ISMS Copilot
Prompt-Engineering

Seien Sie präzise und spezifisch

Warum Spezifität wichtig ist

Bei Compliance-Aufgaben entscheidet die Präzision darüber, ob Sie umsetzbare Anleitungen oder allgemeine Ratschläge erhalten. Die spezialisierte Ausbildung des ISMS Copiloten in den Bereichen ISO 27001, SOC 2, NIST, DSGVO und anderen Rahmenwerken erfordert klare Referenzen, um die richtigen Kontrollen, Nachweisanforderungen und Umsetzungsschritte aufzuzeigen.

Vage Abfragen wie „Wie sichere ich Daten?" könnten auf Hunderte von Kontrollen in Dutzenden von Rahmenwerken zutreffen. Spezifische Abfragen, die auf exakte Standards abzielen, sparen Zeit und reduzieren Fehler bei Audits mit hohem Risiko.

Kernelemente spezifischer Prompts

1. Rahmenwerk und Version

Geben Sie immer den genauen Standard und die Version an, mit der Sie arbeiten.

❌ Vage: „Was sind die Anforderungen an die Zugriffskontrolle?"

✅ Spezifisch: „Was sind die Anforderungen an die Zugriffskontrolle für ISO 27001:2022 Anhang A.5.15?"

Die Angabe von Versionen stellt sicher, dass Sie aktuelle Leitlinien erhalten, die auf Ihren Audit-Scope abgestimmt sind.

2. Kontroll- oder Anforderungsnummern

Zitieren Sie nach Möglichkeit genaue Kontroll-IDs.

❌ Vage: „Erzähl mir etwas über SOC 2 logischen Zugriff"

✅ Spezifisch: „Welche Nachweise benötige ich für SOC 2 CC6.1 (logische und physische Zugriffskontrollen)?"

Kontrollnummern schalten detaillierte Implementierungshilfen und Listen für Audit-Nachweise frei.

3. Organisatorischer Kontext

Geben Sie Unternehmensgröße, Branche und relevante Technologien an.

❌ Allgemein: „Wie implementiere ich die Multi-Faktor-Authentifizierung?"

✅ Kontextualisiert: „Wie implementiere ich MFA für ISO 27001 A.5.17 in einem 40-köpfigen Healthcare-Startup, das Google Workspace und AWS nutzt?"

Kontext führt zu Empfehlungen, die zu Ihrer tatsächlichen Umgebung passen, nicht zu theoretischen Idealen.

4. Gewünschtes Ergebnis

Geben Sie an, was Sie benötigen – Richtlinienentwurf, Liste von Nachweisen, Umsetzungsschritte, Gap-Analyse.

❌ Unklar: „Hilfe beim Incident Management"

✅ Klar: „Erstelle ein Vorfallreaktionsverfahren für ISO 27001 A.5.24, das Erkennung, Reaktion und Berichterstattung für eine SaaS-Plattform abdeckt"

Beispiele nach Rahmenwerk

ISO 27001

Vage: „Was ist mit Verschlüsselung?"

Spezifisch: „Wie implementiere ich kryptografische Kontrollen für ISO 27001:2022 A.8.24, um Kundendaten im Ruhezustand in PostgreSQL und bei der Übertragung über APIs zu schützen?"

SOC 2

Vage: „SOC 2 Änderungsmanagement?"

Spezifisch: „Welche Änderungsmanagement-Prozesse erfüllen SOC 2 CC8.1 für ein Entwicklungsteam, das GitHub, Jira und AWS CodePipeline nutzt?"

NIST CSF

Vage: „Tipps zur Sicherheit der Lieferkette"

Spezifisch: „Welche Verfahren zur Risikobewertung von Anbietern entsprechen NIST CSF ID.SC-2 für ein Fintech-Unternehmen, das SaaS-Anbieter evaluiert, die PII verarbeiten?"

DSGVO (GDPR)

Vage: „DSGVO Datenschutz"

Spezifisch: „Welche technischen Maßnahmen erfüllen DSGVO Artikel 32 für eine Marketingplattform, die EU-Kundendaten mit Salesforce und Mailchimp verarbeitet?"

Spezifität in komplexen Szenarien

Gap-Analyse

Geben Sie Details an, wenn Sie Dateien hochladen oder den aktuellen Zustand beschreiben:

Beispiel: „Überprüfe unsere beigefügte Zugriffskontrollrichtlinie im Vergleich zu SOC 2 CC6.1-6.3. Wir sind ein Unternehmen mit 60 Mitarbeitern und nutzen Okta für SSO, AWS IAM und GitHub. Identifiziere fehlende Kontrollen für ein Typ-II-Audit."

Risikobewertungen

Geben Sie Umfang, Assets und Bedrohungsmodell an:

Beispiel: „Erstelle eine Vorlage für eine Risikobewertung gemäß ISO 27001 A.5.7, die die Cloud-Infrastruktur (AWS), die Kundendatenbank (RDS) und interne Tools (Google Workspace) für ein Series-A SaaS-Startup abdeckt"

Abstimmung mehrerer Rahmenwerke

Nennen Sie alle anwendbaren Standards:

Beispiel: „Wie erstelle ich einen einheitlichen Prozess zur Zugriffsüberprüfung, der sowohl ISO 27001:2022 A.5.18 als auch SOC 2 CC6.1 für vierteljährliche Audits erfüllt?"

Wenn Sie sich bei den genauen Kontrollnummern unsicher sind, beginnen Sie allgemein („Was sind die ISO 27001 Zugriffskontrollen?") und vertiefen Sie dann mit spezifischen Nachfragen („Gehe näher auf A.5.15 für unsere AWS-Umgebung ein").

Häufige Fehler

  • Versionen weglassen – ISO 27001:2013 vs. 2022 haben unterschiedliche Kontrollen; geben Sie diese an, um veraltete Anleitungen zu vermeiden

  • Jargon ohne Kontext verwenden – „Unser RBAC braucht Hilfe" gibt keinen Hinweis auf Rahmenwerk, Tool oder Problem

  • Mehrere nicht zusammenhängende Fragen stellen – „Erzähl mir von A.5.1, A.8.1 und A.12.1" verwässert den Fokus; separate Abfragen funktionieren besser

  • Annehmen, dass ISMS Copilot Ihr Setup kennt – Er hat kein Vorwissen über Ihre Organisation; stellen Sie immer Kontext bereit

Testen Sie Ihre Spezifität

Bevor Sie eine Abfrage senden, fragen Sie sich selbst:

  1. Habe ich das Rahmenwerk und die Version genannt?

  2. Habe ich Kontroll-/Anforderungsnummern angegeben?

  3. Habe ich den Kontext meiner Organisation beschrieben?

  4. Ist mein gewünschtes Ergebnis klar?

Wenn eine Antwort „Nein" lautet, verfeinern Sie Ihren Prompt.

Spezifische Prompts erhalten oft vollständige, umsetzbare Antworten in einer einzigen Reaktion. Vage Prompts erfordern 3–5 Rückfragen zur Klärung, was Ihr Nachrichten-Kontingent und Ihre Zeit verschwendet.

Nächste Schritte

Wenden Sie Spezifität auf Ihre nächste Abfrage an. Beachten Sie, wie detaillierter Kontext maßgeschneiderte, auditfähige Anleitungen im Gegensatz zu allgemeinen Best Practices erzeugt.

Zurück zur Übersicht über Prompt Engineering

War das hilfreich?