ISMS Copilot
Prompt-Engineering

Iterieren und Verfeinern mit Multi-Turn-Konversationen

Die Macht des Konversationskontexts

Im Gegensatz zu einmaligen Abfragen bei generischen KI-Tools speichert der ISMS Copilot den Konversationsverlauf innerhalb von Workspaces. Jede Folgefrage baut auf vorherigen Antworten auf, sodass Sie Richtlinien verfeinern, spezifische Kontrollen vertiefen oder Empfehlungen anpassen können, ohne den Kontext wiederholen zu müssen.

Dieser iterative Ansatz spiegelt die tatsächliche Arbeitsweise von Compliance-Experten wider: Mit einem Überblick über das Framework beginnen, Prioritätskontrollen vertiefen, erste Entwürfe erstellen und diese dann basierend auf organisatorischen Besonderheiten und Audit-Feedback verfeinern.

Wie die Kontext-Persistenz funktioniert

Innerhalb einer Workspace-Konversation erinnert sich der ISMS Copilot an:

  • Für den Workspace festgelegte benutzerdefinierte Anweisungen

  • Vorherige Abfragen und Antworten im aktuellen Thread

  • Zuvor erwähnte Frameworks, Kontrollen und organisatorische Details

  • In früheren Nachrichten generierte Dokumente und Richtlinien

  • Von Ihnen spezifizierte Klarstellungen und Einschränkungen

Dadurch können Sie auf „die Zugriffskontrollrichtlinie von vorhin“ verweisen oder „A.5.15 aus der vorherigen Antwort erweitern“, ohne alles erneut erklären zu müssen.

Starten Sie neue Workspace-Konversationen für nicht zusammenhängende Projekte (andere Kunden, Frameworks oder Phasen), um Kontextverwirrung zu vermeiden. Nutzen Sie dieselbe Konversation für die Iteration verbundener Aufgaben.

Gängige Iterationsmuster

1. Erkunden → Fokussieren → Implementieren

Breit beginnen, auf Details eingrenzen und dann Ergebnisse generieren.

Beispiel-Konversation:

  1. Erkunden: „Was sind die wichtigsten SOC 2 CC7-Kontrollen für den Systembetrieb?“

  2. Fokussieren: „Vertiefe CC7.2 (Systemüberwachung) für eine SaaS-Plattform, die Datadog und PagerDuty nutzt.“

  3. Implementieren: „Erstelle einen Entwurf für ein Systemüberwachungsverfahren für CC7.2, einschließlich Alarmschwellen, Eskalationspfaden und Incident-Protokollierung.“

  4. Verfeinern: „Füge einen Abschnitt zum Management von Fehlalarmen hinzu und passe die Alarmschwellen für ein 99,9 % Verfügbarkeits-SLA an.“

Jeder Schritt geht tiefer vom Konzept über die Implementierung bis hin zum operativen Detail.

2. Generieren → Überprüfen → Verbessern

Erste Ergebnisse erstellen, Lücken identifizieren und dann optimieren.

Beispiel-Konversation:

  1. Generieren: „Erstelle eine Risikobewertungsvorlage für ISO 27001 A.5.7, die unsere AWS-Infrastruktur abdeckt.“

  2. Überprüfen: „Berücksichtigt diese Vorlage Risiken bei Multi-Region-Deployments und Drittanbieter-Integrationen?“

  3. Verbessern: „Füge Abschnitte für Risiken der regionsübergreifenden Datenreplikation und Sicherheitsbewertungen für API-Integrationen hinzu.“

  4. Validieren: „Welche Nachweise erwarten Auditoren für diesen Risikobewertungsansatz?“

Iterative Verfeinerung liefert auditbereite Ergebnisse, ohne von vorne anfangen zu müssen.

3. Vergleichen → Entscheiden → Anpassen

Optionen bewerten, Ansatz auswählen und dann auf Ihre Organisation zuschneiden.

Beispiel-Konversation:

  1. Vergleichen: „Was sind die Vor- und Nachteile von rollenbasierter vs. attributbasierter Zugriffskontrolle für ISO 27001 A.5.15?“

  2. Entscheiden: „Wir werden RBAC nutzen. Welche Rollen sollten wir für ein 50-Personen-SaaS-Unternehmen mit Engineering-, Vertriebs- und Support-Teams definieren?“

  3. Anpassen: „Erstelle eine RBAC-Matrix, die diese Rollen Systemen zuordnet: AWS, GitHub, Salesforce, Zendesk und Admin-Tools.“

  4. Implementieren: „Erstelle ein Verfahren zur Zugriffsbereitstellung unter Verwendung dieses RBAC-Modells mit Genehmigungsworkflows.“

Entscheidungen fließen in nachfolgende Schritte ein, ohne die Begründung zu wiederholen.

4. Kontrolle → Nachweise → Verifizierung

Kontrolle implementieren, Nachweisbedarf identifizieren, Validierung planen.

Beispiel-Konversation:

  1. Kontrolle: „Wie implementiere ich ISO 27001 A.8.15 Protokollierung für AWS CloudTrail und Applikations-Logs?“

  2. Nachweise: „Welche Nachweise belegen die Einhaltung von A.8.15 gegenüber einem Auditor?“

  3. Verifizierung: „Erstelle eine vierteljährliche Checkliste zur Log-Überprüfung, um die Wirksamkeit von A.8.15 zu verifizieren und Nachweise zu sichern.“

  4. Dokumentieren: „Entwirf den Abschnitt zur Protokollierung unserer ISMS-Dokumentation mit Bezug auf diese Kontrollen und Nachweise.“

End-to-End-Implementierung in einem einzigen Konversations-Thread.

Effektive Follow-up-Techniken

Bezugnahme auf vorherige Ergebnisse

Nutzen Sie Formulierungen, die das Konversationsgedächtnis nutzen:

  • „Vertiefe den dritten Punkt aus deiner letzten Antwort.“

  • „Wende die gerade besprochene Risikomethodik auf die Datenbankverschlüsselung an.“

  • „Aktualisiere den Richtlinienentwurf um diese Nachweisanforderungen.“

  • „Füge die von dir genannten Tools (Okta, AWS IAM) zur Zugriffskontrollmatrix hinzu.“

Schrittweise aufbauen

Fügen Sie Komplexität schrittweise hinzu, statt alles auf einmal zu verlangen:

  1. „Erstelle ein grundlegendes Incident-Response-Verfahren für ISO 27001 A.5.24.“

  2. „Füge Kommunikationsvorlagen für interne Eskalation und Kundenbenachrichtigung hinzu.“

  3. „Beziehe die Integration mit unserem PagerDuty-Alerting und Jira-Ticketing-Workflow ein.“

  4. „Erweitere den Abschnitt zur Überprüfung nach einem Vorfall um Schritte zur Ursachenanalyse.“

Das Schichten von Details verhindert überfordernde Erstergebnisse.

Verständnis testen

Stellen Sie die Übereinstimmung sicher, bevor Sie umfangreiche Inhalte generieren lassen:

  • „Bevor du die vollständige Richtlinie entwirfst, bestätige bitte: Soll sie sowohl Mitarbeiter als auch externe Auftragnehmer abdecken?“

  • „Erfüllt dieser Ansatz sowohl ISO 27001 A.6.1 als auch unsere DSGVO-Verpflichtungen?“

  • „Ist eine vierteljährliche Überprüfung für SOC 2 CC6.1 ausreichend, oder sollte sie monatlich erfolgen?“

Frühzeitige Kurskorrekturen vermeiden Nachbesserungen.

Alternativen anfordern

Erkunden Sie Optionen innerhalb der Konversation:

  • „Was ist ein alternativer Ansatz für kleinere Teams mit begrenztem Budget?“

  • „Zeige mir eine vereinfachte Version für die Erstimplementierung und dann den vollständigen Enterprise-Ansatz.“

  • „Vergleiche manuelle vs. automatisierte Lösungen für diese Kontrolle.“

Der Konversationskontext wird zwischen verschiedenen Workspace-Konversationen zurückgesetzt. Erwarten Sie nicht, dass der ISMS Copilot sich an Details aus dem Workspace eines anderen Kunden oder einem anderen Konversations-Thread im selben Workspace erinnert.

Beispiele nach Szenario

Iteration der Richtlinienentwicklung

Turn 1: „Entwirf eine Zugriffskontrollrichtlinie für SOC 2 CC6, die Benutzerbereitstellung, Überprüfungen und Kündigung abdeckt.“

Turn 2: „Füge einen Abschnitt zum Privileged Access Management (PAM) für Admin-Rollen in AWS und GitHub hinzu.“

Turn 3: „Beziehe Notfallzugriffsverfahren für On-Call-Ingenieure mit anschließender Protokollierung ein.“

Turn 4: „Ändere die Überprüfungshäufigkeit von vierteljährlich auf monatlich für privilegierte Konten und vierteljährlich für Standardbenutzer.“

Turn 5: „Füge Verweise auf unsere Okta SSO-Konfiguration und rollenbasierte Gruppen hinzu.“

Ergebnis: Umfassende, maßgeschneiderte Richtlinie, die durch Verfeinerung entstanden ist.

Deep Dive in die Gap-Analyse

Turn 1: „Analysiere unseren aktuellen Sicherheitsstatus im Vergleich zu ISO 27001:2022 Anhang A.8 (technische Kontrollen).“

Turn 2: „Konzentriere dich auf die identifizierten Lücken in A.8.1 (Benutzer-Endgeräte) und A.8.15 (Protokollierung).“

Turn 3: „Welche Tools erfüllen für die Lücke im Endgerätemanagement A.8.1 für ein Remote-First-Team mit macOS und Windows?“

Turn 4: „Erstelle einen Implementierungsplan für Jamf (macOS) und Intune (Windows), der die Anforderungen von A.8.1 erfüllt.“

Turn 5: „Welche Nachweise benötigen Auditoren, um die Konformität mit A.8.1 bei diesen Tools zu verifizieren?“

Ergebnis: Von der abstrakten Lücke über die Tool-Auswahl bis zum Implementierungsplan in einem Thread.

Multi-Framework-Abgleich

Turn 1: „Wir müssen sowohl ISO 27001 A.5.24 (Incident Management) als auch SOC 2 CC7.3-7.5 erfüllen. Welche Überschneidungen gibt es?“

Turn 2: „Erstelle einen einheitlichen Incident-Response-Plan, der beide Frameworks abdeckt.“

Turn 3: „Füge spezifische Abschnitte für die erwähnten einzigartigen SOC 2-Anforderungen hinzu (Verfügbarkeitsvorfälle und Kommunikationszeitpläne).“

Turn 4: „Füge eine Tabelle hinzu, die jeden Verfahrensschritt den relevanten ISO 27001- und SOC 2-Kontrollen zuordnet, um die Audit-Rückverfolgbarkeit zu gewährleisten.“

Ergebnis: Effizienter Einzelplan mit klarer Compliance-Zuordnung.

Fehlerbehebung bei der Implementierung

Turn 1: „Wie implementiere ich MFA für ISO 27001 A.5.17 mit Okta?“

Turn 2: „Wir haben Legacy-Anwendungen, die kein SAML unterstützen. Wie gehen wir damit um?“

Turn 3: „Schlage eine kompensierende Kontrolle für die Legacy-Apps vor, bis wir diese migrieren können.“

Turn 4: „Dokumentiere den Ansatz der kompensierenden Kontrolle für die Audit-Prüfung, einschließlich des Zeitplans für die vollständige MFA-Migration.“

Ergebnis: Pragmatische Lösung unter Berücksichtigung technischer Einschränkungen.

Umgang mit langen Konversationen

Die Nachrichtenkompression ist jetzt live für den Think-Modus (Claude Opus 4.6)! Die automatische Konversationskompression ermöglicht viel längere Konversationen im Think-Modus, ohne Ihre Nutzungslimits stark zu belasten. Während längere Konversationen immer mehr Token verbrauchen (so funktioniert KI), bringt die Kompression Sie fast unendlichen Konversationen bei minimaler Auswirkung auf das Guthaben näher. Unterstützung für den Fast-Modus folgt in Kürze.

Wann fortfahren vs. neu starten

Setzen Sie die Konversation fort, wenn Sie:

  • Auf vorherigen Ergebnissen aufbauen (Richtlinie verfeinern, Verfahren erweitern)

  • Zusammenhängende Kontrollen nacheinander bearbeiten (A.5.1 → A.5.2 → A.5.3)

  • An einem einzelnen Ergebnis iterieren (Verfeinerung der Risikobewertung)

  • Probleme bei der Implementierung einer besprochenen Kontrolle lösen

  • Die Konversation noch unter 15–20 Nachrichten liegt

Starten Sie eine neue Konversation, wenn:

  • Zu einem nicht zusammenhängenden Framework oder einer anderen Domäne gewechselt wird (SOC 2 → DSGVO)

  • Eine andere Projektphase beginnt (Wechsel von Implementierung zu Audit-Vorbereitung)

  • Der Kontext zu komplex wird (mehr als 10 Hin-und-Her-Wechsel zu mehreren Themen)

  • Sie einen Neuanfang ohne vorherige Annahmen benötigen

  • Die Konversation mehr als 20 Nachrichten umfasst (Nutzungseffizienz, bis die Kompression verfügbar ist)

Zusammenfassen zur Klarheit

Fassen Sie in langen Konversationen periodisch zusammen:

Beispiel: „Um unsere bisherigen Entscheidungen zu bestätigen: Wir nutzen RBAC mit 5 Rollen (Admin, Entwickler, Vertrieb, Support, Extern), vierteljährliche Zugriffsbewertungen (außer monatlich für Admins), Okta SSO für alle Apps außer dem Legacy-CRM, das kompensierende Kontrollen erhält. Lassen Sie uns nun die formale Richtlinie entwerfen.“

Dies stellt das gemeinsame Verständnis wieder her und verhindert Abweichungen.

Nutzen Sie das Dropdown-Menü für den Antwortstil (Concise/Normal/Detailed) strategisch: „Concise“ für schnelle Iterationen, „Detailed“ für erste Entwürfe, „Normal“ für die meisten Verfeinerungen.

Iteration mit anderen Techniken kombinieren

Iteration + Benutzerdefinierte Anweisungen

Legen Sie Workspace-Anweisungen für konsistenten Kontext über alle Turns fest:

Anweisung: „Healthcare-SaaS, 80 Mitarbeiter, AWS-Infrastruktur, Implementierung von ISO 27001:2022 mit HIPAA-Abgleich, Audit in 8 Monaten.“

Abfolgesequenz: Jede Abfrage erbt diesen Kontext, ohne ihn neu formulieren zu müssen.

Iteration + Dateiuploads

Einmal hochladen, in der gesamten Konversation darauf beziehen:

  1. Upload: Aktuelle Zugriffskontrollrichtlinie (PDF) anhängen

  2. Turn 1: „Prüfe diese Richtlinie gegen SOC 2 CC6 und identifiziere Lücken.“

  3. Turn 2: „Schreibe den Abschnitt zur Zugriffsüberprüfung um, um die gefundenen Lücken zu schließen.“

  4. Turn 3: „Füge die genannten Nachweisanforderungen zu einem neuen Anhang A hinzu.“

Iteration + Personas

Wechseln Sie die Persona mitten in der Konversation für unterschiedliche Perspektiven:

  1. Implementierer-Persona: „Gib mir eine Schritt-für-Schritt MFA-Implementierung für Okta.“

  2. Auditor-Persona: „Überprüfe diesen Implementierungsplan – welche Nachweise werden fehlen?“

  3. Berater-Persona: „Wie rechtfertige ich die Implementierungskosten gegenüber unserem CFO?“

Mehrere Blickwinkel auf dasselbe Thema in einem Thread.

Erkennen sinkender Erträge

Beenden Sie die Iteration, wenn:

  • Sie Mikro-Anpassungen vornehmen, die die Audit-Bereitschaft nicht mehr verbessern.

  • Folgefragen den vorherigen Kontext nicht mehr genau berücksichtigen (Anzeichen für Konversations-Überlastung).

  • Sie dieselbe Frage mehrfach umformuliert stellen.

  • Die Ergebnisse weniger nützlich oder generischer werden.

Speichern Sie an diesem Punkt die beste Version und gehen Sie zur Implementierung über oder starten Sie eine neue Konversation.

Iterative Arbeit speichern

Best Practices zur Sicherung von Konversationsergebnissen:

  • Kopieren Sie finale Versionen nach jeder größeren Verfeinerung in Ihr Dokumentations-Repository.

  • Nutzen Sie die Konversation als Audit-Trail, der zeigt, wie sich die Richtlinie/das Verfahren entwickelt hat.

  • Exportieren Sie wichtige Antworten zur Überprüfung mit Stakeholdern vor weiteren Iterationen.

  • Benennen Sie Workspaces klar, um Konversationen später wiederzufinden („ISO 27001 - Zugriffskontrollen - Kunde ABC“).

In Multi-Turn-Konversationen zeigt sich die Spezialisierung des ISMS Copilot am deutlichsten. Generische KI-Tools verlieren nach 2–3 Runden den Kontext oder die Genauigkeit. Der ISMS Copilot behält das Compliance-spezifische Verständnis über ganze Implementierungsprojekte hinweg bei.

Nächste Schritte

Starten Sie eine Multi-Turn-Konversation für Ihre nächste Compliance-Aufgabe. Beginnen Sie mit einer allgemeinen Abfrage und nutzen Sie dann 3–5 Folgefragen, um das Ergebnis in ein ausführbares Dokument zu verfeinern. Achten Sie darauf, wie der Erhalt des Kontexts die Qualität beschleunigt.

Zurück zur Übersicht: Prompt Engineering

War das hilfreich?