ISMS Copilot
Prompt-Engineering

Komplexe Anfragen aufteilen

Warum komplexe Abfragen aufteilen?

Compliance-Projekte bestehen aus vielschichtigen Aufgaben – Richtlinien erfordern Risikobewertungen, Implementierungen benötigen Anbieterbewertungen, Audits verlangen Nachweise über Dutzende von Kontrollen. Fragt man den ISMS Copilot in einer einzigen Abfrage, „auf das SOC 2 Audit vorzubereiten“, führt dies zu oberflächlichen Anleitungen zu zu vielen Themen.

Sequenzielle, fokussierte Abfragen liefern tiefere, handlungsorientiertere Antworten. Jeder Schritt baut auf dem vorherigen auf, sodass Sie die Richtung verfeinern und Probleme frühzeitig erkennen können, anstatt Lücken erst nach der Erstellung von 50 Seiten allgemeiner Dokumentation zu entdecken.

Vorteile sequenzieller Abfragen

  • Höhere Qualität pro Thema – Fokussierte Prompts liefern detaillierte, auditfähige Ergebnisse anstelle von gekürzten Zusammenfassungen.

  • Einfachere Überprüfung – Überprüfen Sie jeweils eine Kontrolle oder Richtlinie anhand der Standards, nicht ganze Frameworks auf einmal.

  • Anpassungsfähige Steuerung – Passen Sie Folgeanfragen basierend auf Zwischenergebnissen an, ohne unnötigen Aufwand.

  • Bessere Nutzung des Nachrichten-Kontingents – Limits im Free-Tarif fördern die Effizienz; gezielte Abfragen maximieren den Wert pro Nachricht.

  • Erhalt des Kontexts – Workspaces speichern den Gesprächsverlauf, sodass spätere Abfragen auf frühere Ergebnisse Bezug nehmen können.

Hinweis: Die Nachrichten-Komprimierung ist jetzt für den Think-Modus (Claude Opus 4.6) aktiv, was deutlich längere Konversationen ermöglicht, ohne Ihre Nutzungslimits stark zu belasten. Die Unterstützung für den Fast-Modus folgt in Kürze. Dies macht sequenzielle mehrstufige Workflows noch effizienter.

Wie man komplexe Anfragen zerlegt

1. Mit dem Scoping beginnen

Erste Abfrage: Verstehen Sie die gesamte Landschaft, bevor Sie in Details eintauchen.

Beispiel für ein komplexes Ziel: „ISO 27001 für unser Startup implementieren“

Scoping-Abfrage: „Was sind die wichtigsten Phasen und Kontrollen für die ISO 27001:2022-Implementierung in einem SaaS-Unternehmen mit 40 Mitarbeitern und einem Zeitplan von 9 Monaten?“

Ergebnis: Grobe Roadmap, Prioritätskontrollen, Ressourcenschätzungen. Nutzen Sie dies, um nachfolgende Abfragen zu strukturieren.

2. Einen Bereich nach dem anderen bearbeiten

Gehen Sie sequenziell durch die Framework-Bereiche oder Trust Services Criteria.

Beispielsequenz für SOC 2:

  1. „Welche SOC 2 CC6 (logischer Zugriff)-Kontrollen gelten für eine SaaS-Plattform, die Okta und AWS nutzt?“

  2. „Erstelle ein Verfahren zur Überprüfung des Benutzerzugriffs für CC6.1 mit vierteljährlichen Überprüfungen durch Manager.“

  3. „Welche Nachweise belegen die Compliance von CC6.2 (Authentifizierung) mit MFA über Okta?“

  4. „Entwirf eine Passwortrichtlinie, die die Anforderungen von CC6.1 für unser Team abdeckt.“

Jede Abfrage erzeugt ein vollständiges, umsetzbares Ergebnis für diese Kontrolle, bevor man zum nächsten Punkt übergeht.

3. Vom Groben ins Detail schichten

Beginnen Sie breit gefächert und bohren Sie basierend auf den ersten Antworten in die Details nach.

Sequenz:

  1. „Was sind die organisatorischen Kontrollen von ISO 27001 Anhang A.5?“ (Überblick)

  2. „Vertiefe die Anforderungen von A.5.1 (Informationssicherheitsrichtlinien)“ (fokussiert)

  3. „Entwirf eine Informationssicherheitsrichtlinie gemäß A.5.1 für ein Healthcare-SaaS mit HIPAA-Anforderungen“ (Implementierung)

  4. „Welche Nachweise erwarten Auditoren für die Genehmigung und Kommunikation der A.5.1-Richtlinie?“ (Audit-Vorbereitung)

Jeder Schritt vertieft das Verständnis, bevor die Dokumentation finalisiert wird.

4. Erstellung und Überprüfung trennen

Verlangen Sie nicht gleichzeitig die Erstellung eines Dokuments und eine Gap-Analyse.

❌ Überladene Abfrage: „Erstelle eine Risikobewertung für ISO 27001 und sage mir, was in unserem aktuellen Ansatz fehlt.“

✅ Sequenzieller Ansatz:

  1. „Überprüfe unseren aktuellen Risikobewertungsprozess [Datei anhängen] gegen ISO 27001 A.5.7 und identifiziere Lücken.“

  2. „Erstelle eine Vorlage für die Risikobewertung, die die identifizierten Lücken für unsere AWS-Umgebung schließt.“

Dies stellt sicher, dass die Gap-Analyse das Design der Vorlage beeinflusst und nicht umgekehrt.

5. Abhängigkeiten in der richtigen Reihenfolge angehen

Einige Compliance-Aufgaben erfordern vorherige Ergebnisse.

Beispiel für eine Abhängigkeitskette:

  1. „Welche Assets sollten wir in ein ISO 27001 Asset-Inventar für eine SaaS-Plattform aufnehmen?“ (Basis)

  2. „Erstelle ein Asset-Klassifizierungsschema für Kundendaten, interne Systeme und Code-Repositories.“ (Struktur)

  3. „Erstelle eine Vorlage für die Risikobewertung unter Verwendung des Asset-Inventars und der Klassifizierungen.“ (baut auf 1-2 auf)

  4. „Entwirf Risikobehandlungspläne für Risiken mit hoher Priorität aus der Bewertung.“ (baut auf 3 auf)

Jedes Ergebnis speist das nächste und schafft so eine kohärente Dokumentation.

Nutzen Sie Workspaces, um den Kontext über mehrstufige Workflows hinweg beizubehalten. ISMS Copilot merkt sich vorherige Gesprächsschritte, sodass spätere Abfragen auf „die Risikobewertung von vorhin“ oder „die soeben erstellte Richtlinie“ verweisen können.

Beispiele nach Szenario

Szenario 1: Erstes SOC 2 Audit

Komplexe Anfrage: „Hilf mir, mich in 6 Monaten auf das SOC 2 Type I Audit vorzubereiten.“

Aufgeteilt:

  1. „Was sind die SOC 2 Trust Services Criteria für Sicherheit und Verfügbarkeit, und welche davon gelten für eine B2B-SaaS-Plattform?“

  2. „Erstelle eine SOC 2 Readiness-Checkliste für ein Unternehmen mit 50 Mitarbeitern und 6 Monaten bis zum Audit.“

  3. „Erstelle eine Informationssicherheitsrichtlinie für CC1.1-1.5 (Governance und Risiko).“

  4. „Welcher Prozess zur Lieferanten-Risikobewertung erfüllt CC9.2 für unsere SaaS-Abhängigkeiten (AWS, Stripe, SendGrid)?“

  5. „Entwirf einen Incident Response Plan für CC7.3 mit Rollen, Eskalations- und Kommunikationsverfahren.“

  6. „Mit welcher Beweismittelsammlung sollten wir jetzt für CC6.1 (Zugriffsüberprüfungen) beginnen, angesichts vierteljährlicher Überprüfungszyklen?“

Sechs fokussierte Abfragen schlagen eine überwältigende Anfrage.

Szenario 2: ISO 27001 Gap-Behebung

Komplexe Anfrage: „Behebe unsere ISO 27001 Audit-Feststellungen in den Bereichen Zugriffskontrolle, Änderungsmanagement und Protokollierung.“

Aufgeteilt:

  1. „Unser Auditor hat unzureichende Zugriffsüberprüfungen für ISO 27001 A.5.18 bemängelt. Entwirf einen vierteljährlichen Prozess zur Zugriffsüberprüfung für Okta, AWS IAM und GitHub.“

  2. „Erstelle ein Änderungsmanagement-Verfahren für A.8.32, das unseren GitHub + AWS CodePipeline CI/CD-Workflow mit Genehmigungsschritten abdeckt.“

  3. „Welche Protokollierungskonfiguration erfüllt ISO 27001 A.8.15 für AWS CloudTrail, Anwendungsprotokolle in Datadog und Okta-Systemprotokolle?“

  4. „Erstelle Verfahren zur Beweismittelsammlung für die neuen Kontrollen zu Zugriffsüberprüfung, Änderungsmanagement und Protokollierung.“

Behandelt jede Feststellung gründlich mit Details zur Implementierung.

Szenario 3: Abgleich mehrerer Frameworks

Komplexe Anfrage: „Ordne ISO 27001- und SOC 2-Kontrollen einander zu, um Duplikate zu reduzieren.“

Aufgeteilt:

  1. „Welche SOC 2-Kontrollen überschneiden sich mit ISO 27001:2022 Anhang A.5 (organisatorische Kontrollen)?“

  2. „Erstelle eine einzige Zugriffskontrollrichtlinie, die sowohl ISO 27001 A.5.15-5.18 als auch SOC 2 CC6.1-6.3 erfüllt.“

  3. „Wie kann ein einziges Incident-Response-Verfahren die Anforderungen von ISO 27001 A.5.24 und SOC 2 CC7.3-7.5 abdecken?“

  4. „Entwirf einen einheitlichen Prozess zur Beweismittelsammlung für überschneidende Kontrollen in beiden Frameworks.“

Identifiziert Synergien, bevor eine gemeinsame Dokumentation erstellt wird.

Szenario 4: Überprüfung und Verbesserung von Dokumenten

Komplexe Anfrage: „Überprüfe alle unsere Richtlinien und aktualisiere sie für den neuen Standard ISO 27001:2022.“

Aufgeteilt:

  1. „Was hat sich zwischen ISO 27001:2013 und 2022 geändert, das bestehende Richtlinien betrifft?“ (Verständnis)

  2. „Überprüfe unsere Informationssicherheitsrichtlinie [anhängen] gegen ISO 27001:2022 A.5.1 und schlage Aktualisierungen vor.“ (eine Richtlinie)

  3. „Überprüfe unsere Zugriffskontrollrichtlinie [anhängen] gegen die neuen Kontrollen A.5.15-5.18 und identifiziere Lücken.“ (nächste Richtlinie)

  4. „Aktualisiere unsere Risikobewertungsmethodik, um die neuen A.5.7-Anforderungen für Cloud-Assets aufzunehmen.“ (spezifisches Update)

Eine systematische Überprüfung ist besser, als zu versuchen, alles gleichzeitig zu aktualisieren.

Erkennen, wann eine Aufteilung nötig ist

Ihre Abfrage ist zu komplex, wenn sie:

  • Ergebnisse für mehr als 5 Kontrollen oder Bereiche anfordert.

  • Sowohl strategische Beratung als auch Implementierungsdetails verlangt.

  • Erstellung, Überprüfung und Gap-Analyse kombiniert.

  • Mehrere Frameworks abdeckt, ohne Prioritäten zu nennen.

  • „Und“ oder „außerdem“ mehr als zweimal enthält.

Komplexe Abfragen führen oft zu oberflächlichen Ergebnissen, die ohnehin umfangreiche Nachfragen erfordern. Der Start mit fokussierten Abfragen spart Zeit und verbessert die Qualität des ersten Entwurfs.

Kontext über Abfragen hinweg beibehalten

Innerhalb einer Konversation im Workspace merkt sich ISMS Copilot frühere Austauschvorgänge. Nutzen Sie Referenzen wie:

  • „Vertiefe den Prozess der Zugriffsüberprüfung aus der vorherigen Antwort.“

  • „Wende die besprochene Risikomethodik auf die Datenbankverschlüsselung an.“

  • „Aktualisiere den Richtlinienentwurf um die soeben aufgelisteten Nachweisanforderungen.“

Dies baut schrittweise eine kohärente Dokumentation auf, ohne den roten Faden zu verlieren.

Wann Komplexität angemessen ist

Einige Abfragen profitieren von der Bündelung zusammengehöriger Elemente:

  • Implementierung einer einzelnen Kontrolle – „Implementiere ISO 27001 A.8.24 (Kryptographie), einschließlich Verschlüsselung im Ruhezustand (at rest), bei der Übertragung (in transit) und Schlüsselmanagement für unsere AWS-Umgebung.“ (ein Bereich, zusammengehörige Aspekte)

  • Vergleichende Analyse – „Vergleiche die Anforderungen für Zugriffskontrolle nach ISO 27001, SOC 2 und NIST CSF für unsere SaaS-Plattform.“ (bewusste frameworkübergreifende Sicht)

  • Integrierte Verfahren – „Erstelle ein kombiniertes Onboarding/Offboarding-Verfahren, das ISO 27001 A.5.17 und SOC 2 CC6.1 mit Rollenbereitstellung in Okta, AWS, GitHub und Salesforce abdeckt.“ (natürlich integrierter Workflow)

Der Schlüssel liegt darin, zusammengehörige Elemente mit natürlichen Verbindungen zu nutzen, anstatt unzusammenhängende Aufgaben zu erzwingen.

Erfolg messen

Effektive Zerlegung erzeugt:

  • Antworten, die Sie ohne größere Bearbeitung sofort umsetzen können.

  • Ein klares Verständnis jeder Komponente, bevor Sie fortfahren.

  • Wiederverwendbare Ergebnisse (Richtlinien, Vorlagen, Verfahren) ohne Lücken.

  • Effiziente Nutzung des Nachrichten-Kontingents (Qualität vor Quantität).

Wenn Sie dasselbe Thema dreimal abfragen, war Ihre ursprüngliche Anfrage wahrscheinlich zu breit oder zu vage.

Betrachten Sie Gespräche mit dem ISMS Copilot wie Pair Programming: Iterativer, fokussierter Austausch führt zu besserem Code, als zu versuchen, ein komplettes System in einer einzigen Anfrage zu entwerfen. Das Gleiche gilt für die Compliance-Dokumentation.

Nächste Schritte

Nehmen Sie Ihre nächste komplexe Compliance-Aufgabe und skizzieren Sie 3-5 sequenzielle Abfragen, um sie zu bearbeiten. Achten Sie darauf, wie jeder fokussierte Schritt qualitativ hochwertigere und besser umsetzbare Anleitungen liefert.

Zurück zur Übersicht Prompt Engineering

War das hilfreich?