ISMS Copilot
Prompt-Engineering

Dateien für Kontext und Analyse hochladen

Ausführliche Informationen zu Upload-Mechanismen, Größenbeschränkungen und zur Fehlerbehebung finden Sie unter Dateien hochladen und analysieren.

Warum Dateien hochladen?

Compliance-Arbeit konzentriert sich auf Dokumente: bestehende Richtlinien, Audit-Berichte, Risikobewertungen, Anbieterverträge und Asset-Inventare. Diese in Textform zu beschreiben, verschwendet Zeit und führt zu Fehlern. Das direkte Hochladen von Dateien gibt dem ISMS Copilot präzisen Kontext für Gap-Analysen, Verbesserungsvorschläge und Compliance-Mapping.

Die Dateianalyse verwandelt vage Fragen wie „Ist unsere Richtlinie gut genug?“ in spezifisches, umsetzbares Feedback: „Ihre Zugriffskontrollrichtlinie deckt SOC 2 CC6.1 und CC6.2 ab, aber es fehlen Anforderungen gemäß CC6.3 zur Überwachung privilegierter Zugriffe. Fügen Sie Abschnitte hinzu für...“

Unterstützte Dateitypen und Limits

Der ISMS Copilot akzeptiert:

  • PDF – Richtlinien, Audit-Berichte, Zertifizierungen, Lieferantenbewertungen

  • DOCX – Entwürfe von Richtlinien, Verfahren, Dokumentationsvorlagen

  • XLS/XLSX – Risikoregister, Asset-Inventare, Kontrollmatrizen, Nachweisprotokolle

Dateigröße: Bis zu 5 MB für PDF- und Office-Dateien (DOCX, XLSX); 10 MB für textbasierte Dateien (CSV, JSON, TXT)

Länge: Dokumente mit bis zu 20+ Seiten werden effektiv verarbeitet; längere Dokumente müssen möglicherweise aufgeteilt werden

Upload-Ort: Hängen Sie Dateien über das Büroklammer-Symbol im Eingabebereich für Abfragen an

Hochgeladene Dateien werden nach denselben Datenschutzstandards wie Textabfragen verarbeitet: Ende-zu-Ende-Verschlüsselung, Speicherung in der EU (Frankfurt) und keine Verwendung für das KI-Training. Vermeiden Sie jedoch das Hochladen von Dateien, die tatsächliche Passwörter, API-Schlüssel oder personenbezogene Daten (PII) enthalten, sofern dies nicht unbedingt erforderlich ist.

Beibehaltung des Excel-Layouts

XLSX-Dateien werden speziell behandelt, um die Struktur Ihrer Tabellenkalkulation während der Analyse beizubehalten. Wenn Sie eine Excel-Datei hochladen, leitet der ISMS Copilot diese über einen speziellen Konvertierungspfad, der Tabellen intakt hält:

  • Tabellenstruktur bleibt erhalten — Spalten, Zeilen und Zellbeziehungen bleiben wie in Ihrer Originaldatei bestehen

  • Ausrichtung bleibt gewahrt — Vertikale Daten bleiben vertikal, horizontale bleiben horizontal; keine unerwünschte Transponierung

  • Breite Tabellen unterstützt — Tabellen mit vielen Spalten werden korrekt konvertiert, anders als beim standardmäßigen Markdown-basierten Pfad für PDF- und DOCX-Dateien

Das bedeutet, dass Risikoregister, Kontrollmatrizen, Asset-Inventare und Nachweisprotokolle, die als XLSX hochgeladen werden, in ihrem Layout näher am Original erscheinen als zuvor. Sie müssen nichts konfigurieren — der tabellenerhaltende Pfad wird automatisch aktiviert, wenn Sie eine Excel-Datei hochladen.

Für beste Ergebnisse bei komplexen Tabellenkalkulationen stellen Sie sicher, dass Ihre Datei kleiner als 5 MB ist und klare Tabellenüberschriften verwendet. Die KI liest sowohl die Struktur als auch den Inhalt, um eine genaue Compliance-Analyse zu ermöglichen.

Häufige Szenarien für den Datei-Upload

1. Gap-Analyse

Laden Sie bestehende Richtlinien oder Dokumentationen zur Compliance-Bewertung hoch.

Beispielabfrage mit Upload: „Überprüfe diese Zugriffskontrollrichtlinie [PDF anhängen] im Hinblick auf die Anforderungen von SOC 2 CC6.1-6.3. Identifiziere fehlende Kontrollen, veraltete Formulierungen und Lücken in den Nachweisen für ein Typ-II-Audit.“

ISMS Copilot Antwort: Spezifische Abschnitte, die aktualisiert werden müssen, fehlende Kontrollen (z. B. Überwachung privilegierter Zugriffe für CC6.3), empfohlene Ergänzungen und Nachweisanforderungen.

Audit-Bericht Beispiel: „Analysiere die Ergebnisse unseres letzten ISO 27001 Überwachungsaudits [PDF anhängen]. Priorisiere die Behebung nach Schweregrad und erstelle einen Aktionsplan mit Zeitplänen.“

2. Verbesserung von Richtlinien

Verbessern Sie die bestehende Dokumentation, um neue Standards oder Frameworks zu erfüllen.

Beispielabfrage: „Aktualisiere diese Informationssicherheitsrichtlinie [DOCX anhängen] von ISO 27001:2013 auf die Anforderungen von 2022. Hebe Abschnitte hervor, die überarbeitet werden müssen, und schlage neue Formulierungen für geänderte Kontrollen vor.“

ISMS Copilot Antwort: Direktvergleich der alten gegenüber den neuen Anforderungen, überarbeitete Richtlinienabschnitte, neue hinzuzufügende Kontrollen (z. B. A.5.7 Bedrohungsinformationen, A.8.23 Web-Filterung).

3. Überprüfung der Risikobewertung

Validieren Sie die Risikomethodik und -bewertung gegen Framework-Anforderungen.

Beispielabfrage: „Überprüfe dieses Risikoregister [XLSX anhängen] im Hinblick auf die Anforderungen von ISO 27001 A.5.7. Sind die Bedrohungsquellen umfassend? Ist unsere 1-5-Bewertung angemessen? Welche Risiken fehlen für eine Cloud-First SaaS-Plattform?“

ISMS Copilot Antwort: Bewertung der Methodik, Vorschläge für zusätzliche Bedrohungskategorien (z. B. Lieferkette, Insider-Bedrohungen), fehlende Asset-Risiko-Paarungen, Feedback zur Kalibrierung der Bewertung.

4. Lieferantenbewertung

Bewerten Sie Zertifizierungen und Verträge von Drittanbietern auf Compliance.

Beispielabfrage: „Analysiere diesen SOC 2 Bericht eines Anbieters [PDF anhängen] für unsere Risikobewertung von Drittanbietern. Deckt er die von uns genutzten Dienste ab (Datenspeicherung und -verarbeitung)? Gibt es relevante Ausnahmen oder Einschränkungen? Erfüllt er unsere Anforderungen gemäß SOC 2 CC9.2?“

ISMS Copilot Antwort: Abdeckung des Leistungsumfangs, nennenswerte Ausnahmen, Kontrolllücken, Empfehlungen für Nachfragen im Lieferantenfragebogen.

5. Zuordnung von Nachweisen (Evidence Mapping)

Verbinden Sie vorhandene Artefakte mit Audit-Anforderungen.

Beispielabfrage: „Ordne dieses Schulungsprotokoll zum Sicherheitsbewusstsein [XLSX anhängen] den Nachweisanforderungen von ISO 27001 A.6.3 zu. Welche zusätzlichen Nachweise benötigen wir für das Zertifizierungsaudit?“

ISMS Copilot Antwort: Aktuelle Nachweisabdeckung, fehlende Elemente (z. B. Verfolgung des Abschlusses, Testergebnisse, rollenspezifische Schulungen), empfohlene Erweiterungen des Protokolls.

6. Überprüfung der Kontrollumsetzung

Validieren Sie technische Konfigurationen gegen Kontrollanforderungen.

Beispielabfrage: „Überprüfe diese AWS CloudTrail Konfigurationsdokumentation [PDF anhängen] im Hinblick auf die Anforderungen von ISO 27001 A.8.15 (Protokollierung und Überwachung). Ist die Aufbewahrungsfrist ausreichend? Werden kritische Ereignisse abgedeckt?“

ISMS Copilot Antwort: Bewertung der Angemessenheit der Konfiguration, fehlende Protokollquellen (z. B. Anwendungsprotokolle, Datenbankzugriffe), Empfehlungen zur Aufbewahrungsfrist, Lücken bei der Alarmierung.

7. Bewertung von Vorlagen

Bewerte diese Vorlage für die Reaktion auf Vorfälle [DOCX anhängen] auf Compliance mit SOC 2 CC7.3-7.5. Enthält sie alle erforderlichen Elemente (Erkennung, Reaktion, Kommunikation, Überprüfung nach dem Vorfall)? Was fehlt? „

8. Vergleich mehrerer Dokumente

Beispielabfrage: „Vergleiche unsere Zugriffskontrollrichtlinie [DOCX anhängen] mit unserem tatsächlichen Protokoll zur Überprüfung der Zugriffsrechte [XLSX anhängen]. Befolgen wir unsere dokumentierten Verfahren? Wo weichen Praxis und Richtlinie voneinander ab?“

Hängen Sie Dateien zu Beginn von Gesprächen an, um den Kontext für alle folgenden Abfragen festzulegen. Der ISMS Copilot merkt sich hochgeladene Dokumente innerhalb der Workspace-Konversation.

Effektive Abfragen bei Datei-Uploads

Geben Sie an, was analysiert werden soll

Laden Sie nicht einfach eine Datei hoch und sagen Sie „Überprüfe das“. Geben Sie eine Richtung vor:

❌ „Was hältst du davon?“ [Richtlinie anhängen]

✅ „Überprüfe diese Richtlinie zur Datenklassifizierung im Hinblick auf die Anforderungen von ISO 27001 A.5.12. Prüfe auf Vollständigkeit, angemessene Vertraulichkeitsstufen und Handhabungsverfahren.“

  • Geben Sie Ihr Framework und den Umfang an

  • Dateien fehlt der inhärente Kontext darüber, welcher Standard gilt:

❌ „Ist diese Richtlinie konform?“ [Zugriffskontrollrichtlinie anhängen]

✅ „Bewerte diese Zugriffskontrollrichtlinie gegen SOC 2 CC6.1-6.3 für unser anstehendes Typ-II-Audit. Konzentriere dich auf Benutzerbereitstellung, Überprüfungen und privilegierten Zugriff.“

  • Geben Sie die gewünschte Ausgabe an

  • Geben Sie an, was Sie zurückerhalten möchten:

„Erstelle eine Tabelle zur Gap-Zusammenfassung mit den Spalten: Anforderung, Ist-Zustand, Lücke (J/N), Empfehlung“

„Stelle eine markierte Version mit direkt eingebetteten Änderungsvorschlägen bereit“

  • „Liste die 5 wichtigsten Verbesserungen auf, priorisiert nach Audit-Risiko“

  • „Erstelle eine Compliance-Checkliste, die zeigt, welche Kontrollen adressiert sind und welche fehlen“

  • Geben Sie den organisatorischen Kontext an

  • Dateien verraten nicht Ihre Unternehmensgröße, Ihren Technologie-Stack oder Ihre Einschränkungen:

Beispiel: „Überprüfe diesen Business-Continuity-Plan [PDF anhängen] im Hinblick auf ISO 27001 A.5.29 für ein 60-köpfiges SaaS-Unternehmen mit AWS-Infrastruktur und einem 99,9 % Verfügbarkeits-SLA. Sind RTOs und RPOs angemessen? Ist unsere Backup-Strategie ausreichend?“

Multi-Datei-Analyse

Laden Sie mehrere zusammengehörige Dateien für eine umfassende Überprüfung hoch:

Beispielabfrage: „Überprüfe diese drei Richtlinien [anhängen: InfoSec-Richtlinie.pdf, Zugriffskontrollrichtlinie.pdf, Richtlinie zur Reaktion auf Vorfälle.pdf] auf Konsistenz und Vollständigkeit im Hinblick auf die organisatorischen Kontrollen von ISO 27001:2022 Anhang A.5. Identifiziere Widersprüche, Lücken und Redundanzen.“

Kreuzverweis-Beispiel: „Vergleiche unser dokumentiertes Change-Management-Verfahren [DOCX anhängen] mit den tatsächlichen Jira-Change-Logs [XLSX anhängen]. Befolgen wir unseren Prozess? Wo treten Abweichungen auf?“

Obwohl Sie mehrere Dateien pro Abfrage hochladen können, funktioniert die Analyse von 2-3 verwandten Dokumenten am besten. Mehr als das kann den Fokus verwässern — ziehen Sie für große Dokumentensätze sequenzielle Abfragen in Betracht.

Best Practices für den Datei-Upload

Vor dem Hochladen

Sensible Daten entfernen: Schwärzen Sie tatsächliche Kundennamen, Anmeldedaten und PII, wenn diese für die Analyse nicht unbedingt erforderlich sind

Dateigröße prüfen: Stellen Sie sicher, dass sie unter dem Limit liegt (5 MB für PDF/Office, 10 MB für Textformate); komprimieren oder teilen Sie große Dateien bei Bedarf

  1. Klare Dateinamen verwenden: „Zugriffskontrollrichtlinie_v2.pdf“ ist besser als „Dokument1.pdf“

  2. Dateityp überprüfen: Konvertieren Sie nicht unterstützte Formate (z. B. .pages in .docx)

  3. In Ihrer Abfrage

  4. Bezugnahme auf den Upload: „Überprüfe das angehängte Risikoregister...“ klärt, welches Dokument gemeint ist, wenn mehrere Dateien in der Konversation vorhanden sind

Zweck der Datei erläutern: „Dies ist unsere Richtlinie im Ist-Zustand, die auf den Standard von 2022 aktualisiert werden muss“

  1. Erwartungen formulieren: „Konzentriere dich auf Lücken, nicht auf Formatierungsprobleme“ oder „Priorisiere Erkenntnisse mit hohem Risiko“

  2. Nach dem Hochladen

  3. Auf Ergebnissen aufbauen: „Vertiefe die identifizierte Lücke bei CC6.3 — welche spezifischen Kontrollen fehlen?“

Überarbeitungen anfordern: „Schreibe den Abschnitt zur Überprüfung der Zugriffsrechte um, um diese Lücken zu schließen“

  1. Zugehörige Inhalte erstellen: „Erstelle eine Checkliste für Nachweise der Kontrollen, die diese Richtlinie abdeckt“

  2. Fehlerbehebung bei Datei-Uploads

  3. Upload schlägt fehl oder Zeitüberschreitung

Prüfen Sie die Dateigröße (5 MB für PDF/Office, 10 MB für Textformate)

Prüfen Sie den Dateityp (nur PDF, DOCX, XLS/XLSX)

  • Versuchen Sie, große Dateien in Abschnitte zu unterteilen

  • Stellen Sie eine stabile Internetverbindung sicher

  • Analyse lässt wichtige Punkte vermissen

  • Geben Sie eine spezifischere Abfragerichtung an („Konzentriere dich auf Abschnitt 3.2 zum privilegierten Zugriff“)

Laden Sie eine qualitativ hochwertigere Quelle hoch (z. B. originales DOCX anstelle eines gescannten PDFs)

  • Unterteilen Sie Dokumente mit mehreren Themen in separate Uploads mit gezielten Abfragen

  • Antwort bezieht sich auf das falsche Framework

  • Nennen Sie das Framework explizit in der Abfrage: „Überprüfe gegen ISO 27001:2022, nicht gegen SOC 2“

Überprüfen Sie die benutzerdefinierten Anweisungen im Workspace auf widersprüchlichen Kontext

  • Dateiverarbeitung dauert zu lange

  • Große Dateien (15+ Seiten) können 30-60 Sekunden für die Verarbeitung benötigen

Komplexe Tabellenkalkulationen mit vielen Reitern können die Antwort verzögern

  • Gescannte PDFs (Bilder) werden langsamer verarbeitet als textbasierte PDFs

  • Überlegungen zu Datenschutz und Sicherheit

  • Die Dateihandhabung des ISMS Copilot unterliegt strengen Datenschutzstandards:

Verschlüsselung: Dateien werden während der Übertragung und im Ruhezustand verschlüsselt

Datenresidenz: Speicherung in Rechenzentren in der EU (Frankfurt)

  • Kein KI-Training: Hochgeladene Inhalte werden niemals zum Trainieren von Modellen verwendet

  • Zugriffskontrollen: Dateien sind nur innerhalb Ihres Workspaces sichtbar

  • Aufbewahrung: Dateien werden für die Dauer der Konversation gespeichert; löschen Sie den Workspace zum Entfernen

  • Wann die PII-Reduzierung zu nutzen ist: Aktivieren Sie den Schalter zur PII-Reduzierung, wenn Dateien Beispiele mit echten Namen, E-Mails oder Identifikatoren enthalten, die für die Analyse nicht wesentlich sind.

  • Für Dateien mit hochsensiblen Daten (M&A-Verträge, Vorstandsvergütung, tatsächliche Incident-Forensik mit PII) sollten Sie erwägen, geschwärzte Versionen hochzuladen oder Platzhaltertext in Abfragen anstelle der vollständigen Dokumente zu verwenden.

Kombination von Datei-Uploads mit anderen Techniken

Dateien + Benutzerdefinierte Anweisungen

Legen Sie den Workspace-Kontext fest und laden Sie dann Dateien hoch — der Kontext wird automatisch angewendet:

Anweisung: „Finanzdienstleistungsunternehmen, 200 Mitarbeiter, implementiert ISO 27001:2022“

Upload + Abfrage: „Überprüfe die angehängte Zugriffskontrollrichtlinie gegen A.5.15-5.18“ (keine Wiederholung von Branche/Größe nötig)

Dateien + Personas

Wechseln Sie die Personas für verschiedene Analyseperspektiven:

Auditor-Persona: „Überprüfe diese Richtlinie [anhängen] auf SOC 2 Audit-Bereitschaft — welche Nachweislücken bestehen?“

Implementierer-Persona: „Gib basierend auf dieser Richtlinie Schritt-für-Schritt-Implementierungsaufgaben für unser DevOps-Team an“

  1. Dateien + Iterative Verfeinerung

  2. Einmal hochladen, durch Konversation verfeinern:

Upload: Aktuelles Risikoregister anhängen

Runde 1: „Überprüfe gegen ISO 27001 A.5.7 — was fehlt?“

  1. Runde 2: „Füge die identifizierten fehlenden Cloud-Infrastrukturrisiken hinzu“

  2. Runde 3: „Aktualisiere die Risikobewertungen unter Verwendung der von dir vorgeschlagenen 5x5-Matrix“

  3. Runde 4: „Erstelle Risikobehandlungspläne für Risiken mit einer Bewertung von 15 oder höher“

  4. Beispiel-Workflows

  5. Workflow 1: Modernisierung von Richtlinien

Veraltete Richtlinie hochladen (Zugriffskontrollrichtlinie aus der Ära ISO 27001:2013)

Abfrage: „Vergleiche diese Richtlinie mit den Anforderungen von ISO 27001:2022 A.5.15-5.18. Was hat sich geändert?“

  1. Follow-up: „Schreibe Abschnitt 4 (Zugriffsüberprüfungen) um, um die neuen Anforderungen von A.5.18 zu erfüllen“

  2. Follow-up: „Füge einen neuen Abschnitt 5 für privilegierten Zugriff (A.5.17) mit unseren AWS- und GitHub-Admin-Rollen hinzu“

  3. Abschluss: „Erstelle ein Genehmigungs-Memo für den CTO, das die Änderungen und Compliance-Vorteile erläutert“

  4. Workflow 2: Audit-Vorbereitung

  5. 3 Dateien hochladen: Zugriffskontrollrichtlinie, Protokoll zur Zugriffsüberprüfung (XLSX), Okta-Konfigurationsdokument

Abfrage: „Bewerte die SOC 2 CC6.1-Bereitschaft anhand dieser Dokumente. Welche Nachweise sind aussagekräftig? Was fehlt?“

  1. Follow-up: „Erstelle einen Sanierungsplan für die fehlenden Nachweise mit einem Zeitplan von 60 Tagen“

  2. Follow-up: „Entwürfe ein aktualisiertes Verfahren zur Zugriffsüberprüfung unter Einbeziehung deiner Empfehlungen“

  3. Abschluss: „Erstelle ein Auditor-Briefing-Dokument, das unsere CC6.1-Kontrollen und Nachweise zusammenfasst“

  4. Workflow 3: Risikobewertung von Drittanbietern

  5. SOC 2 Bericht des Anbieters + Anbietervertrag hochladen

Abfrage: „Bewerte den SOC 2 Bericht dieses Anbieters im Hinblick auf unsere CC9.2 Anforderungen. Deckt er die für unseren Vertrag relevanten Datenverarbeitungsdienste ab?“

  1. Follow-up: „Welche Fragen sollten wir in einem Lieferantenfragebogen stellen, um die von dir gefundenen Lücken zu schließen?“

  2. Follow-up: „Entwirf eine Zusammenfassung der Lieferantenrisikobewertung für unseren Compliance-Ausschuss“

  3. Datei-Uploads sind am leistungsstärksten, wenn sie mit spezifischen Abfragen und iterativer Verfeinerung kombiniert werden. Hochladen, analysieren, verbessern, verifizieren — alles in einer einzigen Workspace-Konversation.

  4. Nächste Schritte

Identifizieren Sie eine bestehende Richtlinie, einen Bericht oder eine Bewertung, die überprüft werden muss. Laden Sie diese mit einer spezifischen Gap-Analyse oder einer Verbesserungsabfrage hoch und erleben Sie, wie der Dateikontext die Compliance-Arbeit beschleunigt.

Nächste Schritte

Identifizieren Sie eine bestehende Richtlinie, einen Bericht oder eine Bewertung, die überprüft werden muss. Laden Sie diese zusammen mit einer spezifischen Gap-Analyse oder einer Optimierungsanfrage hoch und erleben Sie, wie Dateikontext die Compliance-Arbeit beschleunigt.

War das hilfreich?