Iterieren und verfeinern mit Multi-Turn-Konversationen
Die Macht des Konfigurations-Kontexts
Im Gegensatz zu einmaligen Abfragen bei generischen KI-Tools speichert der ISMS Copilot den Konversationsverlauf innerhalb von Workspaces. Jede Folgefrage baut auf vorherigen Antworten auf – so können Sie Richtlinien verfeinern, spezifische Kontrollen vertiefen oder Empfehlungen anpassen, ohne den Kontext wiederholen zu müssen.
Dieser iterative Ansatz spiegelt die tatsächliche Arbeitsweise von Compliance-Experten wider: man beginnt mit einem Überblick über das Framework, vertieft prioritäre Kontrollen, erstellt erste Entwürfe und verfeinert diese dann basierend auf organisatorischen Besonderheiten und Audit-Feedback.
Wie die Beständigkeit des Kontexts funktioniert
Innerhalb einer Workspace-Konversation merkt sich der ISMS Copilot:
Benutzerdefinierte Anweisungen (Custom Instructions) für den Workspace
Vorherige Abfragen und Antworten im aktuellen Thread
Zuvor erwähnte Frameworks, Kontrollen und organisatorische Details
In früheren Nachrichten generierte Dokumente und Richtlinien
Von Ihnen spezifizierte Klärungen und Einschränkungen
Dies ermöglicht es Ihnen, auf „die Zugriffskontrollrichtlinie von vorhin“ zu verweisen oder „A.5.15 aus der vorherigen Antwort zu vertiefen“, ohne alles erneut erklären zu müssen.
Starten Sie neue Workspace-Konversationen für nicht zusammenhängende Projekte (andere Kunden, Frameworks oder Phasen), um Kontext-Verwirrung zu vermeiden. Nutzen Sie dieselbe Konversation für die Iteration verbundener Aufgaben.
Gängige Iterationsmuster
1. Erkunden → Fokussieren → Implementieren
Beginnen Sie breit gefächert, schränken Sie auf Details ein und erstellen Sie dann die Ergebnisse.
Beispiel-Konversation:
Erkunden: „Was sind die wichtigsten SOC 2 CC7 Kontrollen für den Systembetrieb?“
Fokussieren: „Vertiefe CC7.2 (Systemüberwachung) für eine SaaS-Plattform, die Datadog und PagerDuty nutzt.“
Implementieren: „Entwirf ein Systemüberwachungsverfahren für CC7.2, einschließlich Alarm-Schwellenwerte, Eskalationspfade und Incident-Protokollierung.“
Verfeinern: „Füge einen Abschnitt zum Management von Fehlalarmen hinzu und passe die Alarm-Schwellenwerte für ein 99,9 % Uptime-SLA an.“
Jeder Schritt führt tiefer vom Konzept über die Implementierung bis hin zum operativen Detail.
2. Generieren → Überprüfen → Verbessern
Erstellen Sie erste Entwürfe, identifizieren Sie Lücken und optimieren Sie diese dann.
Beispiel-Konversation:
Generieren: „Erstelle eine Risikobewertungsvorlage für ISO 27001 A.5.7, die unsere AWS-Infrastruktur abdeckt.“
Überprüfen: „Berücksichtigt diese Vorlage Risiken bei Multi-Region-Deployments und Integrationen von Drittanbietern?“
Verbessern: „Füge Abschnitte für Risiken der regionsübergreifenden Datenreplikation und Sicherheitsbewertungen für API-Integrationen hinzu.“
Validieren: „Welche Nachweise erwarten Auditoren für diesen Risikobewertungsansatz?“
Iterative Verfeinerung liefert auditfähige Ergebnisse, ohne jedes Mal bei Null anzufangen.
3. Vergleichen → Entscheiden → Anpassen
Optionen bewerten, Ansatz wählen und dann auf Ihre Organisation zuschneiden.
Beispiel-Konversation:
Vergleichen: „Was sind die Vor- und Nachteile von rollenbasierter vs. attributbasierter Zugriffskontrolle für ISO 27001 A.5.15?“
Entscheiden: „Wir nutzen RBAC. Welche Rollen sollten wir für ein 50-köpfiges SaaS-Unternehmen mit Engineering-, Sales- und Support-Teams definieren?“
Anpassen: „Erstelle eine RBAC-Matrix, die diese Rollen Systemen zuordnet: AWS, GitHub, Salesforce, Zendesk und Admin-Tools.“
Implementieren: „Erstelle ein Verfahren zur Zugriffsbereitstellung unter Verwendung dieses RBAC-Modells mit Genehmigungs-Workflows.“
Entscheidungen fließen in nachfolgende Schritte ein, ohne die Begründung zu wiederholen.
4. Kontrolle → Nachweis → Verifizierung
Kontrolle implementieren, Nachweisbedarf identifizieren, Validierung planen.
Beispiel-Konversation:
Kontrolle: „Wie implementiere ich ISO 27001 A.8.15 Logging für AWS CloudTrail und App-Logs?“
Nachweis: „Welche Nachweise belegen die Einhaltung von A.8.15 für einen Auditor?“
Verifizierung: „Erstelle eine Checkliste für die quartalsweise Protokollprüfung, um die Wirksamkeit von A.8.15 zu verifizieren und Nachweise zu führen.“
Dokumentieren: „Entwirf den Abschnitt 'Protokollierung' unserer ISMS-Dokumentation mit Bezug auf diese Kontrollen und Nachweise.“
End-to-End-Implementierung in einem einzigen Konversationsstrang.
Effektive Follow-Up-Techniken
Bezugnahme auf vorherige Ergebnisse
Nutzen Sie Formulierungen, die das Gedächtnis der Konversation nutzen:
„Vertiefe den dritten Punkt aus deiner letzten Antwort.“
„Wende die Risikomethodik, die wir gerade besprochen haben, auf Datenbankverschlüsselung an.“
„Aktualisiere den Richtlinienentwurf, um diese Nachweisanforderungen aufzunehmen.“
„Füge die erwähnten Tools (Okta, AWS IAM) zur Zugriffskontrollmatrix hinzu.“
Inkrementeller Aufbau
Fügen Sie Komplexität schrittweise hinzu, anstatt alles auf einmal zu erledigen:
„Erstelle ein einfaches Incident-Response-Verfahren für ISO 27001 A.5.24.“
„Füge Kommunikationsvorlagen für interne Eskalation und Kundenbenachrichtigung hinzu.“
„Integriere unsere PagerDuty-Alarmierung und den Jira-Ticketing-Workflow.“
„Erweitere den Abschnitt zur Nachbereitung des Vorfalls um Schritte zur Ursachenanalyse.“
Das Schichten von Details verhindert überfordernde erste Ergebnisse.
Verständnis testen
Prüfen Sie die Übereinstimmung vor der umfangreichen Generierung:
„Bevor wir die vollständige Richtlinie entwerfen, bestätige bitte: Soll sie sowohl Mitarbeiter als auch Auftragnehmer abdecken?“
„Erfüllt dieser Ansatz sowohl ISO 27001 A.6.1 als auch unsere DSGVO-Verpflichtungen?“
„Ist eine quartalsweise Überprüfung für SOC 2 CC6.1 ausreichend oder sollte sie monatlich erfolgen?“
Kurskorrekturen frühzeitig vornehmen, um Nacharbeit zu vermeiden.
Alternativen anfordern
Sondieren Sie Optionen innerhalb der Konversation:
„Was ist ein alternativer Ansatz für kleinere Teams mit begrenztem Budget?“
„Zeige mir eine vereinfachte Version für die Erstimplementierung, dann den vollständigen Enterprise-Ansatz.“
„Vergleiche manuelle vs. automatisierte Lösungen für diese Kontrolle.“
Der Konversationskontext wird zwischen verschiedenen Workspace-Konversationen zurückgesetzt. Erwarten Sie nicht, dass der ISMS Copilot Details aus dem Workspace eines anderen Kunden oder einem anderen Konversationsstrang im selben Workspace kennt.
Beispiele nach Szenario
Iteration der Richtlinienentwicklung
Turn 1: „Entwirf eine Zugriffskontrollrichtlinie für SOC 2 CC6, die Benutzerbereitstellung, Überprüfungen und Deaktivierung abdeckt.“
Turn 2: „Füge einen Abschnitt zum Privileged Access Management für Admin-Rollen in AWS und GitHub hinzu.“
Turn 3: „Ergänze Notfallzugriff-Verfahren für On-Call-Engineers mit Protokollierung nach der Nutzung.“
Turn 4: „Ändere die Überprüfungshäufigkeit von quartalsweise auf monatlich für privilegierte Konten und quartalsweise für Standardbenutzer.“
Turn 5: „Füge Verweise auf unsere Okta-SSO-Konfiguration und rollenbasierte Gruppen hinzu.“
Ergebnis: Eine umfassende, maßgeschneiderte Richtlinie, die durch Verfeinerung entstanden ist.
Gap-Analyse Deep Dive
Turn 1: „Analysiere unseren aktuellen Sicherheitsstatus im Vergleich zu ISO 27001:2022 Anhang A.8 (technische Kontrollen).“
Turn 2: „Konzentriere dich auf die identifizierten Lücken in A.8.1 (Endgeräte der Benutzer) und A.8.15 (Protokollierung).“
Turn 3: „Welche Tools erfüllen zur Schließung der Lücke beim Endgerätemanagement A.8.1 für ein Remote-First-Team mit macOS und Windows?“
Turn 4: „Erstelle einen Implementierungsplan für Jamf (macOS) und Intune (Windows), der die Anforderungen von A.8.1 adressiert.“
Turn 5: „Welche Nachweise benötigen Auditoren, um die Einhaltung von A.8.1 mit diesen Tools zu verifizieren?“
Ergebnis: Von der abstrakten Lücke über die Tool-Auswahl bis zum Implementierungsplan in einem Thread.
Multi-Framework-Abgleich
Turn 1: „Wir müssen sowohl ISO 27001 A.5.24 (Incident Management) als auch SOC 2 CC7.3-7.5 erfüllen. Wo gibt es Überschneidungen?“
Turn 2: „Erstelle einen einheitlichen Incident Response Plan, der beide Frameworks abdeckt.“
Turn 3: „Füge spezifische Abschnitte für die genannten einzigartigen SOC 2-Anforderungen hinzu (Verfügbarkeitsvorfälle und Kommunikationszeitpläne).“
Turn 4: „Füge eine Tabelle hinzu, die jeden Verfahrensschritt den relevanten ISO 27001- und SOC 2-Kontrollen für die Audit-Rückverfolgbarkeit zuordnet.“
Ergebnis: Ein effizienter Plan mit klarer Compliance-Zuordnung.
Fehlerbehebung bei der Implementierung
Turn 1: „Wie implementiere ich MFA für ISO 27001 A.5.17 mit Okta?“
Turn 2: „Wir haben Legacy-Anwendungen, die kein SAML unterstützen. Wie gehen wir mit diesen um?“
Turn 3: „Schlage eine kompensierende Kontrolle für die Legacy-Apps vor, bis wir diese migrieren können.“
Turn 4: „Dokumentiere den Ansatz der kompensierenden Kontrolle für die Audit-Prüfung, einschließlich des Zeitplans für die vollständige MFA-Migration.“
Ergebnis: Pragmatische Lösung unter Berücksichtigung technischer Einschränkungen.
Umgang mit langen Konversationen
Wir wissen, dass Einschränkungen bei langen Konversationen frustrierend sind. Unsere oberste Entwicklungspriorität ist derzeit die Implementierung von Nachrichten-Kompaktierung, um viel längere Konversationen zu ermöglichen, ohne Ihre Nutzungslimits stark zu belasten. Während längere Konversationen immer mehr Token verbrauchen werden (so funktioniert KI), wird die Kompaktierung Sie fast an „unendliche“ Konversationen heranführen. Voraussichtliche Lieferung: Ende Februar bis Anfang März 2026.
Wann Sie fortfahren und wann Sie neu starten sollten
Setzen Sie die Konversation fort, wenn Sie:
Auf vorherigen Ergebnissen aufbauen (Richtlinie verfeinern, Verfahren erweitern)
Zusammenhängende Kontrollen nacheinander abarbeiten (A.5.1 → A.5.2 → A.5.3)
An einem einzelnen Endergebnis iterieren (Verfeinerung der Risikobewertung)
Fehler bei der Implementierung einer bereits besprochenen Kontrolle beheben
Die Konversation noch unter 15-20 Nachrichten liegt
Starten Sie eine neue Konversation, wenn:
Sie zu einem nicht zusammenhängenden Framework oder Bereich wechseln (SOC 2 → DSGVO)
Eine andere Projektphase beginnt (Wechsel von Implementierung zu Audit-Vorbereitung)
Der Kontext zu komplex wird (über 10 Hin-und-Her-Wechsel zu mehreren Themen)
Sie einen sauberen Neustart ohne vorherige Annahmen benötigen
Die Konversation über 20 Nachrichten hat (Nutzungseffizienz, bis die Kompaktierung verfügbar ist)
Zusammenfassungen zur Klarheit
Fassen Sie in langen Konversationen regelmäßig zusammen:
Beispiel: „Um unsere bisherigen Entscheidungen zu bestätigen: Wir nutzen RBAC mit 5 Rollen (Admin, Entwickler, Sales, Support, Auftragnehmer), quartalsweise Zugriffskontrollen (monatlich für Admins), Okta SSO für alle Apps außer dem Legacy-CRM, das kompensierende Kontrollen erhält. Lassen Sie uns nun die formelle Richtlinie entwerfen.“
Dies stellt das gemeinsame Verständnis wieder her und verhindert Abweichungen.
Nutzen Sie das Dropdown-Menü für den Antwortstil (Concise/Normal/Detailed) strategisch: „Concise“ für schnelle Iterationen, „Detailed“ für erste Entwürfe, „Normal“ für die meisten Verfeinerungen.
Kombination von Iteration mit anderen Techniken
Iteration + Custom Instructions
Legen Sie Workspace-Anweisungen fest, um einen konsistenten Kontext über alle Turns hinweg zu gewährleisten:
Anweisung: „Healthcare SaaS, 80 Mitarbeiter, AWS-Infrastruktur, Implementierung von ISO 27001:2022 mit HIPAA-Abgleich, Audit in 8 Monaten.“
Abfolge der Abfragen: Jede Abfrage übernimmt diesen Kontext, ohne ihn neu zu formulieren.
Iteration + Datei-Uploads
Einmal hochladen, während der gesamten Konversation darauf beziehen:
Upload: Aktuelle Zugriffskontrollrichtlinie anhängen (PDF)
Turn 1: „Prüfe diese Richtlinie gegen SOC 2 CC6 und identifiziere Lücken.“
Turn 2: „Schreibe den Abschnitt zur Zugriffsüberprüfung um, um die gefundenen Lücken zu schließen.“
Turn 3: „Füge die erwähnten Nachweisanforderungen in einen neuen Anhang A ein.“
Iteration + Personas
Wechseln Sie die Persona mitten in der Konversation für neue Perspektiven:
Implementierer-Persona: „Gib mir eine Schritt-für-Schritt MFA-Implementierung für Okta.“
Auditor-Persona: „Überprüfe diesen Implementierungsplan – welche Nachweise werden fehlen?“
Berater-Persona: „Wie rechtfertige ich die Implementierungskosten vor unserem CFO?“
Mehrere Blickwinkel auf dasselbe Thema in einem Thread.
Erkennen von abnehmendem Nutzen
Hören Sie mit der Iteration auf, wenn:
Sie Mikro-Anpassungen vornehmen, die die Audit-Bereitschaft nicht verbessern
Follow-ups den vorherigen Kontext nicht mehr genau einbeziehen (Zeichen für Konversations-Überlastung)
Sie dieselbe Frage mehrfach neu formuliert stellen
Die Ergebnisse weniger nützlich oder generischer werden
Speichern Sie zu diesem Zeitpunkt die beste Version und gehen Sie zur Implementierung über oder starten Sie eine neue Konversation.
Iterative Arbeit speichern
Best Practices zur Sicherung von Konversationsergebnissen:
Kopieren Sie finale Versionen nach jeder größeren Verfeinerung in Ihr Dokumentations-Repository
Nutzen Sie die Konversation als Audit-Trail, der zeigt, wie sich die Richtlinie/das Verfahren entwickelt hat
Exportieren Sie wichtige Antworten zur Überprüfung mit Stakeholdern vor weiteren Iterationen
Benennen Sie Workspaces klar, um Konversationen später wiederzufinden („ISO 27001 – Zugriffskontrollen – Kunde ABC“)
Bei Multi-Turn-Konversationen zeigt sich die Spezialisierung des ISMS Copiloten. Generische KI-Tools verlieren nach 2-3 Turns den Kontext oder die Genauigkeit. Der ISMS Copilot behält das Compliance-spezifische Verständnis über ganze Implementierungsprojekte hinweg bei.
Nächste Schritte
Starten Sie eine Multi-Turn-Konversation für Ihre nächste Compliance-Aufgabe. Beginnen Sie mit einer allgemeinen Abfrage und nutzen Sie dann 3-5 Follow-ups, um das Ergebnis in ein ausführungsreifes Dokument zu verwandeln. Achten Sie darauf, wie die Kontexterhaltung die Qualität beschleunigt.