Die Schätzung von IT-bezogenen Risiken ist eine grundlegende Aktivität, die risikobasierte Entscheidungen unterstützt wie Anforderungspriorisierung, risikobasiertes Testen und Risikomanagement. Eine Reihe von acht Experimenten zeigte auf, wie die quantitative Risikoschätzung unterstützt und verbessert werden kann: Welche Informationen brauchen die Schätzer? Welche Qualität muss das Workshop-Material haben? Welche Metriken eignen sich am besten, um Wahrscheinlichkeit und Schaden zu quantifizieren? Wie stellt man die Risiken am besten dar? Wie beeinflussen Erfahrung und Alter sowie die Diskussion in der Gruppe die Ergebnisse? Und was folgt letztlich aus diesen Forschungsergebnissen für die Praxis?