nicht identisch mit einer bloßen Gefahr oder Bedrohung, sondern setzt einen konkreten Bezug zu einem betroffenen Objekt, einem Prozess, einem Ziel oder einem Schaden voraus.
Das zeigt sich besonders deutlich im Bereich der Cyberrisiken. In vielen Organisationen – und leider auch in manchem Standard der Informationssicherheit – werden Threats, also Bedrohungen wie Ransomware, Phishing oder Insider-Angriffe, mit konkreten Risiken verwechselt. "Ransomware" ist aber zunächst noch kein vollständiges Risiko, sondern nur eine Bedrohungskategorie. Ein konkretes Risiko wäre erst präziser beschrieben: etwa, dass durch eine Ransomware-Infektion des Identitätsmanagements der Rechnungsstellungsprozess für fünf Tage ausfällt und dadurch Liquiditäts-, Vertrags- und Reputationsschäden entstehen.
Eine gute methodische Hilfe bietet hier die Bow-Tie-Analyse. Sie zwingt dazu, Bedrohungen, Ursachen, das eigentliche Top Event und die Folgen klar voneinander zu trennen. Im vorliegenden Zusammenhang sollte das Top Event nicht bereits eine Bedrohung wie "Ransomware" oder "kompromittierte privilegierte Identitäten" sein, sondern die Störung oder der Ausfall eines kritischen Geschäftsprozesses – etwa des Rechnungsstellungsprozesses. Links davon liegen die Ursachen und Bedrohungen, die zu diesem Prozessausfall führen können: beispielsweise Phishing, der Missbrauch privilegierter Konten, Schwächen in der Mehrfaktor-Authentisierung, Fehlkonfigurationen in der Cloud oder Ausfälle eines Drittanbieters. Rechts davon liegen die konkreten Folgen des Top Events: verzögerte oder ausbleibende Rechnungsstellung, Liquiditätsbelastungen, Vertragsstrafen, regulatorische Konsequenzen, manuelle Notfallbearbeitung, Reputationsschäden und gegebenenfalls Folgestörungen in weiteren Prozessen. Erst durch diese saubere Struktur wird aus einer allgemeinen Cyberbedrohung ein klar beschriebenes, analysierbares Risiko für das Unternehmen.
Anders formuliert: Knight lehrt Demut und begriffliche Hygiene zugleich. Er war kein Feind des Rechnens. Aber er war ein Feind der stillen Täuschung, dass jede Zukunft sich schon dann beherrschen lasse, wenn man ihr ein Zahlenkleid anzieht. Risiko ist berechenbar. Ungewissheit ist es gerade nicht. Wer diese Differenz verwischt, erzeugt nicht mehr Kontrolle, sondern nur eleganteres Selbstmissverständnis.
Fazit und Ausblick
Frank Hyneman Knights bleibende Leistung liegt nicht nur in einer begrifflichen Unterscheidung, sondern in einer intellektuellen Warnung, die für das heutige Risikomanagement kaum aktueller sein könnte. Wer Risiko und Ungewissheit verwechselt, überschätzt leicht die Reichweite von Modellen, Kennzahlen und Wahrscheinlichkeitsrechnungen. Gerade darin liegt die anhaltende Schärfe seines Denkens: Nicht jede offene Zukunft ist bereits deshalb ein Risiko, weil man ihr eine Zahl zuordnet. Manche Zukünfte lassen sich tatsächlich mit brauchbarer Stabilität modellieren; andere entziehen sich genau dieser Form der Beherrschbarkeit. Sie verlangen nicht nach immer raffinierterer Scheingenauigkeit, sondern nach Urteilsvermögen, Szenariodenken und methodischer Bescheidenheit.
Für die Praxis bedeutet das: Gutes Risikomanagement beginnt nicht mit dem Reflex, überall sofort Eintrittswahrscheinlichkeiten und Erwartungswerte zu produzieren. Es beginnt mit der Frage, welcher Art die vorliegende Unsicherheit überhaupt ist. Handelt es sich um ein wiederkehrendes, statistisch einigermaßen stabiles Phänomen? Dann sind Wahrscheinlichkeitsmodelle, Verteilungen und quantitative Verfahren sinnvoll und notwendig. Handelt es sich dagegen um eine neuartige, strukturell offene oder stark vernetzte Lage, dann stößt die Sprache des klassischen Risikos schnell an ihre Grenzen. Dann braucht es ergänzend robuste Entscheidungsregeln, qualitative Strukturierung, Expertenschätzungen, Bow-Tie-Analysen, Stresstests und Resilienzüberlegungen.
Gerade im modernen Unternehmenskontext gewinnt diese Unterscheidung weiter an Bedeutung. Geopolitische Spannungen, technologische Sprünge, regulatorische Brüche, Cyberangriffe, Projektabbrüche, Reputationsschäden oder systemische Lieferkettenstörungen enthalten zwar oft Teilaspekte, die statistisch modellierbar sind, ihr Gesamtcharakter bleibt jedoch vielfach von knightianischer Ungewissheit geprägt. Das spricht nicht gegen Quantifizierung, wohl aber gegen die Illusion, jede relevante Zukunft lasse sich in eine glatte Zahl verwandeln. Die eigentliche Qualität einer Risikoanalyse zeigt sich dann nicht in der Eleganz des Modells allein, sondern in der Fähigkeit, dessen Geltungsbereich und Grenzen offen zu benennen.
Der Ausblick fällt deshalb doppelt aus. Einerseits wird die Bedeutung quantitativer Methoden weiter wachsen. Fortschritte in Datenanalyse, Simulation, AI-gestützter Mustererkennung und Echtzeitüberwachung erweitern die Reichweite dessen, was als Risiko im engeren Sinn modelliert werden kann. Andererseits wächst mit der Komplexität der Systeme auch die Zone echter Ungewissheit. Je stärker Organisationen vernetzt, digitalisiert und von externen Schocks abhängig werden, desto wichtiger wird die Fähigkeit, zwischen berechenbarem Risiko und struktureller Offenheit zu unterscheiden. Genau an dieser Grenze entscheidet sich, ob Risikomanagement zu einem Instrument realistischer Steuerung wird – oder zu einer bloß formalen Kultur der Zahlenberuhigung.
Knight erinnert damit an etwas, das in vielen Managementdiskursen leicht verloren geht: Nicht Kontrolle ist der höchste Grad von Rationalität, sondern die nüchterne Einsicht in die Reichweite und Begrenztheit der eigenen Modelle. Ein reifes Risikomanagement erkennt an, dass manche Probleme berechnet, andere aber vor allem strukturiert, beobachtet und mit Vorsicht behandelt werden müssen. In dieser Hinsicht ist Knights Unterscheidung kein historisches Lehrstück, sondern eine methodische Leitplanke für die Gegenwart. Sie schützt vor dem Irrtum, dass jede Zahl schon Erkenntnis sei – und eröffnet zugleich den Blick auf ein anspruchsvolleres Verständnis von Urteilskraft unter Unsicherheit.
Quellenverzeichnis sowie weiterführende Literaturhinweise
- Knight, Frank Hyneman (1921): Risk, Uncertainty and Profit. Houghton Mifflin, Boston/New York 1921.
- Knight, Frank Hyneman (1935): The Ethics of Competition and Other Essays, Harper & Brothers, New York 1935.
- Knight, Frank Hyneman (1960): Intelligence and Democratic Action, Harvard University Press, Cambridge, MA 1060.
- Emmett, Ross B. (2009): Frank Knight and the Chicago School in American Economics, Routledge, London/New York 2009.
- Brooke, Geoffrey T. F. (2010): Uncertainty, Profit and Entrepreneurial Action: Frank Knight’s Contribution Reconsidered, in: Journal of the History of Economic Thought , Volume 32 , Issue 2 , June 2010 , pp. 221-235, DOI: https://doi.org/10.1017/S1053837210000179
