Wie Sie präzise Antworten von Ihrer KI erhalten.

Die Herausforderung unpräziser Anfragen

In der täglichen Arbeit mit KI-gestützten Assistenten zeigt sich immer wieder dasselbe Muster: Allgemein formulierte Fragen führen zu allgemeinen Antworten. Das liegt nicht an der Technologie selbst, sondern an der Art der Fragestellung. Wenn Sie einen Fachexperten konsultieren und lediglich fragen "Erklären Sie mir etwas zur Informationssicherheit", wird auch dieser zunächst Rückfragen stellen müssen: Welcher Aspekt? Welche Branche? Welcher Standard? Welches Schutzniveau?

KI-Systeme funktionieren nach demselben Prinzip. Sie benötigen ausreichend Kontext, um präzise und anwendbare Antworten zu liefern. Die Methode der strukturierten Fragestellung löst dieses Problem systematisch.

Das Grundprinzip: Kontextbasierte Fragestellung

Eine effektive Fragestellung folgt einem dreistufigen Aufbau:

1. Kontext definieren – Welche Rahmenbedingungen sind relevant?

2. Anforderung bereitstellen – Welcher konkrete Normtext oder welche Anforderung ist Gegenstand der Frage?

3. Spezifische Frage formulieren – Was genau soll geklärt werden?

Diese Struktur minimiert Interpretationsspielräume und ermöglicht präzise, anwendbare Antworten.

Praktische Anwendung nach Standards

Anwendung 1: Fragen zu ISO 27001 Hauptkapiteln

Für Fragen zu den Hauptkapiteln 4 bis 10 der ISO 27001 empfiehlt sich die Verwendung der ISO 27003 als Referenzdokument. Die ISO 27003 ist der offizielle Implementierungsleitfaden zur ISO 27001 und erläutert die Anforderungen detailliert.

🛑 Unzureichende Fragestellung:

 
Was bedeutet Kapitel 5.1 der ISO 27001?
 

✅ Strukturierte Fragestellung:

 
Norm: ISO 27001:2022
Kapitel: 5.1 – Führung und Verpflichtung

Referenztext aus ISO 27003: [Vollständiger Text des entsprechenden Abschnitts aus der ISO 27003]

Unternehmenskontext: [z.B. Mittelständisches Unternehmen, ca. 150 Mitarbeiter, Branche Pharma]

Frage: Welche dokumentierten Informationen sind als Nachweis für die Erfüllung dieser Anforderung erforderlich?
 

Ergebnis: Durch die Bereitstellung des Referenztextes aus der ISO 27003 erhält das KI-System den präzisen Kontext und kann spezifisch auf Ihre Situation eingehen, ohne auf allgemeine Interpretationen und Daten zurückgreifen zu müssen.

Anwendung 2: Fragen zu ISO 27001 Anhang A

Für Fragen zu den Controls aus Anhang A der ISO 27001 dient die ISO 27002 als Referenzdokument. Sie beschreibt die einzelnen Maßnahmen detailliert und gibt Implementierungshinweise.

🛑 Unzureichende Fragestellung:

 
Wie setze ich Control A.8.10 um?
 

✅ Strukturierte Fragestellung:

Norm: ISO 27001:2022, Anhang A
Control: A.8.10 – Löschen von Informationen

Referenztext aus ISO 27002: [Vollständiger Controltext mit Zweck, Attributen und Maßnahmen]

Unternehmenskontext: [z.B. Mittelständisches Unternehmen, ca. 150 Mitarbeiter, Branche Pharma, ohne eigenes Rechenzentrum, IT-Services überwiegend über Cloud-Anbieter]

Frage: Welche Nachweismöglichkeiten bestehen für die Umsetzung dieser Anforderung bei ausgelagerter IT-Infrastruktur?

Ergebnis: Die Kombination aus Normtext und spezifischem Unternehmenskontext ermöglicht eine praxisnahe Antwort, die umsetzbar ist.

Anwendung 3: Fragen zu VDA ISA (TISAX® Prüfgrundlage)

Beim VDA ISA ist die Struktur der Anforderungen bereits konkret vorgegeben. Jedes Kapitel enthält ein Ziel sowie spezifische Anforderungen in verschiedenen Kategorien (muss, sollte, hoher Schutzbedarf, sehr hoher Schutzbedarf). Gehen Sie zuerst immer auf die einzelne Anforderung (+ Zeichen) ein.

🛑 Unzureichende Fragestellung:

 
Was ist bei TISAX® für Zutrittskontrolle erforderlich?
 

✅ Strukturierte Fragestellung:

 
Standard: VDA ISA Version 6
Kapitel: 3.1.1 – Physische Sicherheit

Ziel: Sicherheitszonen dienen dem physischen Schutz von Informationswerten. Je sensibler die zu verarbeitenden Informationswerte sind, desto mehr Schutzmaßnahmen sind erforderlich.

Anforderung (muss): + Richtlinien für das Besuchermanagement (einschließlich Registrierung und Begleitung von Besuchern) sind definiert.

Unternehmenskontext: [z.B. Produktionsstandort mit Entwicklungsabteilung, ca. 200 Mitarbeiter, derzeit nur mechanische Schließanlage]

Frage: Welche Vorgaben sind dafür mindestens erforderlich und wie werden diese praktisch umgesetzt?
 

Quelle: VDA ISA v6 Lizenz: CC BY-ND 4.0, © ENX Association Link: https://creativecommons.org/licenses/by-nd/4.0/

Ergebnis: Durch die vollständige Bereitstellung von Ziel, Anforderung und Kontext kann das System eine konforme und praxisgerechte Antwort liefern.

Systematische Fehleranalyse

Fehler 1: Fehlender Kontext

🛑 Problematisch:

 
Wie verbessere ich die Informationssicherheit?
 

✅ Professionell strukturiert:

 
Unternehmenskontext: Produktionsunternehmen, 180 Mitarbeiter, 
heterogene IT-Landschaft (Windows, Linux, Cloud-Services)

Zielsetzung: Vorbereitung auf ISO 27001:2022 Zertifizierung

Aktueller Stand: Informelle Sicherheitsmaßnahmen vorhanden, 
keine systematische Dokumentation

Frage: Welche Maßnahmen sollten priorisiert werden, 
um die größten Sicherheitslücken zu adressieren?
 

Fehler 2: Implizite Annahmen

🛑 Problematisch:

 
Wie setzen wir die Anforderung in unserem Kontext um?
 

Das KI-System kennt weder "die Anforderung" noch "Ihren Kontext".

✅ Professionell strukturiert: Immer explizit den Normtext und den spezifischen Unternehmenskontext bereitstellen.

Fehler 3: Fehlende Quellenreferenz

🛑 Problematisch:

 
Erklären Sie die Anforderungen aus Kapitel 5.2
 

✅ Professionell strukturiert: Den vollständigen relevanten Text aus der Norm oder dem Leitfaden bereitstellen. Paraphrasierungen können zu Missverständnissen führen.

Fehler 4: Mehrere Fragestellungen vermischt

🛑 Problematisch:

 
Wie implementieren wir Zutrittskontrolle, welche Firewall-Regeln 
brauchen wir und was ist mit der Verschlüsselung?
 

✅ Professionell strukturiert: Eine Fragestellung pro Anfrage. Bei komplexen Themen schrittweise vorgehen und aufeinander aufbauen.

Methodische Templates nach Standards

Template für ISO 27001 Hauptkapitel (4-10)

 
Norm: ISO 27001:2022
Kapitel: [Nummer und Bezeichnung]
Referenztext aus ISO 27003: [Vollständiger Abschnitt]
Unternehmenskontext: [Relevante Rahmenbedingungen]
Frage: [Spezifische Fragestellung]
 

Template für ISO 27001 Anhang A

 
Norm: ISO 27001:2022, Anhang A
Control: [Nummer und Bezeichnung]
Referenztext aus ISO 27002: [Vollständige Control-Beschreibung]
Unternehmenskontext: [Relevante Rahmenbedingungen]
Frage: [Spezifische Fragestellung]
 

Template für VDA ISA (TISAX® Prüfgrundlage)

 
Standard: VDA ISA [Version]
Kapitel: [Nummer und Bezeichnung]
Ziel: [Zielbeschreibung aus dem Standard]
Anforderung: [Anforderung (+ Zeichen) mit muss/soll Kategorie]
Unternehmenskontext: [Relevante Rahmenbedingungen]
Frage: [Spezifische Fragestellung]
 

Erfolgsfaktoren der Methodik

Präzision durch Quellenreferenz

Durch die Bereitstellung von Originaltexten aus Normen und Leitfäden minimieren Sie das Risiko von Fehlinterpretationen. Das KI-System arbeitet mit dem authentischen Material statt mit allgemeinen Interpretationen und Daten.

Vermeidung von Halluzinationen

Je vollständiger der bereitgestellte Kontext, desto geringer die Wahrscheinlichkeit, dass das KI-System Informationen generiert, die nicht auf den tatsächlichen Anforderungen basieren.

Praxisrelevanz der Antworten

Durch die Angabe Ihres spezifischen Unternehmenskontexts erhalten Sie Antworten, die auf Ihre Situation zugeschnitten sind und nicht nur theoretische Erklärungen.

Reproduzierbarkeit

Strukturierte Fragestellungen ermöglichen konsistente Ergebnisse. Verschiedene Personen in Ihrer Organisation können dieselbe Methodik anwenden und zu vergleichbaren Ergebnissen gelangen.

Erweiterte Anwendungsszenarien

Szenario 1: Entwicklung von Richtlinien

Anforderungssituation: Erstellung einer Richtlinie zur Regelung von Verantwortlichkeiten im ISMS

Strukturierte Anfrage:

 
Standard: VDA ISA Version 6
Kapitel: 1.2.1 – Organisation der Informationssicherheit

Ziel: Verantwortlichkeiten für Informationssicherheit sind festgelegt.

Anforderung (hoher Schutzbedarf = muss): + Eine angemessene organisatorische Trennung von Verantwortlichkeiten sollte zur Vermeidung von Interessenskonflikten etabliert sein (Funktionstrennung). (C, I, A)

Unternehmenskontext: Produktionsunternehmen mit 95 Mitarbeitern, 
keine dedizierte Sicherheitsabteilung, ISMS-Verantwortung 
beim IT-Leiter angesiedelt

Frage: Erstelle ein Inhaltsverzeichnis für eine Vorgabe zur 
Regelung der Verantwortlichkeiten, die die Anforderung erfüllt, Risiken adressiert und die organisatorischen Gegebenheiten berücksichtigt.
 

Quelle: VDA ISA v6 Lizenz: CC BY-ND 4.0, © ENX Association Link: https://creativecommons.org/licenses/by-nd/4.0/

Szenario 2: Klärung von Umsetzungsoptionen

Anforderungssituation: Bewertung vorhandener Maßnahmen hinsichtlich Normkonformität

Strukturierte Anfrage:

 
Standard: VDA ISA Version 6
Kapitel: 5.3.4 

Ziel: Eine klare Trennung zwischen den einzelnen Mandanten muss sichergestellt sein, so dass die eigenen Informationen in organisationsfremden IT-Diensten jederzeit geschützt werden und dass verhindert wird, dass von weiteren Organisationen (Mandanten) auf sie zugegriffen wird.

Anforderung (muss): + Eine wirksame Trennung (z. B. Mandantentrennung) verhindert, dass von unbefugten Nutzern anderer Organisationen auf die eigenen Informationen zugegriffen wird.

Unternehmenskontext: Vollständige Cloud-Migration abgeschlossen, 
Microsoft 365 als zentrale Plattform, alle Mitarbeiter mobil, keine eigene Server-Infrastruktur mehr vorhanden

Frage: Erfüllen die integrierten Sicherheitsfunktionen 
von Microsoft 365 die Anforderung oder sind zusätzliche 
Maßnahmen erforderlich? Falls ja, welche?
 

Quelle: VDA ISA v6 Lizenz: CC BY-ND 4.0, © ENX Association Link: https://creativecommons.org/licenses/by-nd/4.0/

Szenario 3: Risikobewertung

Anforderungssituation: Auswahl einer geeigneten Methodik zur Risikobewertung

Strukturierte Anfrage:

 
Norm: ISO 27001:2022
Kapitel: 6.1.2 – Bewertung von Informationssicherheitsrisiken

Referenztext aus ISO 27003: [Relevanter Abschnitt zur Risikobewertung]

Unternehmenskontext: IT-Dienstleister mit 35 Mitarbeitern, 
Schwerpunkt Cloud-Services, Assets primär Kundendaten 
in gehosteten Systemen

Frage: Welche Risikobewertungsmethodik ist für diese 
Unternehmensgröße praktikabel und erfüllt gleichzeitig 
die Anforderungen der Norm?
 

Grenzen und Abgrenzung

Bereiche, die menschliche Expertise erfordern

Auch bei optimaler Fragestruktur gibt es Situationen, in denen KI-Systeme menschliche Fachexpertise nicht ersetzen können:

• Strategische ISMS-Architekturentscheidungen mit weitreichenden organisatorischen Auswirkungen

• Komplexe Risikoanalysen mit zahlreichen Interdependenzen und Wechselwirkungen

• Vorbereitung auf Zertifizierungsaudits mit spezifischen Auditoren-Erwartungen

• Rechtsverbindliche Compliance-Bewertungen mit rechtlichen Implikationen

• Organisationsspezifische Change-Management-Prozesse im Kontext der ISMS-Implementierung

• Konsistente interdisziplinäre Verknüpfung von Anforderungen und Vorgaben

In diesen Fällen sollten KI-Systeme zur Vorbereitung und Recherche genutzt werden, während die finale Bewertung und Entscheidung durch qualifizierte Fachexperten erfolgt.

Aktualität von Normtexten

KI-Modelle verfügen über einen Wissensstand zu einem bestimmten Zeitpunkt. Bei Verwendung aktualisierter Normversionen ist es essentiell, den aktuellen Normtext selbst bereitzustellen und sich nicht auf das Vorwissen des Systems zu verlassen. Dies setzt natürlich voraus, dass Sie über die dafür erforderliche Lizenz verfügen!

Branchenspezifische Anforderungen

Bestimmte Branchen haben zusätzliche oder abweichende Anforderungen (z.B. Automotive, Medizintechnik, Finanzsektor). Diese sollten explizit im Unternehmenskontext genannt werden.

🥜 In A Nutshell: Erfolgskriterien strukturierter Fragestellungen

 
1. Kontext vollständig definieren: Branche, Unternehmensgröße, technische Infrastruktur, organisatorische Rahmenbedingungen

2. Originale Texte verwenden: ISO 27003 für ISO 27001 Hauptkapitel, ISO 27002 für Anhang A Controls, VDA ISA Ziel und Anforderung 

3. Spezifische Fragen formulieren: Nicht "Wie funktioniert das allgemein?" sondern "Wie setzen wir diese spezifische Anforderung in unserer konkreten Situation um?"

4. Methodische Templates nutzen: Standardisierte Fragestrukturen für wiederkehrende Anwendungsfälle entwickeln

5. Antworten verifizieren: KI-gestützte Antworten als Ausgangspunkt nutzen, finale Entscheidungen durch qualifizierte Personen treffen

6. Quellenkonformität sicherstellen: Bei normativen Anforderungen immer mit Originaldokumenten arbeiten

7. Fragestellungen separieren: Eine Anforderung pro Anfrage, komplexe Themen schrittweise bearbeiten

8.Präzision vor Allgemeingültigkeit: Lieber eine detaillierte Antwort auf eine spezifische Frage als allgemeine Aussagen
 

Implementierung in der Organisation

Die erfolgreiche Anwendung strukturierter Fragestellungen erfordert:

• Schulung der Mitarbeiter in der Methodik

• Bereitstellung von Templates für häufige Anwendungsfälle

• Zugang zu Normdokumenten (ISO 27001, 27002, 27003, VDA ISA)

• Qualitätssicherungsprozesse für KI-generierte Inhalte

• Dokumentation erfolgreicher Fragestrukturen als Wissensbasis

Die Investition in diese strukturierte Vorgehensweise führt zu messbaren Verbesserungen in Effizienz, Qualität und Konsistenz der Ergebnisse.

 
💡 Hinweis zur Lizenzierung und Nutzung von Normen

Die beschriebene Methodik setzt voraus, dass Sie einen legalen Zugang zu den jeweiligen Normdokumenten mit entsprechender Lizenz verfügen. ISO-Normen und der VDA ISA sind urheberrechtlich geschützt und müssen über offizielle Kanäle bezogen werden. Die Methodik ersetzt nicht den Erwerb der Originaldokumente, sondern zeigt deren effektive Nutzung in Kombination mit KI-gestützten Werkzeugen.