Sicherlich hat jeder schon den verlockenden Gedanken gehabt, der im Umfeld von Informationssicherheits-Managementsystemen als ISB oder Berater tätig ist: lästige Erstellung oder Überarbeitung von Richtlinien einfach von einer generativen künstlichen Intelligenz erledigen lassen.
Darf man das?
Es spricht rein rechtlich nichts dagegen; auch in keiner der einschlägigen Normen, allen voran der ISO 27001, ist eine Klausel zu finden, die den Einsatz von solchen Hilfsmitteln bei der Arbeit mit Vorgaben untersagt.
Wo kann KI helfen?
Als Beispiel mag die Erstellung eines Rechtskatasters dienen. Das ist bekanntlich das Verzeichnis der Rechts- und Vertragsvorgaben, die (mit-)richtungsweisend die Ausgestaltung eines ISMS sind. Es umfasst im Idealfall auch eine kurze Begründung, weshalb die jeweilige Vorgabe zutrifft bzw. was sie konkret fordert und eine zuständige Person. Solche Listen zu erstellen macht kein Vergnügen und es bietet sich an, Helferlein einzusetzen.
Manche Richtlinien folgen, obwohl ISMS hochgradig individualisiert und auf eine bestimmte Organisation zugeschnitten sind, einem bestimmten Schema und ähneln sich immer stark. Als Beispiel sei ein Notfallkonzept angeführt. Auch da könnte KI unterstützen.
Was soll schon passieren?
Die Krux ist, dass allein schon die obigen Beispiele einige unangenehme Fallstricke bergen.
- Die generierte Vorgabe kann an den individuellen Anforderungen der Organisation vorbeigehen; im Fall der Notfallplanung könnten Szenarien enthalten sein, die für die Organisation unwahrscheinlich sind (oder welche fehlen).
- Das Ergebnis kann praxisfremd ausschweifend oder zu knapp sein; hier kommt es darauf an, den Charakter solcher Vorgaben im Kontext der Organisation richtig zu treffen.
- Es fehlt naturgemäß jede Abstimmung mit ggfs. betroffenen Personen. Das ist ein riesiges Problem: alle „Stakeholder“ müssen „abgeholt“ werden. Das ist übrigens das, was bei einer guten Richtlinienerstellung auch am meisten Zeit kostet – und genau da KANN eine KI nicht helfen.
- Die Einbettung in den Kanon der übrigen Dokumente fehlt. Man kann Richtlinien in einem ISMS bis zu einem gewissen Grade isoliert betrachten. Aber wer sich schon einmal die Listen der Verweise oder „mitgelten Dokumente“ in einem solchen Dokument angesehen hat, der weiß: dieser Grad ist nicht allzu groß. Es gibt immer Anknüpfungspunkte, die Dokumente greifen ineinander.
Was folgt daraus?
Das Fazit ist, dass KI zwar bei völliger Ahnungslosigkeit helfen kann, erste Ideen zu entwickeln. Aber für ein wirklich nutzbares Ergebnis muss man eben doch Fachverstand aufbringen und „den Instanzenweg“ beschreiten, also das Gespräch mit Kollegen suchen. Im Endeffekt spart man durch den KI-Einsatz nur wenig Zeit im Vergleich zu eigener Erstellung mit Hilfe der Normvorgaben und einiger Inspirationen aus dem Internet (oder man fragt mal jemanden wie uns, ein Tipp kostet nicht gleich viel Geld).
Um das Thema Rechtskataster hat sich beispielsweise die IHK verdient gemacht. Im Fall der Notfallplanung hilft zum Beispiel ein Seitenblick auf die Arbeit des BSI weiter. Beide obige Links sind das Ergebnis von etwas Fachkunde und etwa 30 Sekunden Internetrecherche.
Internetrecherche ist erfahrungsgemäß wirklich hilfreich, und da mittlerweile auch Suchmaschinen KI-getrieben sind, hilft am Ende ja doch das „Elektronengehirn“ mit – und man kann bei der Freigabe der Richtlinien der Organisationsleitung stolz verkünden, dass man sich neuester Technologie bedient hat 😉