Ein Leitfaden für EBIOS: eine Methode zur digitalen Risikoanalyse

Was ist EBIOS Cyber Risikoanalyse Methode? Welche Strukturen können davon Gebrauch machen? Was sind ihre Vor- und Nachteile?

EBIOS ist eine Methode zur Analyse der Risiken, denen Informationssysteme ausgesetzt sind. Es wurde 1995 in Frankreich von der Zentraler Dienst für die Sicherheit von Informationssystemen (SCSSI).

Seit mehr als 20 Jahren wird es regelmäßig aktualisiert, wobei wichtige Versionen 2010 und 2018 veröffentlicht wurden. Die neueste Version heißt EBIOS-Risikomanager und wird jetzt von den Franzosen gepflegt Nationale Agentur für die Sicherheit von Informationssystemen (ANSSI). Ziel ist es, lehrreicher und zugänglicher zu sein als frühere Versionen. Als Probleme mit der Cybersicherheit Mit zunehmender Prävalenz wird EBIOS insbesondere von Organisationen des öffentlichen Sektors eingesetzt, die wichtige Dienste anbieten. Wie ist es strukturiert? Für wen ist es gedacht? Was sind die üblichen Vorsichtsmaßnahmen?

Léa Goichon

An article from

Léa Goichon
Marketing officer
Published
November 20, 2024
Updated
November 8, 2024
Reading time
minutes
Ebios-Methode - C-Risk

Wie ist EBIOS Teil des Cyberrisikomanagements?

EBIOS ist das französische Akronym für“Formulierung von Bedürfnissen und Identifizierung von Sicherheitszielen“. Es handelt sich um eine Risikomanagementmethode im Zusammenhang mit der Sicherheit von Informationssystemen (auch bekannt als INFOSEC). Es wurde 1995 vom Zentraldienst für die Sicherheit von Informationssystemen (SCSSI), dem früheren Namen der ANSSI (Nationale Agentur für die Sicherheit von Informationssystemen), gegründet, die es heute verwaltet.

Historische Entwicklung von EBIOS

Laut ANSSI ist EBIOS eine Risikomanagementmethode das hat sich über mehr als 20 Jahre bewährt. Die Agentur aktualisiert die Methodik regelmäßig, sodass sie nun den drei ISO-Normen entspricht: ISO 27000, ISO 27005, und ISO 31000. ANSSI teilt uns mit, dass EBIOS Risk Manager mehrere Vorteile bietet:

  • Analyse von Cyberrisiken im Rahmen einer Cybersicherheitsstrategie
  • „Behandlung“ von Risiken im Zusammenhang mit der Informationssicherheit (InfoSec)
  • Kommunikation mit internen und externen Stakeholdern über Cyberrisiken
Vorteile von EBIOS Risk Manager

ANSSI gibt weiter an, dass die EBIOS-Methode 2010 in Zusammenarbeit mit dem EBIOS-Club, dem rund 60 Mitgliedsunternehmen — darunter Beratungs- und Schulungsunternehmen sowie vier Softwarehersteller — sowie rund 200 Einzelmitglieder angehören. Diese neue Formel passte ihre Prinzipien an Änderungen in der Regulierung und an die unterschiedlichen Rückmeldungen an, die im Laufe der Jahre eingereicht wurden. Sie bot:

  • ein vereinfachter Ansatz,
  • einen Rahmen von Aktionsplänen für InfoSec,
  • Anwendungsfälle, die helfen, glaubwürdige Szenarien zu erstellen,
  • Software, die die Implementierung erleichtert.

Dann, im Jahr 2018, wurde die neueste Version veröffentlicht: EBIOS „RM“ (Risk Manager). Diese Methode hat die einzigartige Eigenschaft, das Problem der Eintrittspunkte zu lösen, über die Cyberkriminelle in ein System eindringen. Sie konzentriert sich auf Cyberbedrohungen vorsätzlichen Ursprungs. Obwohl Cybervorfälle zufälligen Ursprungs (menschliches Versagen, Naturkatastrophen oder strukturelles Versagen) laut dem jährlichen DBIR-Bericht von Verizon eine ständig wachsende Kategorie von Cybervorfällen darstellen, fallen unbeabsichtigte Risiken überraschenderweise nicht in den Anwendungsbereich der EBIOS-Risikoanalyse. In der Tat wird davon ausgegangen, dass diese Art von Risiko durch folgende Maßnahmen bewältigt werden kann Bewährte Grundpraktiken in den Bereichen Compliance und Sicherheit.

Wofür ist EBIOS? Und an wen richtet es sich?

EBIOS ist als Toolbox konzipiert, die ein Framework für Cyberangriffe bietet. Risikomanagement auf mehreren Ebenen:

  • Installation eines Daten- und Informationssicherheitsmanagementsystems
  • Umsetzung einer InfoSec-Strategie
  • Integration der Informationssicherheit in verschiedene Projekte
  • Verzeichnis der Anforderungen, die für InfoSec-Auditdienstleister gelten

Diese Methode wird hauptsächlich von französischen öffentlichen Einrichtungen und Ministerien angewendet. Im privaten Sektor verwenden sie aufgrund ihrer Komplexität und geringen Reichweite nur wenige große Unternehmen, und dies häufig als Ergänzung zu etablierteren und weit verbreiteten internationalen Standards wie NIST CSF, ISO27005, und jetzt die FAIRER Standard. Aus den gleichen Gründen wurden das NIST CSF, ISO 31000 und ISO 27005 Standards werden auch weltweit bevorzugt.

Wofür ist EBIOS?

Transformieren Sie die Art und Weise, wie Sie Cyberrisiken modellieren, messen und managen

Warten Sie nicht auf den unvermeidlichen Cybervorfall. Entwickeln Sie mithilfe der Quantifizierung von Cyberrisiken ein robustes, risikobasiertes Cybersicherheitsprogramm.

Learn more

So verwenden Sie die EBIOS-Methode

Die Methodik wird in der Regel in aufeinanderfolgenden Phasen angewendet, die als „Workshops“ bezeichnet werden. Die Titel dieser Workshops können sich von einer Version der Methode zur anderen unterscheiden, aber die Logik bleibt dennoch im Wesentlichen dieselbe. Mit EBIOS nutzen Sie den einzigartigen Geschäftskontext des Unternehmens als Grundlage, auf der Sie die Schwächen Ihrer IT-Infrastrukturen beurteilen können. Weitere Informationen zu dieser Methode finden Sie in der ANSSI-Leitfaden für den EBIOS Risk Manager.

Workshop 1: Das Konzept der „befürchteten Ereignisse“

Werkstatt 1,“Umfang und Sicherheitsgrundlinie„, zielt zunächst darauf ab, den Anwendungsbereich der Methode festzulegen: Teilnehmer, Zeitplan, Ziele, unterstützende Ressourcen.

An dieser Stelle müssen Sie die „befürchteten Ereignisse“ im Zusammenhang mit Ihren Unternehmenswerten identifizieren und deren“Schwere„und ihre“Auswirkung„. Geschäftswerte wurden in früheren Versionen von EBIOS als „wesentliche Vermögenswerte“ bezeichnet. Diese Werte sind die Bestandteile der Organisation, die für die Erfüllung ihrer Mission (Service, Unterstützungsfunktion, Projekt, Information) unerlässlich sind. Vom allerersten Workshop an befasst sich der EBIOS-Ansatz mit der Antizipation von Cybersicherheitsverletzungen.

In ihrem EBIOS RM-Leitfaden legt die ANSSI fest, dass das Ausmaß der Auswirkungen auf einer Schweregradskala gemessen werden muss, sodass Sie die befürchteten Ereignisse priorisieren können. Sie können ihre Auswirkungen proportional zu den schädlichen Auswirkungen des Risikos beurteilen: Nichtverfügbarkeit eines Geschäftswerts, Verletzung der Integrität, Vertraulichkeit oder Rückverfolgbarkeit.

Ein gegebenes befürchtetes Ereignis kann als kurze Phrase oder als „Szenario“ zusammengefasst werden, um den Schaden leichter verständlich zu machen. Der Schweregrad kann je nach geschäftlichem Nutzen unterschiedlich ausgedrückt werden, z. B. zwei Stunden Ausfallzeit der Website, eine auf 1 Mbit/s begrenzte Datenübertragungsrate für eine Stunde usw.

Workshops zur Risikokartierung

2/In Workshop 2 geht es um Querverweise auf die Risikoursprünge (RO) mit den angestrebten Zielen (TO). Die relevantesten „RO/TO“ -Paare werden ausgewählt, um die Risikoursachen abzubilden.

3/Workshop 3 dient der Entwicklung digitaler Bedrohungsszenarien: der“strategische Szenarien“. Diese führen die „Angriffspfade“ eines „Risikoursprungs“ ein. Auch hier müssen die Szenarien auf einer Skala mit dem Schweregrad der Auswirkungen basieren.

4/Das Ziel von Workshop 4 besteht darin, Betriebsszenarien zu entwerfen, in denen detailliert beschrieben wird, wie Cyberangreifer vorgehen, wobei der Schwerpunkt hier auf kritischen Support-Ressourcen liegt. Der Grad der Wahrscheinlichkeit, dass diese Szenarien eintreten, muss bewertet werden.

Die Workshops 3 und 4 ergänzen sich gegenseitig.

5/Der fünfte und letzte Workshop fasst alle zuvor untersuchten Risiken zusammen. Die Idee dabei ist, eine Strategie gegen Cyberbedrohungen zu definieren und umzusetzen. Eine solche Strategie muss die Umsetzungsmaßnahmen detailliert beschreiben und in einen Plan zur kontinuierlichen Verbesserung passen. Jetzt ist es auch an der Zeit, die verbleibenden Risiken zusammenzufassen und die Überwachungsmethoden detailliert darzustellen.

EBIOS workshop involves teamwork

Stärken und Grenzen der EBIOS-Methode zur digitalen Risikobewertung

EBIOS wird normalerweise als Ergänzung zu ISO27005 verwendet, insbesondere weil es im Vergleich zu anderen von einer gewissen Einfachheit der Implementierung profitiert InfoSec-Risikoanalyse Methoden. Es basiert jedoch auf noch vagen Begriffen wie Schweregrad und Folgenabschätzung.

Stärken der EBIOS-Methodik

EBIOS hilft Unternehmen zumindest dabei, die wesentlichen Gefahrenelemente klar zu lokalisieren, nicht nur die Elemente eines Szenarios. EBIOS hebt die Personen und Interaktionen hervor, die die Bausteine eines Cyberrisikos sind. Dieser Ansatz ist sehr flexibel, da er sich leicht an verschiedene organisatorische Kontexte anpassen lässt.

Diese Methode der Risikoanalyse hat auch den Vorteil, dass sie relativ schnell eingerichtet werden kann. Sie befasst sich nur mit Analyseelementen in Bezug auf das Ziel, das Sie in Workshop 1 festgelegt haben. Sie können EBIOS auch wiederverwenden, um eine kontinuierliche Überwachung der Informationssicherheitsrisiken sicherzustellen.

EBIOS-Einschränkungen

Neben einer relativ geringen Verbreitung außerhalb der französischen Anbieter kritischer Dienste, die ihn für ihren Jahresbericht an ANSSI verwenden, hat dieser Ansatz den Nachteil, dass er keiner externen Bewertung unterzogen wird. Es ist, genau wie NIST-Cyberframework, eine Technik zur Selbsteinschätzung. Die EBIOS-Methode basiert auch auf der Annahme, dass Cyberbedrohungen von externen Angriffen ausgehen, sodass kein potenzielles Unfallrisiko ausgeschlossen wird.

Ein weiterer Nachteil von EBIOS ist, dass die Risikoanalyse entweder auf einer zusammengefassten Schweregradskala basiert (Beispiel: „der Attacke hat dazu geführt, dass die Seite für zwei Stunden nicht verfügbar war“) oder in einem Bewertungssystem. Wie im ANSSI-Leitfaden beschrieben, geht es bei diesem Bewertungssystem eher um Beispiele als um Empfehlungen.

Darüber hinaus enthält es vier Schweregradschwellen. Beispielsweise bezieht sich der Schwellenwert für „kritisch“ auf Risiken, die bedeuten, dass das Unternehmen nicht in der Lage ist, seine Geschäftstätigkeit ganz oder teilweise sicherzustellen, was schwerwiegende Auswirkungen auf die Sicherheit von Personen und Vermögenswerten haben könnte“ und auf den Fortbestand der Struktur bedeuten. Jedem Schwellenwert wird eine Farbe von Rot bis Grün zugewiesen — kritisch, ernst, bedeutsam, geringfügig.

Diese Methode der Risikoanalyse basiert daher auf einer subjektiven und nicht quantifizierten Bewertung der Gefahr. Die tatsächliche Unfähigkeit einer Organisation, die Geschäftskontinuität oder das Überleben sicherzustellen, hängt von Annahmen ab, die auf der Grundlage von Nominal- oder Ordinalskalen getroffen werden. Folglich kann es sich bei der daraus resultierenden Rangfolge der Cyberrisiken durchaus um eine ungefähre Rangfolge handeln.

Ergänzen Sie EBIOS mit CRQ

Die EBIOS-Methode bietet einen soliden Rahmen für die Identifizierung und Bewertung von Cyberrisiken, integriert ihn jedoch in einen Ansatz zur Quantifizierung von Cyberrisiken (CRQ), wie z. B. FAIR™ (Faktorenanalyse des Informationsrisikos) Methode, fügt der Analyse die Präzision statistischer und finanzieller Messungen hinzu. Als internationales quantitatives Standardmodell für Informationssicherheit und operationelle Risiken ermöglicht FAIR Unternehmen, potenzielle finanzielle Auswirkungen bestimmter Risikoszenarien zu quantifizieren. Dies ermöglicht es den Risikoteams, einen priorisierten, datengestützten Aktionsplan zu erstellen, der auf ihre dringendsten Bedrohungen zugeschnitten ist.

Mithilfe von EBIOS und FAIR™ erhalten Unternehmen einen umfassenden Überblick über digitale Risiken: EBIOS liefert ein strukturiertes Risikoprofil, während die quantitative Analyse von FAIR ein finanzielles Maß für potenzielle Verluste und deren potenzielle Häufigkeit bietet, sodass Cybersicherheitsverantwortliche den Führungskräften Risiken effektiv kommunizieren und die Allokationsressourcen entsprechend priorisieren können. C-Risk unterstützt CISOs, die bereit sind, mit ihrer ersten CRQ-Analyse zu beginnen, oder integrieren Sie eine neue Cyberrisikomanagement-Plattform mit fachkundiger Beratung und maßgeschneiderten Lösungen.

Um herauszufinden, wie CRQ Ihre EBIOS-Risikobewertung verbessern kann, vereinbaren Sie eine kostenlose 30-minütige Beratung mit C-Risk heute.

HÄUFIG GESTELLTE FRAGEN: EBIOS

Ist die EBIOS-Methode mit ISO 27005 konform?

Ja, die Methode von EBIOS ist mit den in ISO 27005 beschriebenen Grundsätzen für das Risikomanagement im Bereich der Informationssicherheit vereinbar.

Wer ist für die Implementierung von EBIOS verantwortlich? Der Risikomanager oder der CISO?

Dieser Ansatz bringt mehrere Teilnehmer an Workshops zusammen: Führungskräfte, CIO, CISO, Cybersicherheitsmanager, Risikomanager.

Was ist EBIOS?

The Expression of Needs and Identification of Security Objectives ist eine Risikomanagement-Methode, die vom Club EBIOS veröffentlicht wurde. Es ist auch eine eingetragene Marke des französischen Generalsekretariats für Verteidigung und nationale Sicherheit (SGDSN). EBIOS Risk Manager (EBIOS RM) ist die Methode zur Analyse von Cybersicherheitsrisiken, die jetzt von der Nationalen Agentur für die Sicherheit von Informationssystemen (ANSSI) angewendet wird.

In diesem Artikel
Quantifizierung von Cyberrisiken für bessere Entscheidungen

Wir entwickeln skalierbare Lösungen zur Quantifizierung von Cyberrisiken in finanzieller Hinsicht, damit Unternehmen fundierte Entscheidungen treffen können, um Unternehmensführung und Widerstandsfähigkeit zu verbessern.

Erfahre mehr

Related articles

Read more on cyber risk, ransomware attacks, regulatory compliance and cybersecurity.

See all articles
DORA-Verordnung - C-Risk

DORA: Minderung von IKT-Risiken und Stärkung der digitalen Widerstandsfähigkeit

Verschaffen Sie sich einen Einblick in das EU-Gesetz zur digitalen operationalen Resilienz: Seine Auswirkungen auf Finanzunternehmen, Herausforderungen für die Einhaltung der Vorschriften und die Erreichung digitaler operationaler Resilienz.

Melissa Parsons

4/4/2024
ISO 27005 - C-Risk

ISO 27005: Alles, was Sie wissen müssen, wenn Sie eine Implementierung in Betracht ziehen

Alles, was Sie über die internationale Norm ISO 27005 wissen müssen. Offizielle Definition, Zusammenfassung, Methodik, Vorteile und Einschränkungen.

Christophe Forêt

11/9/2023
ISO 27001 C-Risk

ISO 27001: ein Hebel für Ihre Cybersicherheitsstrategie?

Was ist ISO 27001 und welche Vorteile bringt es für Ihre Cybersicherheit?

Melissa Parsons

29/6/2023

C-Risk ist ein renommierter Experte für die Quantifizierung von Cyber-Risiken mit der FAIR™-Methode. Wir bieten CRQ-Beratung, Verwaltungsdienste und Schulungen an.

Unsere Lösungen
CRQ as a ServiceCRQ Enablement ServiceCRQ Beratungs- und Cosultingdienste
Unsere Lösungen
SAFE One CRQ-PlattformSAFE One Cyberrisikomanagement durch Drittanbieter
C-Risk Education
CRQ-SchulungE-learning
Anwendungsfälle
Kommunikation mit Vorstand und GeschäftsleitungCyberrisikomanagement von DrittanbieternMergers & AcquisitonsOptimieren Sie den Cyber-VersicherungsschutzDimensionen, Zuteilung und Begründung eines Infosec-BudgetsErleichterung der Einhaltung gesetzlicher VorschriftenCISO — Priorisierung der wichtigsten Risiken und Kontrollen
Ressourcen
BlogNeuigkeitenVideos
Firma
Über C-RiskKarrierePartnerC-Risk in den Nachrichten
Ihre Rolle
Executive ManagementCISORisiko-Experten
Kontakt
Kontaktieren Sie uns
Sprache
Erstellt von Sales Odyssey
Rechtlicher HinweisDatenschutz