ISMS Copilot
Produktentwicklung

Dynamische Framework-Wissensinjektion

Was ist die Dynamische Framework-Wissensinjektion?

Die dynamische Framework-Wissensinjektion ist die Kerntechnologie, die ISMS Copilot von herkömmlichen KI-Assistenten unterscheidet. Wenn Sie eine Frage zu Compliance-Frameworks stellen, erkennt das System automatisch, auf welche Frameworks Sie sich beziehen, und reichert den Kontext der KI mit autorisiertem Fachwissen an. So werden präzise, prüfungsreife Antworten gewährleistet, die auf tatsächlichen Framework-Anforderungen basieren.

Diese Funktion arbeitet automatisch in jeder Konversation. Es ist keine Konfiguration erforderlich – erwähnen Sie einfach ein Framework wie „ISO 27001“ oder „DSGVO“ und das System erledigt den Rest.

Warum wir dies entwickelt haben

Allgemeine KI-Modelle werden mit allgemeinem Internetwissen trainiert, was für Compliance-Experten zwei Probleme schafft:

  • Halluzinationsrisiko: Die KI könnte selbstbewusst Kontrollen oder Anforderungen zitieren, die gar nicht existieren.

  • Veraltete Informationen: Framework-Updates (wie ISO 27001:2022) sind möglicherweise nicht in den Trainingsdaten enthalten.

Wir brauchten eine Möglichkeit, jede Antwort auf verifiziertem, aktuellem Framework-Wissen zu basieren, ohne dass Benutzer für jedes Gespräch hunderte Seiten an Standarddokumentation hochladen müssen.

Funktionsweise (Überblick)

Das Injektionssystem arbeitet während jeder Chat-Interaktion in drei Phasen:

1. Intelligente Erkennung

Das System überwacht Ihr Gespräch auf Erwähnungen von Compliance-Frameworks. Dies funktioniert sowohl bei expliziten Referenzen („ISO 27001 Annex A.8.1“) als auch bei impliziten („Was sind die Anforderungen an die Zugangskontrolle?“ in einem Arbeitsbereich für Informationssicherheit).

2. Wissensabruf

Sobald ein Framework erkannt wird, ruft das System das relevante strukturierte Wissen ab – Kontrollen, Klauseln, Anforderungen und Mappings. Dieses Wissen stammt aus unserer proprietären Wissensdatenbank, die auf realen Beratungsprojekten und offiziellen Framework-Dokumentationen basiert.

Der Abruf erfolgt selektiv und effizient. Anstatt ganze Framework-Dokumente zu laden, werden basierend auf Ihrem Abfragekontext nur die relevanten Teile injiziert.

3. Kontext-Anreicherung

Bevor die KI eine Antwort generiert, wird das Framework-Wissen in den Prompt-Kontext injiziert. Dadurch wird sichergestellt, dass die Antwort der KI auf präzisen, aktuellen Framework-Anforderungen basiert und nicht auf generischen Trainingsdaten.

Unterstützte Frameworks

Das System unterstützt derzeit die automatische Wissensinjektion für vierzehn Compliance-Frameworks:

  • ISO 27001:2022 – Informationssicherheits-Managementsystem

  • ISO 42001:2023 – KI-Managementsystem

  • ISO 27701:2019 – Datenschutz-Informationsmanagementsystem

  • SOC 2 – Trust Services Criteria

  • HIPAA – Health Insurance Portability and Accountability Act

  • DSGVO – Datenschutz-Grundverordnung

  • CCPA – California Consumer Privacy Act

  • NIS 2 – Richtlinie zur Netz- und Informationssicherheit

  • DORA – Digital Operational Resilience Act

  • ISO 9001:2015 – Qualitätsmanagementsystem

  • ISO 22301:2019 – Business Continuity Managementsystem

  • HDS v2.0 – Französische Zertifizierung für das Hosting von Gesundheitsdaten

  • TISAX – Trusted Information Security Assessment Exchange

  • EU AI Act – Verordnung der Europäischen Union über Künstliche Intelligenz

Zusätzliche Frameworks werden auf Basis der Benutzernachfrage und der Forschung unseres GRC-Engineering-Teams zu neuen Regulierungen hinzugefügt.

Das Benutzererlebnis

Wenn Sie eine Nachricht senden, die die Framework-Erkennung auslöst, sehen Sie Ladeindikatoren wie:

  • „Ihre Frage wird analysiert…“

  • „Framework-Wissen wird konsultiert…“

  • „Antwort wird vorbereitet…“

Dies dauert in der Regel 5-15 Sekunden. Die Antwort, die Sie erhalten, enthält spezifische Zitate zu Framework-Anforderungen, Kontrollen oder Klauseln – ein Beleg dafür, dass die Wissensinjektion funktioniert hat.

Multi-Framework-Unterstützung: Wenn Ihre Frage mehrere Frameworks umfasst (z. B. „Wie lassen sich ISO 27001 und SOC 2 Kontrollen für die Zugriffsverwaltung mappen?“), injiziert das System Wissen für alle erkannten Frameworks gleichzeitig.

Entwicklung von RAG

ISMS Copilot v1.0 nutzte Retrieval-Augmented Generation (RAG), wobei jedes Mal eine Vektordatenbank nach relevanten Abschnitten durchsucht wurde. Obwohl RAG effektiv war, gab es Einschränkungen:

  • Variable Abrufqualität je nach Formulierung der Anfrage

  • Höhere Latenz durch Datenbankabfragen

  • Schwierigkeiten bei der Gewährleistung einer lückenlosen Framework-Abdeckung

Im Dezember 2024 sind wir zur dynamischen Injektion mit strukturiertem, kuratiertem Framework-Wissen übergegangen. Dieser Ansatz bietet:

  • Konsistenz: Die Erwähnung desselben Frameworks führt immer zum Abruf desselben autorisierten Wissens.

  • Geschwindigkeit: Keine Latenz durch Vektorsuche.

  • Vollständigkeit: Gesamte Framework-Strukturen (Kontrollen, Klauseln, Mappings) sind on-demand verfügbar.

  • Wartbarkeit: GRC-Ingenieure können das Framework-Wissen zentral aktualisieren, wenn sich Standards ändern.

Technischer Architektur-Überblick

Während die spezifischen Implementierungsdetails proprietär sind, folgt die Architektur auf hohem Niveau den Best Practices der Branche für kontextbezogene KI-Systeme:

  • Erkennungsschicht: Musterabgleich identifiziert Framework-Referenzen im Konversationsverlauf.

  • Wissensschicht: Strukturierte Markdown-Tabellen speichern Kontrollen, Klauseln und Anforderungen für jedes Framework.

  • Injektionsschicht: Ausgewähltes Wissen wird vor der KI-Inferenz an den System-Prompt angehängt.

  • Antwortschicht: Die KI generiert Antworten, die auf dem injizierten Framework-Wissen basieren.

Token-Effizienz ist entscheidend. Das Injizieren vollständiger Framework-Dokumentationen (über 10.000 Token) würde die Kontextlimits des Modells überschreiten und Antworten verlangsamen. Das System ruft selektiv nur das ab, was für die jeweilige Anfrage benötigt wird.

Qualitätssicherung

Das Framework-Wissen durchläuft eine strenge Prüfung, bevor es in das System aufgenommen wird:

  • Prüfung durch GRC-Ingenieure: Unser Team aus Compliance-Experten validiert alle Framework-Inhalte gegen offizielle Quellen.

  • Menschliche Überprüfung: Jedes Update des Framework-Wissens wird manuell auf Genauigkeit und Vollständigkeit geprüft.

  • Versionsverfolgung: Das Framework-Wissen wird versioniert (z. B. ISO 27001:2022 vs. 2013), um sicherzustellen, dass Benutzer aktuelle Standards erhalten.

Dieser zweistufige Prüfprozess – Validierung durch GRC-Spezialisten plus gründliche menschliche Aufsicht – stellt sicher, dass das Wissen, das Sie erhalten, audit-fähigen Qualitätsstandards entspricht.

Was dies für die Benutzer bedeutet

Wenn Sie ISMS Copilot nutzen, erhalten Sie:

  • Präzise Antworten: Basierend auf tatsächlichen Framework-Anforderungen, nicht auf halluzinierten Inhalten.

  • Aktuelle Informationen: Die Wissensdatenbank spiegelt die neuesten Framework-Versionen und Updates wider.

  • Audit-reife Ergebnisse: Antworten enthalten spezifische Kontroll-/Klauselzitate, die Sie verifizieren können.

  • Null Konfiguration: Keine Notwendigkeit, Standarddokumente hochzuladen oder Einstellungen anzupassen.

Weitere Details dazu, wie ISMS Copilot KI-Halluzinationen durch Wissensfundierung verhindert, finden Sie unter KI-Halluzinationen verstehen und verhindern.

War das hilfreich?