Wenn KI die ISMS-Policies schreibt

Das Szenario ist verlockend: Man öffnet ein KI-Tool, formuliert einen guten Prompt, gibt etwas Unternehmenskontext ein — und erhält in wenigen Minuten eine Informationssicherheitsrichtlinie, ein Passwortkonzept, eine Risikobeurteilungsvorlage. Die Dokumente klingen professionell. Sie decken die richtigen Themen ab. Sie könnten fast aus einer Unternehmensberatung stammen.

Fast.

Was KI tatsächlich liefert

Ein gut konfiguriertes Sprachmodell kann strukturierte Dokumente erzeugen, die den formalen Anforderungen aus ISO/IEC 27001:2022 oder NIS2 oberflächlich entsprechen. Es kennt die Terminologie. Es kennt die relevanten Controls. Es weiß, wie eine Datenschutzrichtlinie aufgebaut sein sollte.

Was es nicht kennt, ist Ihr Unternehmen. Es kennt nicht Ihre tatsächliche Risikolage, nicht Ihre kritischen Geschäftsprozesse, nicht Ihre Lieferantenabhängigkeiten, nicht die internen Entscheidungswege, die eine Policy erst umsetzbar machen. Ein KI-Tool generiert Dokumente — keine Risikobeurteilung. Es schreibt Richtlinien — aber es kann nicht entscheiden, welche Controls für Ihre konkrete Situation angemessen sind und welche nicht.

Das Statement of Applicability (SoA), das zentrale Pflichtdokument jedes ISO-27001-Audits, ist kein Formular. Es ist eine begründete Entscheidung darüber, welche Controls des Annex A angewendet werden, welche ausgeschlossen werden — und warum. Diese Begründung muss aus dem Unternehmen kommen. Kein Prompt ersetzt sie.

Das Sicherheitsrisiko im Prompt selbst

Es gibt einen weiteren Aspekt, der häufig übersehen wird: Was passiert mit den Informationen, die in den Prompt fließen?

Wer einer öffentlich zugänglichen KI-Plattform beschreibt, welche Systeme das Unternehmen betreibt, welche Lieferanten es hat oder wie interne Prozesse strukturiert sind, gibt Firmengeheimnisse und unter Umständen personenbezogene Daten weiter — an Dienste, deren Datenschutz- und Trainingsnutzungsbedingungen selten sorgfältig gelesen werden. Ein ISMS, das Informationssicherheit schützen soll, beginnt schlecht, wenn sein Aufbau selbst ein Datenschutzproblem erzeugt.

In der Praxis empfehlen wir: KI-Tools ja — für Strukturierungshilfen, Drafts, Formulierungsvorschläge. Aber niemals mit internen Systemdetails, Organigrammen oder konkreten Lieferanten- und Kundendaten in den Prompt.

Wo die eigentliche Arbeit beginnt

Ein ISMS ist kein Dokumentenordner. Es ist ein funktionierendes Managementsystem — mit gelebten Prozessen, messbarer Wirksamkeit und einem Risikomodell, das auf die tatsächliche Bedrohungslage des Unternehmens zugeschnitten ist.

Was im ISO-27001-Audit geprüft wird, ist nicht, ob die Richtlinie gut formuliert ist. Geprüft wird, ob die beschriebenen Prozesse tatsächlich gelebt werden, ob Mitarbeitende die Richtlinien kennen und danach handeln, ob die Risikobeurteilung aktuell und mit dem SoA konsistent ist, ob Controls nicht nur eingeführt, sondern in ihrer Wirksamkeit nachweisbar sind.

Kein KI-generiertes Dokument besteht einen Stage-2-Audit, wenn die organisatorische Substanz fehlt. Die Erfahrung zeigt: Ein Auditor erkennt sofort, ob eine Policy aus dem Unternehmensalltag gewachsen ist oder generiert wurde.

Was KI sinnvoll unterstützt

Das ist keine Absage an KI-Unterstützung. KI-Tools können im ISMS-Aufbau nützlich sein: für das Erstellen von Ausgangsdrafts, die dann fachlich überarbeitet werden; für das Formulieren von Awareness-Materialien; für das strukturierte Durchdenken von Prozessschritten als Gesprächspartner im Konzeptionsprozess.

Ein externer CISO nutzt genau solche Werkzeuge — eingebettet in eine Methodik, die sicherstellt, dass das Ergebnis zum Unternehmen passt, nicht zum Trainingsdatensatz eines Sprachmodells.

Fazit

KI schreibt schnell. ISMS-Compliance entsteht langsam. Der Unterschied liegt nicht in der Qualität der Formulierungen, sondern darin, ob ein Managementsystem wirklich funktioniert. Wer KI-generierte Dokumente als fertiges ISMS betrachtet, schafft Papiersicherheit — und riskiert, dass genau das im nächsten Audit sichtbar wird.