Bayes'sche Theorem

Es heißt, Thomas Bayes habe seine wichtigste Entdeckung nicht in einer Universität, nicht in einer königlichen Akademie und nicht einmal im Austausch mit großen Denkern seiner Zeit gemacht – sondern allein an einem stillen Abend in der Bibliothek seines Pfarrhauses. Dort saß er, ein eher unscheinbarer Geistlicher und Philosoph des 18. Jahrhunderts, der kaum jemandem außerhalb seiner Gemeinde bekannt war, über einem mathematischen Problem, das ihn nicht losließ: Wie kann man mit neuem Wissen alte Überzeugungen verbessern? Während draußen in Tunbridge Wells, einer kleinen Stadt im äußersten Westen der Grafschaft Kent nahe der Grenze zu Sussex, die Straßenlaternen flackerten und die Welt sich für diesen unscheinbaren Mann nicht im Geringsten interessierte, entwickelte Bayes eine Idee, die erst lange nach seinem Tod wie ein leiser Funke aufglühte – und schließlich zu einem der mächtigsten Werkzeuge moderner Wissenschaft und von AI-Methoden wurde.

Bayes war kein Star seiner Zeit. Er war kein Newton, kein Euler, kein Bernoulli. Er veröffentlichte kaum etwas und schien eher ein Grübler zu sein, der lieber Bücher sortierte, Logikpuzzles löste und theologische Fragen analysierte, als sich ins Rampenlicht zu stellen. Doch genau diese stille Beharrlichkeit führte ihn zu seinem berühmten Essay, der erst durch einen Freund nach seinem Tod veröffentlicht wurde. Die Welt bemerkte kaum, was für einen Schatz er hinterlassen hatte. Niemand ahnte, dass seine einfache Frage – "Wie verändert sich meine Einschätzung, wenn ich neue Informationen bekomme?" – irgendwann zu einer Säule der modernen Statistik, der ArtificialIntelligence (AI), der Wettervorhersage und der Cybersecurity werden würde.

Heute, mehr als 250 Jahre später, ist Bayes' Theorem in fast jedem Modell versteckt, das sich mit Unsicherheit beschäftigt. In Algorithmen, die Krankheiten erkennen. In Algorithmen, die Spam filtern. In Systemen, die Cyberangriffe vorhersagen. Und doch kennen erschreckend wenige Risikomanager diesen stillen presbyterianischen Pfarrer, der das Denken in Wahrscheinlichkeiten revolutionierte.

Mit diesem historischen Rückblick beginnt unsere Reise in die Welt von Bayes – und der Frage, warum sein Theorem für das Risikomanagement unverzichtbar ist, aber immer noch ein blinder Fleck in vielen Unternehmen bleibt.

Was besagt Bayes' Theorem?

Bayes' Theorem beschreibt, wie man eine bestehende Annahme über die Wahrscheinlichkeit eines Ereignisses systematisch aktualisiert, sobald neue Informationen vorliegen. Es verbindet das Vorwissen, das man über die Welt hat, mit den tatsächlichen Beobachtungen, die man macht. Der Kern der Idee lautet: Die Wahrscheinlichkeit, dass eine Hypothese stimmt, steigt oder sinkt abhängig davon, wie gut die neuen Daten diese Hypothese erklären. Damit sollte Bayes das Fundament jeder modernen evidenzbasierten Risikobewertung sein.

Mathematisch formuliert lautet das Theorem:

Dabei steht P(H) für die Anfangswahrscheinlichkeit einer Hypothese – der sogenannte Prior. P(D|H) beschreibt die Wahrscheinlichkeit, dass die beobachteten Daten auftreten, wenn die Hypothese wahr ist, also die Likelihood. Der Ausdruck P(D) steht für die generelle Wahrscheinlichkeit der Daten, unabhängig von einer bestimmten Hypothese. Und der Ausdruck P(H∣D) ist der Posterior – die aktualisierte, verbesserte Wahrscheinlichkeit der Hypothese nach Berücksichtigung der neuen Information.

Anschaulich bedeutet dies: Wir starten mit einer Vermutung, sehen dann etwas Neues und ziehen daraus eine bessere Schätzung. Genau diese Logik macht Bayes so wertvoll für alle Bereiche, in denen Unsicherheit eine Rolle spielt.

Ein einfaches Beispiel: Analyse von Cyberrisiken

Ein einfaches Beispiel aus der Risikoanalyse von Cyberrisiken verdeutlicht die Funktionsweise. Angenommen, ein Unternehmen schätzt auf Basis historischer Informationen, dass die Wahrscheinlichkeit eines Ransomware-Angriffs im kommenden Jahr bei 5 Prozent liegt (im Mittel tritt ein solches Ereignis alle 20 Jahre auf; eine Wahrscheinlichkeit pro Jahr kann als Rate einer Poisson-Verteilung interpretiert werden; λ=0,05). Dies ist der Prior. Nun veröffentlicht ein Branchenverband neue Daten, die zeigen, dass Unternehmen mit einem bestimmten veralteten VPN-Zugang doppelt so häufig angegriffen wurden. Wenn das betrachtete Unternehmen ebenfalls einen solchen Zugang nutzt, erhöhe sich die Wahrscheinlichkeit deutlich. Mithilfe des Bayes'schen Theorems lässt sich nun ausrechnen, wie stark diese neue Information die ursprüngliche Risikoeinschätzung nach oben korrigiert. Je stärker die neuen Daten die Hypothese "erhöhtes Risiko durch veraltetes VPN" unterstützen, desto größer wird der Posterior. So entsteht eine methodisch saubere, nachvollziehbare und transparente Risikoaktualisierung.

Man kann das auch als numerisches Beispiel formulieren. Wenn ein Unternehmen ursprünglich glaubte, dass die Wahrscheinlichkeit eines Ransomware-Angriffs bei 0,05 liegt, und die neuen Daten zeigen, dass die Angriffsrate bei Unternehmen mit veraltetem VPN bei 0,10 liegt, während nur 0,04 aller Unternehmen ohne dieses VPN betroffen waren, kann man die neuen Informationen über die "Likelihoods" einfließen lassen. In stark vereinfachter Form könnte die Posterior-Wahrscheinlichkeit dadurch zum Beispiel von 0,05 auf etwa 0,11 steigen. Der genaue Wert hängt von den tatsächlichen Basisraten ab, aber das Entscheidende ist: Durch Bayes wird der Sprung mathematisch begründet und transparent nachvollziehbar.

Das Bayes'sche Theorem ist damit weit mehr als eine hübsche mathematische Gleichung. Es ist die strukturierteste Form, mit Unsicherheit umzugehen, die die Statistik kennt. Es zwingt dazu, Annahmen offenzulegen, Informationen korrekt zu gewichten und Risiken nicht starr, sondern dynamisch zu betrachten – genau so, wie sich reale Cyberrisiken in einer ständig verändernden Bedrohungslandschaft verhalten. Für Risikomanager ist dies besonders wertvoll, weil man so stets eine aktuelle, datenreflektierte Sicht des Risikos erhält, die weder überreagiert noch ignoriert, was tatsächlich passiert.

Wofür kann man Bayes konkret nutzen?

Das Bayes'sche Denken ist heute nahezu überall dort relevant, wo Entscheidungen unter Unsicherheit getroffen werden. In der Medizin nutzt man es zur Interpretation diagnostischer Tests: Wie wahrscheinlich ist eine Erkrankung wirklich, wenn ein Test positiv ausfällt? In der Meteorologie hilft Bayes bei Wettermodellen, indem historische Daten über Wetterlagen mit neuen Messungen kombiniert werden. In der Finanzwelt wird Bayes zur Modellierung von Kreditrisiken verwendet, indem historische Ausfallraten (PDs) mit aktuellen Konjunkturindikatoren verschmolzen werden. Besonders stark sichtbar ist Bayes in maschinellem Lernen (ML) und bei AI-Methoden, etwa in probabilistischen Modellen wie Bayesian Networks oder Hidden Markov Models. Diese Verfahren bewerten Wahrscheinlichkeiten in komplexen Systemen und aktualisieren sie laufend mit neuen Daten.

Für Cybersecurity spielt Bayes eine zentrale Rolle bei der Anomalieerkennung. Wenn ein Server nachts plötzlich eine ungewöhnlich hohe Anzahl ausgehender Verbindungen zeigt, dann stellt sich die Frage, ob dies ein Angriff ist oder lediglich ein "normaler" Fehler in der Infrastruktur. Bayes hilft, die Wahrscheinlichkeit eines Angriffs anhand historischer Muster, Kontextdaten und neuen Events zusammenzuführen. Damit entsteht ein lernfähiges, probabilistisches Frühwarnsystem. Auch bei der Risikomodellierung in Unternehmen, etwa bei der Schätzung von Eintrittshäufigkeiten und -wahrscheinlichkeiten und Schadenshöhen, ist Bayes ein Schlüsselwerkzeug, das Unsicherheit transparent und mathematisch erfassbar macht.

Warum kennen so wenige Risikomanager Bayes?

Trotz seiner enormen Relevanz ist Bayes vielen Risikomanagern kaum vertraut. Das hat mehrere Gründe. Erstens ist Statistik für viele Menschen eine Hürde. Risikomanager kommen häufig aus betriebswirtschaftlichen oder juristischen Disziplinen (eine Ausnahme spielen hier Banken und Versicherungen) und haben in ihrer Ausbildung meist wenig Kontakt mit mathematisch anspruchsvolleren Konzepten gehabt. Viele arbeiten lieber mit Kategorien wie hoch, mittel und niedrig, statt mit Wahrscheinlichkeitsverteilungen, Posteriors oder Likelihoods. Zweitens hat das traditionelle Risikomanagement lange auf qualitative Methoden gesetzt, da es auch von offiziellen Standards (siehe etwa den BSI-Standard 200-3) favorisiert wurde: Workshops, Expertenrunden, Ampelbewertungen, qualitative Risk Maps und Checklisten. Diese Methoden sind einfach und kommunikativ angenehm, vermitteln aber oft eine trügerische Sicherheit und führen nicht selten zu einer ausgeprägten "Risikoblindheit". Drittens erfordert Bayes eine Denkweise, die akzeptiert, dass sich Einschätzungen permanent ändern müssen, sobald neue Informationen eintreffen. Manche Risikomanager empfinden dies als Schwäche, obwohl es die eigentliche Stärke des bayesianischen Ansatzes ist: Er bildet die Realität dynamischer Systeme ab, anstatt starre Werte festzuschreiben.

Hinzu kommt, dass Data Analytics in vielen Organisationen noch immer als Spezialdisziplin verstanden wird, die nur wenige Experten beherrschen. Dadurch bleibt Bayes oft jenen vorbehalten, die wie Data Scientists, Aktuare oder AI-Entwickler täglich mit mathematischen Modellen arbeiten. Für alle anderen bleibt das Theorem eine Art theoretisches Kuriosum, obwohl es gerade für sie besonders hilfreich wäre.

Die bayes'sche Logik bildet das Fundament einer ganzen Klasse moderner AI-Methoden, insbesondere überall dort, wo Entscheidungen unter Unsicherheit getroffen werden müssen. Viele Menschen verbinden "Artificial Intelligence" heute vor allem mit neuronalen Netzen oder großen Sprachmodellen (Large Language Models). Doch lange bevor "Deep Learning" populär wurde, waren Bayes-Modelle die Standardwerkzeuge der AI-Forschung. Die Grundidee: Ein System kombiniert vorhandenes Wissen ("Prior") mit neuen Beobachtungen ("Likelihood") und trifft daraus eine aktualisierte, verbesserte Einschätzung ("Posterior"). Genau das macht "intelligente" Systeme anpassungsfähig und lernfähig.

Daraus sind im Laufe der Jahrzehnte zahlreiche Modellklassen entstanden. Besonders bekannt sind Naive Bayes Klassifikatoren, die trotz ihrer Einfachheit in Bereichen wie Spam-Erkennung, Textklassifikation oder Sentiment-Analysen bemerkenswert leistungsfähig sind. In der Cybersicherheit analysieren solche Modelle beispielsweise Millionen Logdatensätze und berechnen die Wahrscheinlichkeit dafür, dass ein bestimmtes Verhaltensmuster auf einen Angriff hinweist. Das Modell berücksichtigt, wie häufig bestimmte Ereignisse historisch auftraten und passt seine Einschätzung dynamisch an neue Daten an. Ein plötzlich ungewöhnliches Login-Muster kann so in Echtzeit zu einem deutlich höheren Risiko-Score führen.

Noch mächtiger sind Bayesian Networks (Bayes'sche Netzwerke), also probabilistische Graphmodelle, die komplexe Ursache-Wirkungs-Strukturen abbilden. In einem Cyber-Kontext können sie modellieren, wie verschiedene Komponenten eines Systems voneinander abhängen. Ein Angriff auf einen Domain-Controller erhöht beispielsweise die Wahrscheinlichkeit eines Credential-Diebstahls, was wiederum die Wahrscheinlichkeit eines lateralen Bewegens im Netzwerk steigert. Viele Unternehmen nutzen solche Netzwerke, um die Resilienz ihrer IT-Landschaften zu analysieren oder "Attack Paths" zu simulieren. Der Vorteil besteht darin, dass jede Erkenntnis – zum Beispiel ein neu entdecktet Zero-Day-Exploit – im Modell als neue Information ("Evidence") aufgenommen werden kann, worauf alle risikobezogenen Wahrscheinlichkeiten automatisch aktualisiert werden.

Bayes und Artificial Intelligence

Im maschinellen Lernen (ML) spielt Bayes auch dort eine zentrale Rolle, wo Modelle Vertrauensmaße benötigen. Beim "Bayesian Deep Learning" (BDL) wird beispielsweise versucht, nicht nur eine Vorhersage zu generieren, sondern auch die Unsicherheit dieser Vorhersage mitzuliefern. Das ist besonders relevant in Situationen mit wenig Trainingsdaten, etwa bei seltenen Angriffen, Anomalien oder technischen Ausfällen. In der Praxis bedeutet das: Ein AI-System erkennt nicht nur eine potenzielle Bedrohung, sondern bewertet zugleich, wie sicher es sich seiner Einschätzung ist. Dieses Konzept der Unsicherheitsquantifizierung wird heute in autonomen Fahrzeugen, medizinischer Diagnostik und hochkritischen Überwachungssystemen eingesetzt – und gewinnt auch im Management von Cyberrisiken zunehmend an Bedeutung.

Auch in weiteren unsicheren Systemen, etwa in Energieinfrastrukturen, ermöglichen bayes'sche Methoden Vorhersagen trotz unvollständiger Informationen. So kann ein "Security Operations Center" mithilfe von Bayes-Regeln die Wahrscheinlichkeit verschiedener Angriffsursachen bewerten, wenn nur Fragmente von Logfiles oder Telemetriedaten vorliegen. Ein Beispiel wäre ein schleichender Angriff, bei dem zunächst nur minimale Abweichungen von normalen Mustern erkennbar sind. Das Bayesian Updating (Bayes'sche Aktualisierung) erlaubt es, aus diesen schwachen Signalen allmählich ein immer klareres Bild zu erzeugen, während gleichzeitig berücksichtigt wird, dass manche Hinweise fehlerhaft oder zufällig sein können.

Bayes ist also kein Relikt aus der mathematischen Vergangenheit, sondern das Fundament eines modernen, probabilistischen Verständnisses von AI, maschinellem Lernen und Risikoanalysen jenseits von "qualitativen Voodoo-Methoden". Die Stärke liegt darin, dass nicht absolute Wahrheiten benötigt werden, sondern dass Systeme auch in unvollständigen, verrauschten und dynamischen Umgebungen zuverlässig lernen können.

Fazit: Ein mächtiges Werkzeug im Umgang mit Unsicherheit

Bayes' Theorem ist eines der mächtigsten Werkzeuge, um mit Unsicherheit umzugehen. Es ist auf der einen Seite so einfach zu verstehen, um es in wenigen Zeilen zu erklären, und es ist auf der anderen Seite zugleich tiefgründig genug, um das Fundament vieler moderner AI-, Data-Analytics- und Risikoanalysemethoden zu bilden. Dass es dennoch im traditionellen Risikomanagement eine Randrolle spielt, liegt weniger an seiner Komplexität als an einer gewissen Trägheit im Umgang mit mathematischen Konzepten und an der Bequemlichkeit qualitativer Methoden. Wer jedoch einmal verstanden hat, wie elegant Bayes Unsicherheiten beschreibt und wie präzise es Erkenntnisse aktualisiert, wird schwerlich wieder darauf verzichten wollen.

Und gerade hier liegt die eigentliche Chance: In einer Welt voller dynamischer, volatiler und systemischer Risiken – seien es Cyberangriffe, Supply-Chain-Risiken oder geopolitischer Krisen – reicht es nicht mehr, Risiken in starre Ampelfarben zu zwingen. Qualitative Risikomatrizen vermitteln eine trügerische Ordnung, wo in Wahrheit Unsicherheit herrscht. Sie sind eine "Beruhigungspille", statt zu erklären. Und sie fördern systematische Risikoblindheit, wie uns die Praxis beweist (siehe Carillion, Silicon Valley Bank, Greensill Capital, BayWa, FTX, Northvolt, BER etc.). Bayes dagegen holt die Unsicherheit an die Oberfläche und macht sie beherrschbar. Es zwingt uns, explizit über unsere Annahmen nachzudenken und diese anschließend Schritt für Schritt an die Realität anzupassen. Damit liefert es genau das, was modernes Risikomanagement braucht: ein lernendes, evidenzbasiertes, kontinuierlich aktualisiertes Verständnis von Risiken.

Es ist faszinierend, dass diese Methode ausgerechnet zurückgeht auf einen Nonkonformisten aus dem 18. Jahrhundert, der sich still und beharrlich gegen die damaligen Gewissheiten stellte. Bayes verstand Mathematik als geistige Übung. Sein Vater, Reverend Joshua Bayes, war ein prominenter nonkonformistischer protestantischer Prediger, der zu den ersten Geistlichen gehörte, die in England nach dem "Toleration Act" offiziell ordiniert wurden und den Weg für religiöse Freiheit jenseits der anglikanischen Staatskirche ebnete. Diese intellektuelle und zugleich vom freien Denken geprägte Umgebung beeinflusste Thomas Bayes tief: Er lernte früh, Autoritäten zu hinterfragen, unkonventionelle Denkwege zu gehen und Probleme analytisch aus verschiedenen Perspektiven zu betrachten. Sein Theorem war damals ein gedanklicher Befreiungsschlag.

Und auch heute ist das Potenzial enorm. Mit Bayes lassen sich neue Informationen in Echtzeit einbeziehen, Wahrscheinlichkeiten nachjustieren und unvollständige Daten dennoch sinnvoll nutzen. Cyberrisiken, die sich täglich verändern, können so modelliert werden, wie sie wirklich sind – nicht statisch, sondern dynamisch. Szenarien, die früher rein qualitativ bewertet wurden, können nun mit Wahrscheinlichkeitsverteilungen hinterlegt werden. Entscheidungen, die früher auf Bauchgefühl beruhten, können endlich transparent, nachvollziehbar und quantifizierbar getroffen werden.

Das ist der Moment, in dem Risikomanager sich entscheiden müssen, welchen Weg sie gehen wollen. Entweder verharren sie im Komfort bunter und nichtssagender Heatmaps – oder sie wagen den Schritt in eine methodisch anspruchsvollere, aber deutlich realitätsnähere Welt. Eine Welt, die nicht mehr so tut, als ließe sich Unsicherheit wegmoderieren, sondern sie ernst nimmt und systematisch einbezieht. Bayes ist kein Allheilmittel. Aber es ist eines der schärfsten Werkzeuge, die wir besitzen, um Unsicherheit nicht nur zu messen, sondern zu verstehen.

Es liegt an den Risikomanagern selbst, ob sie den Mut finden, das zu nutzen. Bayes hat uns das Werkzeug gegeben – wir müssen nur endlich anfangen, es zu verwenden.