EBIOS RM vs. ISO 27005: das Duell.

Ein praxisorientierter Vergleich der beiden maßgeblichen Methoden für das Informationssicherheits-Risikomanagement. Wann welche überzeugt, wie sie sich auf ISO 27001 abbilden lassen und welche Ihr Sektor und Ihr Audit tatsächlich erwarten.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyRisk managementAll pillars

Die Einschätzung der Cyber Academy

EBIOS Risk Manager ist die von der ANSSI veröffentlichte französische nationale Methode zur Risikobewertung mit Fokus auf strategische Cyberangriffsszenarien. ISO/IEC 27005 ist die internationale Norm für das Risikomanagement in der Informationssicherheit, an ISO 31000 ausgerichtet und als Methodenebene für die Arbeit am ISO 27001 ISMS genutzt. Beide sind praxisorientierte Methoden; sie sind eher komplementär als Alternativen.

TL;DR

  • 1EBIOS RM ist strategisch und szenarienbasiert. Es bildet Geschäftsprozesse auf die Ziele von Angreifern ab und leitet daraus technische Maßnahmen ab. Stark im französischen öffentlichen Sektor und bei Betreibern von vitaler Bedeutung.
  • 2ISO 27005 ist methodenneutral und lässt sich nativ mit ISO 27001 Annex A kombinieren. Standard in internationalen Audits.
  • 3EBIOS RM liefert eine kleinere Anzahl von Szenarien mit hoher Auswirkung und reicher Erzählstruktur. ISO 27005 liefert ein umfassendes Risikoregister.
  • 4Beide sind akkreditierte PECB-Zertifizierungen: EBIOS Risk Manager (5 Tage), ISO/IEC 27005 Risk Manager (5 Tage). Lead Risk Manager existiert nur für ISO 31000.
  • 5In der Praxis: ISO 27005 für das ISMS-Risikoregister, EBIOS RM als Ergänzung, um die strategischen Szenarien zu identifizieren, die Aufmerksamkeit auf Vorstandsebene verdienen.

Wie jede Methode in einem Projekt tatsächlich abläuft

Die Trennung zwischen den beiden Methoden ist keine Frage der Qualität, sondern des Ausgangspunkts. ISO 27005 beginnt bei Werten und Bedrohungen und arbeitet sich nach außen zu einem vollständigen Risikoregister vor. EBIOS RM beginnt bei dem, was die Organisation zu verlieren fürchtet, und arbeitet sich rückwärts über den Angreifer vor, der diesen Verlust verursachen würde. Beide erzeugen unterschiedliche Artefakte, weil sie unterschiedliche Eröffnungsfragen stellen, und genau dieser Unterschied ist es, den Ihr Auditor, Ihr Vorstand und Ihr Projektplan spüren werden.

Die Arbeit mit ISO 27005 ist von Natur aus iterativ und umfassend. Sie schaffen den Kontext, identifizieren Risiken über den gesamten Geltungsbereich, analysieren Eintrittswahrscheinlichkeit und Folgen, bewerten anhand von Akzeptanzkriterien und behandeln sie dann. Das Ergebnis ist ein lebendes Register, das Sie zyklisch erneut durchlaufen. Es ist die natürliche Risiko-Engine für ein ISO 27001 ISMS, weil es dieselbe Sprache spricht wie das Managementsystem: Geltungsbereich, Kriterien, Behandlungsplan, Restrisiko, Freigabe.

EBIOS RM läuft als fünf Workshops mit einer festgelegten Abfolge ab: Rahmen und Sicherheitsbasis, Risikoursprünge, strategische Szenarien, operative Szenarien und Risikobehandlung. Die Methode zwingt Sie, zuerst die gefürchteten Ereignisse zu benennen, dann die Risikoquellen (wer würde angreifen und warum), dann die übergeordneten Angriffspfade, bevor Sie überhaupt eine Maßnahme berühren. Der EBIOS Risk Manager Kurs durchläuft jeden Workshop mit echten Ergebnissen, sodass Sie die Abfolge moderieren können und sie nicht nur beschreiben.

EBIOS RM vs. ISO 27005 auf einen Blick

Die folgende Tabelle ist der Vergleich, den die meisten Teams im Raum brauchen: nicht die Philosophie, sondern worauf jede Methode den Fokus legt, was sie Ihnen am Ende liefert und wo sie tatsächlich erwartet wird.

EBIOS RM vs. ISO 27005: Fokus, Ergebnis und wo jede erwartet wird
DimensionEBIOS RMISO 27005
UrsprungFranzösische nationale Methode, veröffentlicht von der ANSSIInternationale Norm, ISO/IEC, ausgerichtet an ISO 31000
FokusStrategische Angriffsszenarien; geschäftliche Einsätze auf Bedrohungsquellen abgebildetSystematische Identifikation von Informationssicherheitsrisiken über den gesamten Geltungsbereich
AusgangspunktGefürchtete Ereignisse und Risikoursprünge (Top-down)Werte, Bedrohungen, Schwachstellen (Bottom-up)
ErgebnisEine kleine Menge erzählerischer Szenarien mit hoher Auswirkung und BehandlungsstrategieEin umfassendes, wiederholbares Risikoregister mit Behandlungsplan
GranularitätWenige Szenarien, tiefe Erzählung, vorstandslesbarViele Risiken, strukturiert, ISMS-lesbar
Verhältnis zu ISO 27001Ergänzung; speist strategische Risiken in das ISMS einNative Methodenebene für Clause 6.1.2 und Annex A
Wo erwartetFranzösischer öffentlicher Sektor, OIV/OES, ANSSI-geprägte BeschaffungInternationale Audits, multinationales ISMS, Kundenversicherung
Akkreditierte ZertifizierungPECB EBIOS Risk Manager (5 Tage)PECB ISO/IEC 27005 Risk Manager (5 Tage)

Wie sich beide auf ISO 27001 abbilden

ISO 27001 verlangt einen definierten Prozess zur Bewertung und Behandlung von Informationssicherheitsrisiken, schreibt aber keine bestimmte Methode vor. Genau diese eine Tatsache ist der Grund, warum dieser Vergleich überhaupt existiert. Clause 6.1.2 fordert Sie auf, Risiken zu bewerten und ein Statement of Applicability zu erstellen; sie sagt Ihnen nicht, ISO 27005 oder etwas anderes zu verwenden. Auditoren prüfen, ob Ihr Prozess konsistent und wiederholbar ist und vertretbare Behandlungsentscheidungen hervorbringt. Die Methode ist Ihre Wahl.

ISO 27005 ist hier der Weg des geringsten Widerstands, weil sie geschrieben wurde, um die Methodenebene unter der Norm zu sein. Ihre Terminologie, ihre Logik der Akzeptanzkriterien und ihre Struktur des Behandlungsplans fügen sich ohne Übersetzung direkt in das ISMS ein. Wenn Sie das Managementsystem aufbauen oder betreiben, lernen Sie die Engine, die dazu passt: Der ISO/IEC 27005 Risk Manager Kurs deckt den vollständigen Bewertungs- und Behandlungszyklus ab, während der ISO/IEC 27005 Foundation Kurs der richtige Einstiegspunkt ist, wenn Sie die Konzepte benötigen, bevor Sie moderieren.

EBIOS RM bildet sich aus einem anderen Blickwinkel auf dieselbe Clause ab. Es ersetzt das Register nicht; es schärft dessen Spitze. Die strategischen Szenarien werden zu der kleinen Menge an Risiken, die in der SoA und im Vorstandsdossier die höchste Prüfung rechtfertigen. Teams, die die Methode durchgängig beherrschen müssen, einschließlich der Governance der Bewertung und der leitenden Rolle über eine gesamte Organisation hinweg, belegen den ISO/IEC 27005 Lead Risk Manager Kurs.

Die Entscheidung: welche, und wann beide

Die meisten Teams fassen dies als Entweder-oder auf und bereuen es dann. Die ehrliche Antwort ist, dass die Frage zwei Ebenen hat: Was verlangt Ihr Audit oder Ihr Sektor, und was braucht Ihr Risikobild tatsächlich. Klären Sie sie in dieser Reihenfolge.

  1. Wenn ein ANSSI-geprägter Käufer, ein französischer öffentlicher Auftrag oder eine OIV/OES-Verpflichtung im Spiel ist, ist EBIOS RM die erwartete Sprache. Führen Sie damit auf der strategischen Ebene.
  2. Wenn Ihre Versicherung aus einem internationalen ISO 27001 Zertifikat oder aus multinationalen Kundenaudits kommt, ist ISO 27005 der Standard, den der Auditor fließend liest.
  3. Wenn Sie ein echtes Gegnerproblem haben (ein hochwertiges Ziel, ein regulierter kritischer Dienst, Cyberrisiko auf Vorstandsebene), führen Sie EBIOS RM zusätzlich zum Register aus, um die Szenarien zutage zu fördern, die eine Eskalation rechtfertigen.
  4. Wenn Sie weder ein Mandat im französischen Sektor noch ein akutes Gegnerprofil haben, genügt ISO 27005 allein und ist im Betrieb günstiger.

Beide auszuführen ist nicht redundant, wenn Sie es richtig zuschneiden. ISO 27005 gibt Ihnen Breite: jedes Risiko im Register, behandelt und nachverfolgt. EBIOS RM gibt Ihnen Tiefe bei den wenigen Szenarien, die tatsächlich schaden würden. Der Fehler besteht darin, beide auf derselben Granularität auszuführen, was die Arbeit verdoppelt und zwei Register hervorbringt, die niemand abgleicht. Nutzen Sie EBIOS RM zum Auswählen und Erzählen; nutzen Sie ISO 27005 zum Aufzählen und Nachverfolgen.

Häufige Fehler und die Realität im Auditraum

Die Fehler sind vorhersehbar und betreffen selten die Methode selbst.

  • Die Methode nach Vorliebe statt nach Zielgruppe wählen. Die richtige Frage lautet, wer das Ergebnis liest: Ein französischer öffentlicher Käufer erwartet die Begrifflichkeit von EBIOS RM, ein internationaler Zertifizierungsauditor erwartet ein nach ISO 27005 geformtes Register. Wählen Sie für den Leser.
  • EBIOS RM Szenarien als Ersatz für ein vollständiges Register behandeln. Strategische Szenarien sind bewusst wenige. Ein Auditor, der die ISO 27001 Abdeckung prüft, wird fragen, wo der Rest der Risikolandschaft dokumentiert ist, und eine Handvoll Erzählungen ist keine Antwort.
  • ISO 27005 als einmalige Tabellenkalkulation betreiben. Die Norm ist iterativ. Ein Register, das vor achtzehn Monaten datiert ist und keinen Überprüfungstakt hat, ist eine Beanstandung, die nur darauf wartet einzutreten.
  • Die Zertifizierungen verwechseln. Es gibt keinen Lead Auditor oder Lead Risk Manager für EBIOS RM, und die einzige Lead Risk Manager Zertifizierung liegt unter ISO 31000, nicht unter ISO 27005. Planen Sie den Zertifizierungspfad Ihres Teams anhand dessen, was tatsächlich existiert.

Im Auditraum ist die Realität einfacher, als es die Debatte vermuten lässt. Der Zertifizierungsauditor bewertet Ihre Methode nicht gegen eine konkurrierende; er prüft, ob Ihr gewählter Prozess dokumentiert, konsistent angewandt und vom Risiko über die Behandlung bis zur Akzeptanz des Restrisikos nachvollziehbar ist. EBIOS RM hilft Ihnen zu erklären, warum bestimmte Risiken mit hoher Auswirkung bestimmte Aufmerksamkeit erhalten haben. ISO 27005 hilft Ihnen zu zeigen, dass nichts durch die Lücken gefallen ist. Die stärkste Haltung für Organisationen, die wirklich beide benötigen, ist ein ISO 27005 Register als System der Aufzeichnung, mit darüber gelagerten EBIOS RM Szenarien, um die Entscheidungen zu rechtfertigen, die am meisten zählten.

Frequently asked questions

01Welche erwartet mein Auditor?

Für ein ISO 27001 Zertifizierungsaudit erwartet der Auditor standardmäßig eine an ISO/IEC 27005 ausgerichtete Methode. Die Revision 2022 von ISO 27005 schlägt ausdrücklich die Brücke zu ISO 27001 Clause 6 und zu den Prinzipien von ISO 31000.

Für Audits im französischen öffentlichen Sektor (HFDS, ANSSI-Inspektionen von Betreibern von vitaler Bedeutung im Rahmen der LPM, NIS 2 Aufsicht durch die ANSSI) ist EBIOS RM die erwartete Sprache. Werden strategische Szenarien nicht in der Begrifflichkeit von EBIOS RM formuliert, wird dies beanstandet.

02Kann ich beide gleichzeitig nutzen?

Ja, und viele Organisationen tun das. EBIOS RM erzeugt 5 bis 10 strategische Angriffsszenarien mit benannten Bedrohungsquellen, Geschäftswerten und gefürchteten Ereignissen; diese werden zu den Eingangsgrößen eines ISO 27005 Risikoregisters, das die operative Ebene abdeckt (Kombinationen aus Schwachstelle und Wert, Bewertung von Eintrittswahrscheinlichkeit und Auswirkung, Behandlungsoptionen).

Die Kombination funktioniert, weil EBIOS RM auf der Szenarioebene arbeitet (vorstandstauglich), während ISO 27005 auf der Ebene von Werten und Maßnahmen arbeitet (audittauglich). Die Abbildung beider erfordert Disziplin, ist aber in französischen Einrichtungen, die sowohl der ANSSI-Aufsicht als auch der ISO 27001 Zertifizierung unterliegen, gut erprobtes Terrain.

03Ist EBIOS RM nur in Frankreich relevant?

Größtenteils ja. Außerhalb Frankreichs ist ISO 27005 die Lingua franca für die ISMS-Risikomethodik. EBIOS RM wird von der ENISA in einigen Veröffentlichungen anerkannt und in französisch geprägten Rechtsräumen verwendet, doch in Audits außerhalb Frankreichs oder des frankophonen Afrikas werden Sie ihm selten begegnen.

Ist Ihr Auditumfeld rein international, ist ISO 27005 die sicherere Einzelwahl. Sind Sie in Frankreich tätig, im öffentlichen Sektor oder verkaufen Sie an französische staatliche Stellen, wird die Vertrautheit mit EBIOS RM erwartet.

04Was deckt die PECB EBIOS Risk Manager Zertifizierung ab?

Fünf Tage. Sie deckt die fünf EBIOS RM Workshops ab: Geltungsbereich und Sicherheitsbasis, Risikoquellen, strategische Szenarien, operative Szenarien, Risikobehandlung. Die Prüfung erfolgt mit offenen Unterlagen, dauert drei Stunden und kombiniert Multiple-Choice- und Szenariofragen.

Die Zertifizierung wird von der ANSSI über den PECB Gold Partner Akkreditierungsweg anerkannt. Sie ersetzt nicht den ISO/IEC 27005 Risk Manager, wenn Ihr Auditor die ISO-Methode erwartet; sie ergänzt ihn.

Kohorten, die das Gelesene in ein Zertifikat verwandeln.

Pillar gelesen. Was kommt als Nächstes?

Jeder Pillar verlinkt auf die Kohorte, die ihn in ein Zertifikat verwandelt. Durchsuchen Sie den Katalog oder sprechen Sie mit uns für einen maßgeschneiderten Pfad.