Die Einschätzung der Cyber Academy
EBIOS Risk Manager ist die Cyber-Risiko-Methode von ANSSI mit Fokus auf strategische Angriffsszenarien. Sie ordnet Geschäftsprozesse den Zielen von Angreifern zu und leitet daraus die technischen Kontrollen ab. Im französischen öffentlichen Sektor und bei Betreibern kritischer Infrastrukturen ist sie Standard. Für das Board eignet sie sich hervorragend, um zu zeigen, WARUM ein bestimmtes Szenario relevant ist; in multinationalen Privatsektor-Audits ist sie weniger verbreitet.
Was EBIOS Risk Manager tatsächlich leistet
EBIOS Risk Manager ist die Methode zur Bewertung von Cyberrisiken, die von ANSSI, der französischen nationalen Cybersicherheitsbehörde, gepflegt wird. Ihr prägendes Merkmal ist, beim Angreifer anzusetzen und nicht bei einer Liste von Werten. Anstatt jeden Server zu katalogisieren und zu fragen, was bei jedem einzelnen schiefgehen könnte, fragt die Methode, wer der Organisation schaden wollte, was er erreichen möchte und welche Geschäftsmissionen er dafür ins Visier nehmen würde. Die technischen Maßnahmen kommen zuletzt und werden aus den Szenarien abgeleitet, statt den Ausgangspunkt zu bilden.
Diese umgekehrte Logik macht EBIOS RM vor einem Vorstand nützlich. Ein klassisches, von unten nach oben aufgebautes Risikoregister erzeugt Hunderte von Einträgen, die für Führungskräfte kaum Bedeutung haben. EBIOS RM erzeugt eine Handvoll strategischer Szenarien, etwa einen staatlich geförderten Akteur, der einen kritischen Dienst stört, oder einen Wettbewerber, der Konstruktionsdaten exfiltriert, jeweils an eine konkrete Geschäftsmission gebunden. Diese Einordnung beantwortet die Frage, die Führungskräfte tatsächlich stellen: Warum betrifft uns diese konkrete Bedrohung, und was würde sie uns kosten, wenn sie einträte.
Die fünf Workshops
EBIOS RM ist als Abfolge von Workshops strukturiert, von denen jeder auf dem vorherigen aufbaut. Die Methode ist bewusst kooperativ: Sie bringt Fachverantwortliche, Risikospezialisten und Sicherheitsteams in denselben Raum, statt die Analyse einem einzelnen Analysten zu überlassen.
- Geltungsbereich und Sicherheitsbasis. Den geschäftlichen und technischen Perimeter definieren, die Missionen und befürchteten Ereignisse identifizieren und die bestehende Sicherheitsbasis gegen das Erwartete bewerten.
- Risikoquellen. Die Risikoquellen und ihre angestrebten Ziele identifizieren, die Paarung aus wer angreifen könnte und was er will, und anschließend die relevantesten priorisieren.
- Strategische Szenarien. Das Ökosystem aus Partnern, Lieferanten und Stakeholdern abbilden, bewerten, wie ein Angreifer die Organisation über sie erreichen könnte, und übergeordnete Angriffspfade aufbauen.
- Operative Szenarien. Die strategischen Szenarien in konkrete technische Angriffssequenzen übersetzen und beschreiben, wie sich ein Angreifer tatsächlich durch die Systeme bewegen würde.
- Risikobehandlung. Die Sicherheitsmaßnahmen festlegen, den Behandlungsplan erstellen und das Restrisiko dokumentieren, das die Leitung formell akzeptiert.
Wo sie passt und wo nicht
EBIOS RM ist die Standardmethode im französischen öffentlichen Sektor und bei Betreibern von vitaler Bedeutung, wo die regulatorischen Erwartungen auf die Leitlinien der ANSSI verweisen. Sie wird auch in französischsprachigen Organisationen breit gelehrt und eingesetzt. Außerhalb dieses Kontexts, bei multinationalen Audits im Privatsektor, werden Sie weitaus eher ISO 27005 antreffen, die internationale Norm für das Management von Informationssicherheitsrisiken, die per Konzeption methodenunabhängig ist.
Die beiden sind eher komplementär als konkurrierend. ISO 27005 beschreibt einen generischen Risikomanagementprozess, der mit ISO 27001 und ISO 31000 abgestimmt ist, schreibt aber keine einzelne Technik vor. EBIOS RM ist eine konkrete, anerkannte Art, diesen Prozess durchzuführen, und ANSSI positioniert sie als kompatibel mit dem ISO-Ansatz. Ein Team kann EBIOS-RM-Workshops durchführen und die Ergebnisse dennoch in ISO-27005-Begriffen berichten.
| Aspekt | EBIOS Risk Manager | ISO 27005 |
|---|---|---|
| Ursprung | ANSSI (Frankreich) | Internationale ISO/IEC-Norm |
| Charakter | Vorschreibende Methode mit definierten Workshops | Methodenunabhängige Leitlinien für das Risikomanagement |
| Ausgangspunkt | Angreiferziele und Geschäftsmissionen | Werte, Bedrohungen und Schwachstellen |
| Typischer Kontext | Französischer öffentlicher Sektor, Betreiber von vitaler Bedeutung | Internationale ISMS-Audits im Privatsektor |
In der Praxis signalisiert die Kenntnis von EBIOS RM Vertrautheit mit dem ANSSI-Ökosystem, und die Kenntnis von ISO 27005 signalisiert Vertrautheit mit der Welt der internationalen Normen. Risikofachleute, die über europäische und französische Märkte hinweg arbeiten, profitieren davon, beide zu verstehen, denn die Methode, zu der man greift, hängt davon ab, wer den Bericht liest.
Frequently asked questions
01Wer veröffentlicht und pflegt EBIOS Risk Manager?
EBIOS Risk Manager wird von ANSSI, der französischen nationalen Cybersicherheitsbehörde, veröffentlicht und gepflegt. Es ist die aktuelle Ausgabe der EBIOS-Methode und wird als offizielle Leitlinie für Organisationen bereitgestellt, die Cyberrisiken bewerten.
02Wie unterscheidet sich EBIOS RM von ISO 27005?
EBIOS RM ist eine spezifische, workshopgetriebene Methode, die bei den Angreiferzielen und Geschäftsmissionen ansetzt. ISO 27005 ist eine methodenunabhängige internationale Norm für das Management von Informationssicherheitsrisiken. EBIOS RM kann als eine konkrete Art genutzt werden, einen an ISO 27005 ausgerichteten Prozess durchzuführen; sie sind komplementär, nicht konkurrierend.
03Was sind die fünf EBIOS-RM-Workshops?
Die Methode läuft als fünf aufeinanderfolgende Workshops ab: Geltungsbereich und Sicherheitsbasis, Risikoquellen, strategische Szenarien, operative Szenarien und Risikobehandlung. Jeder baut auf dem vorherigen auf und führt von der geschäftlichen Einordnung über konkrete technische Szenarien bis hin zu einem Behandlungsplan.
04Wann sollte sich eine Organisation für EBIOS RM entscheiden?
EBIOS RM eignet sich gut, wenn Sie der Leitung erklären müssen, warum ein bestimmtes Angriffsszenario von Bedeutung ist, und wenn Sie im französischen öffentlichen Sektor oder als Betreiber von vitaler Bedeutung tätig sind, wo die Leitlinien der ANSSI erwartet werden. Für internationale Audits im Privatsektor wird häufiger ISO 27005 verlangt.
05Ist EBIOS RM eine Zertifizierung?
Nein. EBIOS RM ist eine Methode zur Risikobewertung, kein Zertifizierungsschema. Fachleute können sich in der Anwendung der Methode schulen lassen, aber Organisationen werden nicht gegen EBIOS RM zertifiziert, so wie sie ein ISO-27001-Managementsystem zertifizieren.