ISMS-Richtlinien via KI erstellen

Warum der „Alles-auf-einmal“-Prompt scheitert

Wer generative KI-Tools wie ChatGPT, Gemini, Grok oder Claude nutzt, um Unternehmensrichtlinien zu erstellen, kennt das Phänomen: Sie geben einen umfassenden Prompt ein „Erstelle zum Thema XY eine IT-Sicherheitsrichtlinie nach ISO 27001 für unser Unternehmen“ und erhalten ein Ergebnis, das auf den ersten Blick beeindruckend wirkt.

Doch spätestens beim zweiten Lesen oder im Gespräch mit dem Auditor fällt das Kartenhaus zusammen. Der Text ist generisch, widerspricht sich in Details oder fordert Maßnahmen, die für Ihre Unternehmensgröße völlig unrealistisch sind.

Der Fehler liegt nicht in der KI, sondern im Prozess. Wer exzellente Ergebnisse will, darf nicht versuchen, eine 20-seitige Richtlinie mit einem einzigen Klick zu erzeugen.

Hier erkläre ich Ihnen, warum ein strukturierter, mehrstufiger Workflow technisch überlegen ist und warum selbst das beste Ergebnis am Ende immer einen menschlichen „Realitätscheck“ braucht.

Die Methode: Schritt für Schritt statt „One-Shot“

Ein Large Language Model (LLM) arbeitet am besten, wenn es sich auf eine einzelne Aufgabe konzentrieren kann. Deshalb ist der folgende Tipp der Schlüssel zu besseren Ergebnissen:

⚠️ TIPP Um eine Richtlinie zu erstellen, nennt man der KI die Branche, die Unternehmensgröße, den ISMS Scope, den Zweck der Richtlinie und beginnt dann mit dem Inhaltsverzeichnis. Im Anschluss entwickelt man dann daraus nach und nach die einzelnen Kapitel. 

Dieser Ansatz bricht die gigantische Aufgabe „Richtlinie schreiben“ in logische, technische Arbeitsschritte herunter:

1. Recherche & Kontext (Die Datenbasis)

Bevor geschrieben wird, muss die KI verstehen.

Ein dedizierter Prompt sorgt dafür, dass die KI zunächst nur Normtexte (z. B. NIS-2, TISAX®) und Ihre internen Gegebenheiten analysiert. Das minimiert Halluzinationen, da die KI auf Fakten zugreift (Retrieval), statt zu raten.

2. Das Inhaltsverzeichnis (Die Architektur)

Im zweiten Schritt erstellt die KI nur die Gliederung.

Der Vorteil: Sie validieren die Logik, bevor Text entsteht. Fehlt der Punkt „Sanktionen“? Ist „Mobiles Arbeiten“ abgedeckt? Das Inhaltsverzeichnis dient als Landkarte. Die KI „weiß“ nun, was in Kapitel 1 kommt und was erst in Kapitel 10 behandelt wird. Das verhindert ständige Wiederholungen.

3. Der Canvas-Modus (Die Werkstatt)

Jetzt erst beginnt das Schreiben; idealerweise in einer Canvas-Ansicht, Kapitel für Kapitel.

Der technische Grund

Jede KI hat ein begrenztes „Aufmerksamkeitsfenster“ (Context Window). Soll sie 15 Seiten auf einmal schreiben, „vergisst“ sie oft Definitionen vom Anfang oder wird am Ende ungenau.

Die Lösung

Wenn wir sie beauftragen: „Schreibe jetzt nur Kapitel 3“, widmet sie 100 % ihrer Rechenleistung diesem einen Abschnitt. Das Ergebnis ist fachlich tiefer, präziser und sprachlich konsistenter.

Warum „gut geschrieben“ nicht „konform“ bedeutet

Wenn Sie diesen Prozess befolgen, erhalten Sie eine Richtlinie, die sprachlich hervorragend und logisch aufgebaut ist. Sie haben 80 % der Arbeit in Rekordzeit erledigt. Doch hier liegt die Gefahr! Viele Anwender verwechseln einen plausiblen Text mit einer konformen Richtlinie. Eine KI kann keine Verantwortung übernehmen. Sie kennt Normtexte, aber sie kennt nicht die gelebte Realität Ihres Unternehmens. Deshalb kann und wird Ihnen keine KI der Welt garantieren, dass das Ergebnis ein Audit besteht.

Die Fallen der KI-Richtlinien

Die Angemessenheit (Appropriateness)

Eine KI tendiert oft zu „Best Case“-Szenarien aus ihren Trainingsdaten. Sie schlägt vielleicht vor, Passwörter alle 30 Tage zu ändern und komplexe Verschlüsselungen für interne Memos zu nutzen.

Das Problem

Für einen Konzern mag das passen. Für einen Mittelständler ist es der operative Tod. Ein Auditor prüft nicht nur, ob Sie eine Regel haben, sondern ob diese angemessen für Ihr Risiko ist.

Konformität vs. Realität

Die KI schreibt Sätze wie „Die Protokollierung erfolgt lückenlos und wird täglich manuell ausgewertet.“ Das klingt super für die Norm. Das Problem ist, wenn Sie das nicht wirklich tun (weil Ihnen das Personal fehlt), haben Sie sich soeben selbst eine Abweichung ins Audit geschrieben. Eine Richtlinie darf nie mehr versprechen, als Sie halten können.

Interpretationsspielräume

Begriffe wie „regelmäßig“, „umgehend“ oder „Stand der Technik“ sind dehnbar. Die KI füllt diese Lücken oft mit Standardfloskeln. Ein Experte weiß jedoch, wie ein Auditor „regelmäßig“ in Ihrer spezifischen Branche interpretiert.

🥜 In A Nutshell: Nutzen Sie KI als Werkzeug, nicht als Versicherung

Der beschriebene Workflow (Recherche → Gliederung → Canvas) ist der derzeit mächtigste Weg, um Richtlinien-Entwürfe zu erstellen. Er spart Zeit und liefert eine solide Struktur.

Aber das finale Qualitätssiegel kann nur ein Mensch geben. Gerne übernehme ich das für Sie:

Die entscheidende Frage ist nicht: „Hat die KI das gut formuliert?“

Die entscheidende Frage ist: „Ist das, was hier steht, normkonform, für meine Größe angemessen und in der Praxis überhaupt umsetzbar?“

Erstellen Sie Ihre Entwürfe mit der KI – aber lassen Sie uns gemeinsam den Realitätscheck machen, bevor Sie darauf Ihre Unterschrift setzen: Validierung von KI-generierten Inhalten