Kann ChatGPT Ihre ISMS-Richtlinie entwerfen? Ein Praxistest

Kann KI Ihre ISMS-Richtlinien schreiben? Ja; aber nicht so, wie die meisten es erwarten. Ein praxiserprobter Blick darauf, was funktioniert, was scheitert und wie Sie KI sicher in Ihrem Governance-Programm einsetzen.

Christophe MazzolaChristophe Mazzola· Practicing CISO · Founder of Cyber Academy5 Min. Lesezeit
Can ChatGPT Draft Your ISMS Policy

Jeder CISO und GRC-Manager hat in letzter Zeit denselben Gedanken gehabt: “Could ChatGPT write my ISO 27001 policies?” KI kann bereits in Minuten saubere Vorlagen, strukturierte Absätze und sogar vollständige ISMS-Dokumente erstellen. Die Frage ist nicht, ob sie das kann. Die Frage lautet: Sollten Sie ihr vertrauen?

Die meisten Organisationen testen KI auf die falsche Weise. They throw a prompt at ChatGPT ; “Write an Access Control Policy!” ; and expect magic. Stattdessen erhalten sie:

  • generischen Text
  • fehlende Controls
  • prüferunfreundliche Formulierungen
  • überzogene Verantwortlichkeiten
  • und keinerlei Bezug zur eigenen Realität

Das ist die Wahrheit aus der Praxis:KI kann Ihre ISMS-Richtlinien durchaus entwerfen, aber nur, wenn Sie sie als Co-Pilot behandeln und nicht als Ersatz. The “real test” isn’t whether ChatGPT can generate text. Er besteht darin, ob das Ergebnis Belegen, Auditoren und der operativen Realität standhält.

Sehen wir uns an, was KI für Ihr ISMS leisten kann und was nicht.

1. KI ist hervorragend in Struktur, kann aber beim Kontext versagen

ChatGPT beherrscht Struktur perfekt. Es kann sofort liefern:

  • Überschriften
  • Klauseln
  • Definitionen
  • Tabellen
  • Geltungsbereichsbeschreibungen
  • Verantwortlichkeiten
  • Richtliniengerüste

Anekdote: Ich habe ChatGPT einmal getestet, indem ich nach einem vollständigen ISMS-Richtlinienpaket gefragt habe. In 5 Sekunden produzierte es 14 Richtlinien, die sauber und vollständig wirkten.

Aber:

ChatGPT kennt nicht:

  • Ihr Risikoprofil
  • Ihre tatsächlichen Tools
  • was Sie implementiert haben
  • wer wofür verantwortlich ist
  • Ihre Ausnahmen
  • Ihre tatsächliche Beweislage

Lösung: Verwenden Sie KI, um das Gerüst zu erstellen, nicht den Inhalt.

2. KI schreibt Richtlinien, die zu viel versprechen, und das ist gefährlich

ChatGPT liebt starke Formulierungen: “Access reviews shall be performed monthly.” “All incidents shall be resolved within 24 hours.” “Encryption is mandatory for all data.”

Klingt professionell. Scheitert sofort beim Audit.

Denn Auditoren prüfen nicht, was Sie geschrieben haben. Sie prüfen, was Sie versprochen haben, gegenüber dem, was Sie nachweisen können.

Ein Beispiel aus der Praxis: Ein Unternehmen kopierte eine KI-generierte Zugangskontrollrichtlinie, die monatliche Überprüfungen vorschrieb. In der Realität führten sie vierteljährliche Überprüfungen durch. Der Auditor verzeichnete eine Nichtkonformität, weil die Organisation ihrer eigenen Richtlinie nicht folgte.

Lösung: Formulieren Sie Anforderungen immer so um, dass sie Ihrer tatsächlichen Betriebsrealität entsprechen, nicht der Perfektion der KI.

3. KI liegt bei ISO 27001 immer noch falsch (besonders bei den Annex-A-Controls)

ChatGPT:

  • vermischt Versionen (2013 vs. 2022)
  • interpretiert Controls falsch
  • verwechselt Hinweise mit Anforderungen
  • erfindet Verpflichtungen, die nicht existieren
  • lässt Pflichtelemente weg
  • ordnet den PDCA-Zyklus falsch der Dokumentation zu

Beispiel: Ask ChatGPT for a “Supplier Security Policy” based on ISO 27001. Es wird einen passablen Text liefern, aber die Kernanforderung verfehlen: Lieferantenvereinbarungen müssen die Sicherheitserwartungen festlegen, nicht nur bewerten.

KI kennt die Worte, nicht die Nuancen.

Lösung: Lassen Sie KI den Text entwerfen, aber validieren Sie den Inhalt anhand des echten Annex A.

4. KI kann Richtlinien nicht mit Ihrem tatsächlichen ISMS-Geltungsbereich abstimmen

Der Geltungsbereich ist das Herzstück Ihres ISMS. Und ChatGPT kann nicht:

  • Ihre Organisationsstruktur interpretieren
  • Ihre Grenzen definieren
  • Ihr Asset-Inventar einbinden
  • Ihre Prozesse abbilden
  • Ihre reale Architektur widerspiegeln
  • geteilte Verantwortlichkeiten verstehen

Wenn Sie es ohne Kontextinformationen eine Richtlinie erstellen lassen, schreibt es für eine fiktive Organisation.

Anekdote: A client used AI to generate a “Backup Policy.” Sie verwies auf Systeme, die nicht vorhanden waren, und Verantwortlichkeiten, die nicht existierten.

Lösung: Geben Sie der KI den echten Geltungsbereich und die Umgebung vor, sonst erhalten Sie eine Richtlinie für ein fremdes Unternehmen.

5. KI kann bei der Konsistenz helfen, wenn Sie ihr Ihre Sprache mitgeben

Ein großer Vorteil von ChatGPT: Tonkonsistenz.

Wenn Sie über Folgendes verfügen:

  • eine bestehende Richtlinie
  • einen bevorzugten Stil
  • eine Compliance-Sprache
  • spezifische Formulierungen
  • einen Schreibstandard

kann KI diesen über Ihr gesamtes ISMS hinweg replizieren.

Anekdote: We once fed ChatGPT a single “master policy style.” Es produzierte sechs weitere Richtlinien mit demselben Ton, derselben Formatierung und Struktur und sparte damit stundenlange manuelle Bearbeitung.

Lösung: Stellen Sie Beispiele bereit, bevor Sie neue Dokumente erstellen lassen.

6. KI ist hervorragend für Erstentwürfe, kann aber keine auditfertigen Endversionen liefern

ChatGPT kann Ihnen 80 % des Textes einer Richtlinie liefern. Was es nicht leisten kann, ist die letzte Meile:

  • Abstimmung mit Ihren tatsächlichen Prozessen
  • rechtliche Validierung
  • Prüfung der technischen Umsetzbarkeit
  • bereichsübergreifende Verantwortlichkeiten
  • Belastbarkeit gegenüber Auditoren
  • Konsistenz der Nachweise
  • operative Klarheit

Menschen übernehmen weiterhin die Governance. KI übernimmt die Routinearbeit.

Das ist die richtige Balance.

7. KI kann die ISMS-Implementierung erheblich beschleunigen

Mit guten Prompts kann KI:

  • Ihr Richtlinienpaket entwerfen
  • Ihre Risikomethoodik skizzieren
  • SoA-Entwürfe erstellen
  • Schulungsinhalte generieren
  • technische Prozesse in verständliche Sprache umschreiben
  • Ingenieurnotizen in Richtlinien umwandeln
  • Vorlagen erstellen (z. B. Vorfallsberichte, Lieferantenbewertungen)
  • Auditanforderungen zusammenfassen
  • Frameworks vergleichen (ISO vs. SOC vs. NIS2 vs. DORA)

Ein CISO sagte mir: “What used to take two months of writing now takes a week.”

KI macht das ISMS nicht reif. Sie macht die Dokumentation schmerzlos.

8. Der echte Test: Hält ChatGPT einem Auditor stand?

Kurze Antwort: nein. Noch nicht. Vielleicht nie.

Auditoren fragen: “Show me the evidence behind this statement.” ChatGPT kann das nicht. Nur Ihre Umgebung kann das.

Auditoren prüfen:

  • Rückverfolgbarkeit
  • Implementierung
  • Eigentümerschaft
  • zuletzt geändertes Datum
  • nachgewiesene Abläufe
  • Protokolle
  • Genehmigungen

KI kann Erklärungen generieren, aber keine Nachweise.

Lösung: Nutzen Sie KI für den Entwurf. Nutzen Sie Menschen für Validierung und Nachweis.

9. Die Erfolgsformel: Menschliche Governance plus KI-gestützter Entwurf

Das ist das Modell, das tatsächlich funktioniert:

  1. Mensch definiert: Geltungsbereich, Verantwortlichkeiten, Häufigkeit, tatsächliche Beweislage.
  2. KI entwirft: Struktur, Sprache, Formatierung, Abstimmung.
  3. Mensch bearbeitet: Genauigkeit, Umsetzbarkeit, Compliance-Abstimmung.
  4. KI verfeinert: Klarheit, Konsistenz, Ton.
  5. Mensch genehmigt: abschließende Governance und Nachvollziehbarkeit der Nachweise.

Dieser hybride Ansatz reduziert den Zeitaufwand für die ISMS-Dokumentation um 50–70 % und verbessert gleichzeitig die Klarheit.

10. Also: Kann ChatGPT Ihre ISMS-Richtlinie entwerfen?

Ja. Aber nur, wenn Sie verstehen, was KI ist und was sie nicht ist.

KI ist eine Schreibmaschine.Sie ist keine Governance-Maschine.

Sie kann:

  • beschleunigen
  • vereinfachen
  • standardisieren
  • inspirieren
  • klären

Sie kann nicht:

  • Controls verantworten
  • Nachweise validieren
  • ISO-Anforderungen interpretieren
  • Ihre organisatorische Realität abbilden
  • ein Audit allein bestehen

KI ist der beste Junior-GRC-Assistent, den Sie je haben werden, aber sie braucht nach wie vor einen erfahrenen Menschen, der die Führung übernimmt.

Abschließender Gedanke

ChatGPT wird Ihr ISMS nicht ersetzen. Es wird die langsame, mühsame Entwurfsphase ersetzen, die alle hassen.

Die Organisationen, die den KI-Übergang erfolgreich gestalten, sind nicht jene, die KI alles schreiben lassen. Es sind jene, die KI einsetzen, um Reibungsverluste zu beseitigen und dabei die Governance stark zu halten.

KI beschleunigt. Menschen validieren. Gemeinsam verändern sie die Art und Weise, wie ISMS-Dokumentation erstellt wird.

Wenn Sie lernen möchten, wie Sie KI sicher und effektiv einsetzen, um Ihr ISMS aufzubauen oder weiterzuentwickeln (ISO 27001, NIS2, DORA, SOC 2 und mehr), ist genau das das, was wir in der Cyber Academy AI for GRC & Compliance Programs vermitteln. Nehmen Sie an der nächsten Session teil und bauen Sie ein modernes, intelligentes ISMS auf, das wirklich funktioniert.

Möchten Sie die nächste Feldnotiz in Ihrem Posteingang?

Der GRC Brief Newsletter. Fünf Links und eine kurze Einschätzung, jeden Montag um 8 Uhr MEZ. Drei Minuten Lesezeit.