ISMS Copilot
KI-Sicherheit

Verantwortungsbewusster Umgang mit ISMS Copilot

Überblick

Der verantwortungsvolle Einsatz von KI-Tools erfordert ein Verständnis ihrer Fähigkeiten, Grenzen und angemessenen Anwendungsbereiche. Dieser Leitfaden bietet praktische Best Practices für den effektiven und ethischen Einsatz von ISMS Copilot in Ihrer Compliance-Arbeit.

Für wen dieser Artikel ist

Dieser Artikel richtet sich an:

  • Compliance-Experten, die zum ersten Mal KI einsetzen

  • Teams, die KI-Governance-Richtlinien etablieren

  • Berater, die mehrere Kundenprojekte verwalten

  • Jeder, der den Wert von KI maximieren und gleichzeitig Risiken minimieren möchte

Kernprinzipien der verantwortungsvollen KI-Nutzung

1. KI als Assistent, nicht als Ersatz

Die richtige Einstellung:

  • Betrachten Sie ISMS Copilot als einen sachkundigen Junior-Berater

  • Er liefert Entwürfe und Vorschläge, keine finalen Ergebnisse

  • Menschliches Fachwissen, Urteilsvermögen und Überprüfung bleiben unerlässlich

  • KI beschleunigt die Arbeit, ersetzt aber nicht die professionelle Verantwortung

Der effektivste Einsatz von ISMS Copilot kombiniert KI-Effizienz mit menschlicher Expertise. Lassen Sie die KI das Entwerfen und Recherchieren übernehmen, während Sie sich auf strategisches Denken, Anpassung und Qualitätssicherung konzentrieren.

2. Verifizieren statt blind vertrauen

Immer validieren:

  • Kontrollnummern und Framework-Zitate

  • Regulatorische Anforderungen und Compliance-Mandate

  • Technische Spezifikationen und Implementierungsdetails

  • Statistiken, Zeitpläne und quantitative Behauptungen

Verifizierungsquellen:

  • Offizielle Standards (ISO 27001:2022, SOC 2-Kriterien usw.)

  • Regulatorische Leitfäden

  • Branchen-Frameworks und Best-Practice-Leitfäden

  • Rechts- und Compliance-Experten

3. Kontext ist alles

KI benötigt Ihren organisatorischen Kontext:

  • Branchenbezogenes und regulatorisches Umfeld

  • Unternehmensgröße und Komplexität

  • Aktueller Reifegrad des ISMS

  • Risikotoleranz und Geschäftsziele

  • Verfügbare Ressourcen und Zeitplan

Generische KI-Antworten ohne organisatorischen Kontext passen möglicherweise nicht zu Ihrer spezifischen Situation. Passen Sie KI-generierte Inhalte vor der Implementierung immer an Ihre Umgebung an.

4. Transparenz bei der KI-Nutzung

Gehen Sie offen mit der KI-Nutzung um:

  • Offenlegung KI-gestützter Arbeit gegenüber Kunden, sofern angemessen

  • Dokumentation des KI-Einsatzes in Ihren Compliance-Prozessen

  • Aufnahme von KI-Tools in Ihre Datenverarbeitungsvereinbarungen

  • Schulung Ihres Teams über die ordnungsgemäße Nutzung und Grenzen der KI

Best Practices für die Fragestellung

Seien Sie spezifisch und detailliert

Anstelle vager Fragen:

  • ❌ "Erzähl mir etwas über ISO 27001"

  • ❌ "Wie mache ich Zugriffskontrolle?"

  • ❌ "Was ist SOC 2?"

Stellen Sie spezifische, kontextualisierte Fragen:

  • ✓ "Wie implementiere ich ISO 27001:2022 Kontrolle 5.15 (Zugriffskontrolle) für ein SaaS-Unternehmen mit 50 Mitarbeitern?"

  • ✓ "Welche Nachweise benötige ich für SOC 2 CC6.1 (Logische und physische Zugriffskontrollen) für unsere in AWS gehostete Anwendung?"

  • ✓ "Was sind die wichtigsten Schritte zur Erstellung einer DSGVO-konformen Datenlöschanordnung für Kundensupport-Daten?"

Je spezifischer Ihre Frage ist, desto genauer und nützlicher ist die Antwort der KI. Geben Sie Framework-Versionen, Kontrollnummern, Ihre Branche und die Unternehmensgröße an, um beste Ergebnisse zu erzielen.

Geben Sie relevanten Kontext an

Nützlicher Kontext:

  • Unternehmensprofil: "Wir sind ein Healthcare-SaaS-Unternehmen mit 200 Mitarbeitern..."

  • Aktueller Status: "Wir implementieren ISO 27001 zum ersten Mal..."

  • Spezifisches Ziel: "Wir müssen uns auf unser Stage-2-Audit in 3 Monaten vorbereiten..."

  • Einschränkungen: "Wir haben begrenztes IT-Sicherheitspersonal und ein kleines Budget..."

  • Framework-Version: "Wir arbeiten mit ISO 27001:2022, nicht mit der Version von 2013..."

Komplexe Fragen aufteilen

Anstelle einer massiven Frage:

❌ "Wie implementiere ich ISO 27001 von Grund auf, einschließlich Risikobewertung, Kontrollen, Richtlinien, Verfahren und Vorbereitung auf die Zertifizierung?"

In fokussierte Fragen unterteilen:

  1. "Was sind die wichtigsten Phasen der ISO 27001-Implementierung für eine Organisation, die dies zum ersten Mal tut?"

  2. "Wie führe ich eine ISO 27001-Risikobewertung für eine cloudbasierte SaaS-Plattform durch?"

  3. "Welche Richtlinien sind für eine ISO 27001:2022-Zertifizierung erforderlich?"

  4. "Welche Nachweise sollte ich für ein ISO 27001 Stage-2-Audit vorbereiten?"

Fragen Sie nach Erklärungen, nicht nur nach Antworten

Fragen, die das Verständnis fördern:

  • "Erkläre den Unterschied zwischen den ISO 27001 Kontrollen 5.15 und 8.2"

  • "Warum ist die Funktionstrennung für die SOC 2-Compliance wichtig?"

  • "Was ist die Begründung hinter dem DSGVO-Prinzip der Datenminimierung?"

  • "Führe mich durch die Logik der Entscheidungsfindung bei der Risikobehandlung in ISO 27001"

Vorteile:

  • Vertieft Ihr Verständnis von Compliance-Konzepten

  • Hilft Ihnen, Anforderungen gegenüber Stakeholdern zu erklären

  • Ermöglicht eine bessere Anpassung an Ihr Unternehmen

  • Macht Sie zu einem effektiveren Compliance-Experten

Best Practices für die Dokumentenerstellung

KI für Erstentwürfe nutzen

Gute Anwendungsfälle für KI-Entwürfe:

  • Vorlagen für Richtlinien und Verfahren

  • Frameworks für Risikobewertungen

  • Leitfäden zur Kontrollimplementierung

  • Dokumentation von Gap-Analysen

  • Checklisten zur Audit-Vorbereitung

Workflow:

  1. Generieren: Bitten Sie ISMS Copilot, einen Richtlinienentwurf zu erstellen

  2. Überprüfen: Auf Genauigkeit, Vollständigkeit und Relevanz prüfen

  3. Anpassen: An den spezifischen Kontext Ihres Unternehmens adaptieren

  4. Optimieren: Unternehmensspezifische Details und Beispiele hinzufügen

  5. Validieren: Review durch Compliance-Experten oder Auditoren

  6. Freigeben: Endgültige Genehmigung durch die zuständige Stelle

Reichen Sie niemals KI-generierte Richtlinien direkt ohne Prüfung und Anpassung bei Auditoren ein. Generische Vorlagen sind ein Warnsignal für Auditoren und erfüllen Ihre spezifischen Compliance-Anforderungen möglicherweise nicht.

Anpassung an Ihr Unternehmen

Bereiche, die eine Anpassung erfordern:

  • Rollen und Verantwortlichkeiten: Tatsächliche Jobtitel und Namen

  • Technische Umgebung: Spezifische Systeme, Tools und Plattformen

  • Geschäftsprozesse: Wie Ihr Unternehmen tatsächlich arbeitet

  • Risikoprofil: Ihre spezifischen Bedrohungen, Schwachstellen und Ihr Risikoappetit

  • Regulatorische Anforderungen: Branchen- oder länderspezifische Regeln

Beispiel für eine Anpassung:

KI-generiert (generisch):

"Der Informationssicherheitsbeauftragte ist für die Überwachung der Zugriffskontrollprozesse verantwortlich."

Angepasst (spezifisch):

"Die Chief Information Security Officer (CISO), Jane Smith, delegiert die Überwachung der Zugriffskontrolle an den IT-Operations-Manager, der Okta für das Identitätsmanagement nutzt und die Zugriffsprotokolle wöchentlich über Splunk überprüft."

Nachweise und Implementierungsdetails hinzufügen

KI-Richtlinien in prüfungsreife Dokumentation verwandeln:

  • Spezifische Tool-Namen hinzufügen (z. B. "Verwendung von Vanta zur Compliance-Automatisierung")

  • Speicherorte für Nachweise angeben (z. B. "Zugriffsprotokolle gespeichert im S3-Bucket: company-audit-logs")

  • Referenzierung zugehöriger Verfahren (z. B. "Siehe SOP-001: Benutzer-Onboarding-Prozess")

  • Überprüfungszyklen dokumentieren (z. B. "Richtlinie wird vierteljährlich vom Sicherheitskomitee überprüft")

  • Verknüpfung mit Compliance-Artefakten (z. B. "Risikoregister wird im Jira Security-Projekt geführt")

Best Practices für Datei-Uploads

Was hochgeladen werden sollte

Gute Dokumente zur Analyse:

  • Bestehende Richtlinien für Gap-Analysen

  • Risikobewertungen zur Prüfung und Verbesserung

  • Audit-Berichte für die Sanierungsplanung

  • Kontrollmatrizen für Vollständigkeitsprüfungen

  • Sicherheitsfragebögen von Anbietern zur Entwurfserstellung von Antworten

Dateianforderungen:

  • Maximal 10 MB pro Datei

  • Unterstützte Formate: PDF, DOCX, DOC, XLSX, XLS, TXT, CSV, JSON

  • Eine Datei nach der anderen

Überlegungen zur Datensensibilität

Vor dem Hochladen sensibler Daten:

  1. Prüfen Sie, welche personenbezogenen oder vertraulichen Informationen das Dokument enthält

  2. Erwägen Sie die Anonymisierung von Kundennamen, Mitarbeiterdetails oder geschützten Informationen

  3. Denken Sie daran, dass hochgeladene Dateien basierend auf Ihren Datenaufbewahrungseinstellungen gespeichert werden

  4. Verwenden Sie Workspaces, um Daten verschiedener Kunden zu isolieren

Erwägen Sie bei hochsensiblen Dokumenten die Erstellung einer bereinigten Version, in der Kundennamen durch Platzhalter (z. B. "Kunde A") ersetzt werden, bevor Sie diese hochladen. Dies schützt die Vertraulichkeit und ermöglicht dennoch wertvolle KI-Analysen.

Was NICHT hochgeladen werden sollte

Vermeiden Sie den Upload von:

  • Urheberrechtlich geschützten ISO-Standards oder proprietären Frameworks (KI wird diese nicht verarbeiten — siehe unsere Richtlinie zur Compliance bezüglich des geistigen Eigentums)

  • Rohdateien mit Zugangsdaten oder Passwörtern

  • Nicht geschwärzte personenbezogene Daten (PII) oder sensible persönliche Daten

  • Kundendaten ohne entsprechende vertragliche Vereinbarungen

  • Dokumente, die Geschäftsgeheimnisse enthalten, sofern nicht unbedingt erforderlich

Best Practices für das Workspace-Management

Organisation nach Projekt oder Kunde

Empfohlene Workspace-Struktur:

  • Für Berater: Ein Workspace pro Kunde

  • Für Unternehmen: Ein Workspace pro Framework oder Initiative

  • Für mehrphasige Projekte: Separate Workspaces für Planung, Implementierung und Audit-Vorbereitung

Beispielnamen für Workspaces:

  • "Kunde A - ISO 27001:2022 Implementierung"

  • "SOC 2 Type II Audit-Vorbereitung Q1 2024"

  • "DSGVO-Compliance - HR-Abteilung"

  • "Risikobewertung - Cloud-Infrastruktur"

Benutzerdefinierte Anweisungen effektiv nutzen

Gute benutzerdefinierte Anweisungen:

  • "Konzentriere dich auf ISO 27001:2022 Kontrollen. Wir sind ein Healthcare-SaaS-Unternehmen, das unter HIPAA fällt."

  • "Wir bereiten uns auf ein SOC 2 Type II Audit vor. Betone die Erfassung von Nachweisen und die Dokumentation."

  • "Dies ist ein kleines Startup (20 Mitarbeiter) mit begrenzten Sicherheitsressourcen. Priorisiere praktische, kostengünstige Kontrollen."

Anweisungen, die nicht funktionieren:

  • ❌ Versuch, Sicherheitsbeschränkungen außer Kraft zu setzen

  • ❌ Anforderung von Inhalten, die nicht der Compliance entsprechen

  • ❌ Aufforderung, Urheberrechtsschutz zu ignorieren

Benutzerdefinierte Anweisungen helfen der KI, alle Antworten innerhalb eines Workspaces auf Ihre spezifischen Projektanforderungen zuzuschneiden. Dies reduziert die Notwendigkeit, ständig den Kontext neu zu setzen, und verbessert die Relevanz der Antworten.

Abgeschlossene Workspaces bereinigen

Wann Workspaces gelöscht werden sollten:

  • Projekt oder Auftrag ist abgeschlossen

  • Datenaufbewahrungsfrist für diesen Kunden ist abgelaufen

  • Kundenvertrag erfordert Datenlöschung

  • Workspace wurde nur für Tests oder Experimente erstellt

Vor dem Löschen:

  1. Exportieren Sie wichtige Gespräche oder Dokumentationen

  2. Archivieren Sie relevante Informationen in Ihrem Compliance-Managementsystem

  3. Vergewissern Sie sich, dass Sie den Workspace nicht mehr für zukünftige Referenzen benötigen

  4. Löschen Sie den Workspace, um die Datenhygiene zu wahren

Best Practices für die Datenaufbewahrung

Festlegen angemessener Aufbewahrungsfristen

Berücksichtigen Sie:

  • Gesetzliche Anforderungen: Regulatorische Aufbewahrungspflichten für Ihre Branche

  • Vertragliche Verpflichtungen: Kundenvereinbarungen zur Datenaufbewahrung

  • Geschäftliche Anforderungen: Wie lange Sie den Gesprächsverlauf als Referenz benötigen

  • Risikoprofil: Abwägung zwischen Datennutzen und Minimierung des Expositionsrisikos

Empfohlene Aufbewahrungsfristen:

Anwendungsfall

Empfohlene Aufbewahrung

Begründung

Kurzfristige Beratungsprojekte

90–180 Tage

Daten bis zum Projektabschluss plus Puffer aufbewahren

Jährliche Compliance-Audits

365–730 Tage

Nachweise bis zum nächsten Audit-Zyklus aufbewahren

Hochempfindliche Arbeit

30 Tage

Expositionsfenster für vertrauliche Daten minimieren

Organisatorische Wissensdatenbank

Ewig aufbewahren

Institutionelles Compliance-Wissen aufbauen

ISO 27001-Implementierung

2–3 Jahre

Zertifizierung plus erstes Überwachungsaudit abdecken

Export vor Ablauf der Frist

Für wichtige Gespräche:

  1. Kopieren Sie Gesprächsinhalte, bevor die Aufbewahrungsfrist abläuft

  2. Speichern Sie diese in Ihrem Compliance-Managementsystem oder Dokumenten-Repository

  3. Fügen Sie relevante Metadaten hinzu (Datum, Workspace, Kontext)

  4. Befolgen Sie die Aufzeichnungen-Management-Verfahren Ihrer Organisation

Die Datenlöschung erfolgt automatisch und dauerhaft. Setzen Sie sich Kalendererinnerungen, um wertvolle Gespräche zu exportieren, bevor sie gemäß Ihren Aufbewahrungseinstellungen ablaufen.

Angemessene Nutzung des temporären Chats

Wann der temporäre Chat genutzt werden sollte

Gute Anwendungsfälle:

  • Schnelle Einzelfragen, die keine dauerhafte Speicherung erfordern

  • Sondierungsrecherche, bevor man sich auf einen Workspace festlegt

  • Sensible Diskussionen, die nicht in der dauerhaften Historie erscheinen sollen

  • Testen der Formulierung komplexer Fragen

Nicht geeignet für:

  • Wichtige Projektarbeit, auf die Sie später Bezug nehmen müssen

  • Generierung von Dokumentation für Audits

  • Aufbau einer organisatorischen Wissensdatenbank

  • Arbeit, die Sie eventuell als Nachweis für Compliance-Aktivitäten benötigen

Denken Sie an das 30-tägige Sicherheitsfenster

Wichtige Einschränkung:

Sogar temporäre Chats können bis zu 30 Tage lang für die Sicherheitsüberwachung und Missbrauchsprävention aufbewahrt werden.

Bedeutung:

  • Der temporäre Chat ist nicht vollständig kurzlebig

  • Daten können überprüft werden, wenn Sicherheitsbedenken aufkommen

  • Unterliegt weiterhin den Datenverarbeitungsvereinbarungen

  • Nutzen Sie reguläre Workspaces, wenn Sie die vollständige Kontrolle über die Aufbewahrung benötigen

Ethische Überlegungen

Vertraulichkeit der Kundendaten

Schutz von Kundeninformationen:

  • Separate Workspaces für verschiedene Kunden nutzen

  • Anonymisierung von Kundennamen in Dokumenten, wo möglich

  • KI-Nutzung in Kundenverträge und Vertraulichkeitsvereinbarungen aufnehmen

  • Aufbewahrungsfristen festlegen, die mit Kundenvereinbarungen konform sind

  • Kunden informieren, wenn KI-Tools für ihre Arbeit genutzt werden

  • Aktivieren Sie den Erweiterten Datenschutzmodus, wenn Kundenverträge eine reine EU-Datenverarbeitung oder eine Null-Speicherung beim KI-Anbieter vorschreiben

Einige Kundenverträge können die Nutzung von KI-Tools oder Drittanbieter-Services untersagen. Prüfen Sie immer Ihre vertraglichen Verpflichtungen, bevor Sie Kundendaten in ISMS Copilot hochladen.

Klären Sie bei Vertragsverhandlungen mit Kunden die Nutzung von KI-Tools und Ihre Möglichkeit, den Erweiterten Datenschutzmodus für reine EU-Verarbeitung mit Null-Aufbewahrung zu aktivieren. Dies zeigt Ihr Engagement für den Datenschutz und kann ein Wettbewerbsvorteil sein.

Zuweisung und Offenlegung

Bei der Übergabe von Ergebnissen an Kunden:

  • Seien Sie transparent bezüglich der KI-Unterstützung bei der Erstellung von Ergebnissen

  • Betonen Sie Ihre fachliche Prüfung und individuelle Anpassung

  • Deklarieren Sie KI-generierte Inhalte nicht als rein originäre Eigenleistung

  • Erklären Sie, wie KI die Effizienz gesteigert hat, ohne die Qualität zu beeinträchtigen

Vermeidung übermäßiger Abhängigkeit

Warnsignale für übermäßige Abhängigkeit:

  • Übernahme von KI-Antworten ohne Verifizierung

  • Überspringen der fachlichen Prüfung KI-generierter Dokumente

  • Nutzung von KI als Ersatz für das Erlernen von Compliance-Frameworks

  • Lieferung von KI-Inhalten ohne Anpassung

  • Treffen kritischer Entscheidungen allein auf Basis von KI-Ratschlägen

Befähigung zur fachlichen Kompetenz:

  • Lernen Sie kontinuierlich über Frameworks und Standards hinzu

  • Tauschen Sie sich mit der Compliance-Community und Vordenkern aus

  • Nehmen Sie an Schulungen und Zertifizierungsprogrammen teil

  • Lesen Sie offizielle Standards und regulatorische Leitfäden

  • Entwickeln Sie Fachwissen über die KI-gestützte Arbeit hinaus

Teamschulung und Governance

Etablierung von Richtlinien zur KI-Nutzung

Wichtige Richtlinienelemente:

  1. Zulässige Anwendungsfälle: Wofür KI genutzt werden darf und wofür nicht

  2. Prüfungsanforderungen: Wer KI-generierte Inhalte prüfen muss

  3. Verifizierungsstandards: Wie KI-Ergebnisse validiert werden

  4. Datenumgang: Welche Daten hochgeladen werden dürfen und wie

  5. Offenlegung gegenüber Kunden: Wann und wie Kunden über KI-Nutzung informiert werden

  6. Dokumentation: Wie KI-Unterstützung in Arbeitsprodukten festgehalten wird

Schulung Ihres Teams

Wesentliche Schulungsthemen:

  • Funktionsweise von ISMS Copilot und seine Grenzen

  • Erkennen und Melden von Halluzinationen

  • Effektive Prompting-Techniken

  • Anforderungen an Verifizierung und Anpassung

  • Datensensibilität und Datenschutzüberlegungen

  • Workspace- und Aufbewahrungsmanagement

  • Prinzipien für ethische KI-Nutzung

Qualitätssicherungsprozesse

Prüfpunkte implementieren:

  1. KI-Entwurf: Initialer KI-generierter Inhalt

  2. Erste Prüfung: Fachexperte verifiziert die Genauigkeit

  3. Anpassung: Adaption an den organisatorischen Kontext

  4. Zweite Prüfung: Compliance-Leitung prüft die Vollständigkeit

  5. Final Approval: Autorisierter Prüfer gibt den Inhalt frei

  6. Audit-Trail: Dokumentation von Prüfung und Freigabe

Erfolgsmessung

KI-Wert verfolgen

Mögliche Kennzahlen:

  • Zeitersparnis bei der Erstellung von Richtlinien

  • Verkürzung der Compliance-Vorbereitungszyklen

  • Anzahl der Audit-Feststellungen (um sicherzustellen, dass die Qualität nicht leidet)

  • Zufriedenheit des Teams mit der KI-Unterstützung

  • Kundenfeedback zur Qualität der Ergebnisse

Kontinuierliche Verbesserung

Ansatz verfeinern:

  • Dokumentation effektiver Prompts und Fragen

  • Best Practices im gesamten Team teilen

  • Halluzinationen verfolgen und melden, um das System zu verbessern

  • Richtlinien zur KI-Nutzung basierend auf Erfahrungen aktualisieren

  • Aufbewahrungs- und Workspace-Strategien bei Bedarf anpassen

Checkliste für verantwortungsvolle KI

Vor der Nutzung von KI

  • ✓ Die KI-Nutzungsrichtlinie Ihres Unternehmens verstehen

  • ✓ Kundenverträge auf Einschränkungen bezüglich KI-Tools prüfen

  • ✓ Verifizierungs- und Überprüfungsprozesse planen

  • ✓ Angemessene Datenaufbewahrungsfristen festlegen

  • ✓ Workspaces für verschiedene Projekte/Kunden erstellen

Während der Nutzung von KI

  • ✓ Spezifische, kontextualisierte Fragen stellen

  • ✓ Antworten auf Genauigkeit und Relevanz prüfen

  • ✓ KI-Ergebnisse an Ihr Unternehmen anpassen

  • ✓ Mit offiziellen Standards abgleichen

  • ✓ Professionelles Urteilsvermögen beibehalten

Nach der Nutzung von KI

  • ✓ KI-generierte Inhalte von Experten prüfen lassen

  • ✓ KI-Unterstützung in Arbeitsprodukten dokumentieren

  • ✓ Halluzinationen oder Sicherheitsbedenken melden

  • ✓ Wichtige Gespräche vor Ablauf der Frist archivieren

  • ✓ Abgeschlossene Workspaces ordnungsgemäß löschen

Nächste Schritte

Hilfe erhalten

Bei Fragen zum verantwortungsvollen Umgang mit KI:

  • Besuchen Sie das Trust Center für Leitfäden zur KI-Governance

  • Kontaktieren Sie den Support über das Hilfezentrum-Menü

  • Melden Sie Sicherheitsbedenken oder unangemessenes KI-Verhalten

  • Teilen Sie Feedback zur Effektivität und Benutzerfreundlichkeit der KI

War das hilfreich?