Home » Fachbeiträge » Security Management » Mit ChatGPT zum ISMS

Beratungslücke schließen: KI als Lösung: Mit ChatGPT zum ISMS

Die NIS-2-Richtlinie hat in Deutschland Handlungsdruck geschaffen. KI-gestützte Lösungen wie ChatGPT werden zur unverzichtbaren Ressource, wenn Berater fehlen. Von der Erstellung bis zur Pflege eines ISMS: ChatGPT übernimmt zentrale Aufgaben, optimiert den Prozess und spart Zeit und Kosten – eine smarte Alternative zur traditionellen Beratung?

·

Redaktion IT-SICHERHEIT (cs)

13 Min. Lesezeit
Mann nutzt ChatGPT auf Laptop
Foto: ©AdobeStock/Lusi_mila

Hinweis: Dieser Artikel stammt aus der Ausgabe 6/2024 der Zeitschrift IT-SICHERHEIT. Das komplette Heft können Sie hier herunterladen. (Registrierung erforderlich)

Die NIS-2-Richtlinie der Europäischen Union, die bald in Deutschland mittels NIS-2-Umsetzungsgesetz (NIS2UmsuCG) in Kraft treten wird, stellt Unternehmen vor erhebliche Herausforderungen im Bereich der Informationssicherheit. Laut aktuellen Schätzungen werden mehr als 30.000 Unternehmen in Deutschland dann Beratung und Unterstützung beim Aufbau und der Pflege eines Informationssicherheitsmanagementsystems (ISMS) oder zumindest in Teilen davon benötigen.

Allerdings sind die dafür verfügbaren Ressourcen an qualifizierten Beratern nicht ausreichend, um diese Nachfrage zu decken. Das wird zu einer erheblichen Diskrepanz zwischen den Anforderungen der Richtlinie und den vorhandenen Kapazitäten der Beratungsbranche führen. Angesichts dieser absehbaren Lücke könnte künstliche Intelligenz (KI) für Unternehmen ohne Berater eine wertvolle Unterstützung sein.

Während die Einbindung von Beratern oft zeitaufwendig und kostenintensiv ist, ermöglicht ChatGPT eine schnelle und günstige Bereitstellung von Informationen und Beratung rund um die Uhr. ChatGPT kann beispielsweise nicht nur Routineaufgaben wie die Erstellung von Sicherheitsrichtlinien oder die Durchführung von Risikoanalysen übernehmen, sondern auch komplexere Beratungsleistungen erbringen. Dadurch können Unternehmen den Aufbau und die Pflege ihres ISMS effizienter gestalten und gleichzeitig die Abhängigkeit von externen Beratern und die damit verbundenen Kosten reduzieren.

Wie unterstützt ChatGPT beim ISMS?

Im Kontext eines Informationssicherheits-Managementsystem kann ChatGPT auf verschiedene Weisen hilfreich sein. So ist eine der wichtigsten Aufgaben im ISMS die Entwicklung und regelmäßige Aktualisierung von Sicherheitsrichtlinien. Die KI kann dabei helfen, erste Entwürfe zu erstellen oder bestehende Dokumente zu überarbeiten. Durch die Eingabe spezifischer Anforderungen kann das Tool passende Vorschläge liefern, die dann von den Verantwortlichen geprüft und angepasst werden können.

ChatGPT lässt sich auch zur Durchführung von Risikoanalysen einsetzen. Das Tool ermöglicht es, potenzielle Risiken zu identifizieren und deren Auswirkungen abzuschätzen. Es kann auch bei der Erstellung von Risikomatrizen oder der Priorisierung von Maßnahmen eingesetzt werden, indem es relevante Informationen schnell zusammenfasst. Ferner kann ChatGPT dabei helfen, Unterlagen für Mitarbeiterschulungen zu erstellen oder bestehende Inhalte zu aktualisieren. Zudem kann es als interaktives Tool genutzt werden, um Fragen der Mitarbeiter zu beantworten und somit das Verständnis für Informationssicherheit zu vertiefen.

Ein weiterer unerlässlicher Aspekt beim Betrieb eines ISMS ist die Dokumentation von Sicherheitsmaßnahmen und die regelmäßige Berichterstattung. Auch hier kann ChatGPT unterstützen, indem es Berichte erstellt, Daten zusammenfasst und strukturiert präsentiert. Dies spart Zeit und stellt sicher, dass alle relevanten Informationen berücksichtigt werden. Weiterhin stehen mit der Einführung der NIS-2-Richtlinie viele Unternehmen vor der Herausforderung, ihre Informationssicherheitsmaßnahmen entsprechend anzupassen. ChatGPT kann hierbei als Berater fungieren, indem es spezifische Anforderungen der Richtlinie erläutert, Umsetzungsschritte vorschlägt und bei der Anpassung bestehender Prozesse unterstützt.

Vorteile von ChatGPT als Smarter Berater

Insgesamt bietet die Nutzung von ChatGPT einige recht gute Vorteile, die den Beratungsprozess erheblich erleichtern können:

Unterstützung bei der Entscheidungsfindung: Manchmal steht man vor einer riesigen Menge an Informationen und weiß nicht, wo man anfangen soll. Genau hier kann ChatGPT helfen. Es
kann dabei unterstützen, verschiedene Sicherheitsmaßnahmen gegeneinander abzuwägen und die besten Optionen herauszufiltern.

Ergänzung menschlicher Expertise: Natürlich kann ChatGPT keine erfahrenen ISMS-Berater vollständig ersetzen, aber es kann eine gute Unterstützung oder sogar erste Hilfe in der Not sein, wenn kein Berater verfügbar ist. Während ein menschlicher Berater die strategische Übersicht und tiefgreifende Erfahrung mitbringt, kann ChatGPT schnelle Recherchen durchführen, Dokumente erstellen oder Antworten auf spezifische Fragen liefern. Berater, die ChatGPT einsetzen, haben mehr Zeit, sich auf das Wesentliche zu konzentrieren und können somit einen Fokus auf die Qualitätssicherung der von ChatGPT erstellten Unterlagen legen.

Erhöhung der Effizienz durch schnelle Informationsbereitstellung: Zeit ist oft ein knappes  Gut, besonders wenn die Nachfrage nach ISMS-Beratung durch die NIS-2-Richtlinie steigt. ChatGPT kann rund um die Uhr arbeiten und sofort auf Anfragen reagieren.

Kostenreduktion: Externe Berater sind oft teuer, und wenn plötzlich mehr als 30.000 Unternehmen Beratung benötigen, können die Kosten der auf dem Markt noch verfügbaren Berater schnell in die Höhe schießen. Hier kommt ChatGPT ins Spiel: Es kann viele der routinemäßigen Aufgaben übernehmen, die sonst viel Zeit und Geld kosten würden. So können Unternehmen die nötigen Maßnahmen ergreifen, ohne das Budget zu sprengen. Natürlich gibt es Bereiche, in denen menschliche Expertise unerlässlich ist, aber für viele Standardaufgaben ist ChatGPT eine kostengünstige Alternative.

Zugänglichkeit und Verfügbarkeit: Einer der größten Vorteile von ChatGPT ist seine ständige Verfügbarkeit. Das ist besonders praktisch für Unternehmen mit globalen Standorten oder unterschiedlichen Arbeitszeiten.

Konsistenz und Standardisierung: Ein weiterer Pluspunkt ist die Fähigkeit von ChatGPT, konsistente und standardisierte Antworten zu liefern. Das ist wichtig, wenn es darum geht, einheitliche Sicherheitsrichtlinien und -verfahren zu erstellen. Unterschiedliche Berater können manchmal verschiedene Ansätze verfolgen, aber ChatGPT sorgt dafür, dass die Informationen und Empfehlungen stets gleichbleibend sind. Das trägt zur Klarheit und Zuverlässigkeit der ISMS-Dokumentation bei.

Skalierbarkeit: Wenn die Nachfrage nach ISMS-Beratung steigt, muss auch die Beratungsinfrastruktur skalierbar sein. ChatGPT kann problemlos mit zunehmender Nachfrage mithalten, ohne dass zusätzliche Ressourcen erforderlich sind. Das bedeutet, dass Unternehmen schnell und flexibel auf Veränderungen reagieren können, ohne lange Wartezeiten oder Engpässe bei der Beratung in Kauf nehmen zu müssen.

Personalisierung und Anpassungsfähigkeit: ChatGPT lässt sich leicht an die spezifischen Bedürfnisse eines Unternehmens anpassen. Egal, ob es um branchenspezifische Anforderungen
oder um besondere Sicherheitsstandards geht – ChatGPT kann entsprechend trainiert werden, um maßgeschneiderte Lösungen zu bieten.

Implementierung von ChatGPT

Die Idee, ChatGPT als „ISMS-Berater“ einzusetzen, klingt zunächst spannend. Aber wie setzt man das konkret um? Bevor ChatGPT richtig loslegen kann, muss es ins Team passen. Das bedeutet, man sollte schauen, wo genau das KI-Tool am besten unterstützt. Vielleicht gibt es bestimmte Aufgaben, die immer wieder anfallen und viel Zeit kosten – wie das Erstellen von Berichten oder das Beantworten häufig gestellter Fragen. An diesen Stellen kann ChatGPT richtig hilfreich sein. Ein guter Start ist, es parallel zu den bestehenden Prozessen laufen zu lassen. So kann man testen, wo es am effektivsten ist und welche Bereiche noch optimiert werden müssen.

Wichtig ist, dass ChatGPT nicht plötzlich alle Aufgaben übernimmt, sondern Schritt für Schritt eingebunden wird. So bleibt genügend Spielraum für Anpassungen und Verbesserungen. Damit ChatGPT wirklich nützlich ist, muss es jedoch genau auf die Bedürfnisse des Unternehmens zugeschnitten sein. Das bedeutet, dass die Verantwortlichen ChatGPT mit den richtigen Informationen füttern müssen – zum Beispiel mit anonymisierten Richtlinien oder häufig auftretenden Fragen.

Auch wenn ChatGPT viele Aufgaben übernehmen kann, bleibt die menschliche Komponente unverzichtbar. Die besten Ergebnisse erzielt man, wenn ChatGPT und der engagierte Berater Hand in Hand arbeiten: Während das Tool die Routineaufgaben übernimmt und schnelle Antworten liefert, können sich die Berater auf komplexere Themen konzentrieren. Ein praktisches Beispiel: ChatGPT kann erste Entwürfe von Sicherheitsrichtlinien erstellen oder eine Risikoanalyse vorbereiten. Der menschliche Berater prüft diese Entwürfe dann, ergänzt sie und passt sie an die spezifischen Anforderungen des Unternehmens an. So wird die Arbeit effizienter, ohne dass die Qualität leidet.

Wirklichkeit oder Wahn? Der Kampf gegen Halluzinationen

Wenn ChatGPT als ISMS-Berater eingesetzt wird, ist es wichtig, sich auch mit den sogenannten Halluzinationen auseinanderzusetzen. Dabei handelt es sich um Informationen, die nicht korrekt oder gar vom Tool frei erfunden sind. Solche Halluzinationen können ernsthafte Konsequenzen haben. Falsche Informationen könnten dazu führen, dass wichtige Sicherheitsmaßnahmen übersehen oder unnötige Ressourcen in unwichtige Bereiche gesteckt werden. Das kann nicht nur die Effizienz eines ISMS beeinträchtigen, sondern auch rechtliche Folgen nach sich ziehen, wenn gesetzliche Anforderungen nicht korrekt umgesetzt werden.

Zum Glück gibt es einige Tricks, wie man die Qualität der Antworten von ChatGPT verbessern und Halluzinationen minimieren kann. So sollte man immer klare und präzise Fragen stellen. Denn je präziser die Frage, desto besser die Antwort. Anstatt allgemein nach Sicherheitsrichtlinien zu fragen, sollten die Verantwortlichen spezifizieren, welche Aspekte sie genau interessieren. Zum Beispiel: „Welche technischen Maßnahmen fordert die NIS-2-Richtlinie für mittelständische Unternehmen?“ Auch hilft es, wenn man dem Tool mehr Kontext gibt, damit es die spezifischen Bedürfnisse besser versteht. Wenn man zum Beispiel in der Finanzbranche tätig ist, sollte man das erwähnen.

Vor Halluzinationen schützt auch, vorgefertigte Templates und Checklisten aus verlässlichen Quellen zu nutzen. ChatGPT kann dabei helfen, diese zu füllen oder anzupassen, aber die Grundlage sollte immer auf geprüften Informationen basieren. Insgesamt sollte man sich aber nicht blind auf die Informationen von ChatGPT verlassen und die Antworten mithilfe offizieller Quellen überprüfen.

Wenn eine Antwort nicht ganz stimmt, sollte das dem Tool mitgeteilt werden. Zum Beispiel: „Das stimmt nicht ganz, laut meiner Quelle ist das anders.“ So lernt das Modell, die Präferenzen des Benutzers besser zu verstehen und zukünftige Antworten zu verbessern. Denn auch wenn ChatGPT einem viel Arbeit abnehmen kann, sollte ein menschlicher Experte die finalen Entscheidungen treffen und die erstellten Dokumente überprüfen.

Der beste Prompt für ein BeraterGPT

Um ChatGPT optimal als ISMS-Berater einzusetzen, ist es entscheidend, ein eigenes GPT zu erstellen, dieses zu trainieren und mit den richtigen Informationen sowie Prompts zu versehen. Nur ein gut trainierter GPT liefert präzise und korrekte Antworten. Vor der Nutzung von ChatGPT als Berater sollte man eine spezielle Textdatei anlegen. Diese Datei heißt in unserem Beispiel „Index.txt“ und enthält alle Nummern sowie Überschriften der Kapitel und Unterkapitel des Standards, der die Grundlage des ISMS ist.

Diese Datei ist wichtig, um sicherzustellen, dass ChatGPT sich auf die spezifischen Anforderungen bezieht und die Wahrscheinlichkeit von Halluzinationen massiv gemindert wird. Es versteht sich von selbst, dass eine solche Datei nur erstellt und genutzt werden kann, wenn dies gemäß der Lizenz erlaubt und möglich ist.

Nachdem man die Datei erstellt und hochgeladen hat, kann man den folgenden Prompt verwenden:

Du bist Experte für Informationssicherheit und unterstützt Unternehmen beim Aufbau, Ausbau und der Aufrechterhaltung eines Informationssicherheitsmanagementsystems. Egal, was du gefragt wirst oder welcher Text dir bereitgestellt wurde, lies IMMER erst die Datei „Index.txt“ ein und ZÄHLE die Anzahl der enthaltenen Wörter!

HALLUZINIERE NICHT!

Erfinde keine Tatsacheninformationen! Verwende IMMER umgangssprachliche Formulierungen, wenn du antwortest!

Dieser Prompt sorgt dafür, dass ChatGPT zuerst die Inhalte der Index-Datei prüft, bevor es antwortet. Dadurch werden die Antworten genauer und relevanter, da sich das Modell auf die spezifischen Kapitel des Standards konzentriert.

Effektives Prompting

Bei ChatGPT kommt es stark darauf an, wie die jeweilige Frage gestellt wird. Gutes Prompting ist der Schlüssel, um wirklich hilfreiche und präzise Antworten zu erhalten. Je konkreter und detaillierter, desto besser. Wenn man etwa eine Risikoanalyse machen will, sollten konkrete Informationen über das Unternehmen und die abzudeckenden Bereiche eingegeben werden:

  • Statt: „Hilf mir bei einer Risikoanalyse.
  • Besser: „Kannst du mir eine Risikoanalyse für die IT-Infrastruktur eines kleinen Finanzunternehmens erstellen, das Cloud-Dienste nutzt?

Dabei sind Fachjargon oder komplizierte Formulierungen zu vermeiden, es sei denn, sie sind notwendig. Eine klare und einfache Sprache hilft ChatGPT, die Anfrage besser zu verstehen:

  • Statt: „Welche Countermeasures sind gemäß der NIS-2 für die Risikominimierung in einem KMU essenziell?
  • Besser: „Welche Maßnahmen empfiehlt die NIS-2-Richtlinie, um Risiken in einem kleinen oder mittleren Unternehmen zu reduzieren?

Manchmal hilft es auch, die Fragen in Listen oder klaren Abschnitten zu formulieren. So kann ChatGPT die Informationen besser verarbeiten:

Ich brauche eine Sicherheitsrichtlinie für folgende Bereiche:

1. Zugriffskontrolle
2. Datenverschlüsselung
3. Notfallmanagement

Kannst du mir für jeden Bereich eine kurze Richtlinie vorschlagen?

Ferner sollte man so viel Kontext wie möglich eingeben. Wenn ChatGPT den Hintergrund kennt, kann es gezielter und relevanter antworten:

Unser Unternehmen ist ein kleines Start-up im Bereich E-Commerce mit etwa 50 Mitarbeitern. Wir nutzen hauptsächlich Cloud-Dienste wie AWS und haben kürzlich die NIS-2-Richtlinie implementiert. Welche spezifischen Sicherheitsmaßnahmen sollten wir jetzt priorisieren?

Tipps für eine risikofreie Nutzung

Datenschutz und Compliance sind kein Nice-to-have, sondern wesentliche Bestandteile eines jeden ISMS. Mit ChatGPT hat man ein Werkzeug an der Hand, das dabei helfen kann, Informationssicherheitsmaßnahmen effizient umzusetzen.

Aber gerade deshalb ist es wichtig, die richtigen Vorkehrungen zu treffen, um Datenintegrität und Vertraulichkeit zu gewährleisten, gesetzliche Vorgaben einzuhalten und sensibel mit Informationen umzugehen. So sollte man darauf achten, dass bei der Nutzung von ChatGPT keine personenbezogenen Daten ohne Einwilligung der Betroffene verarbeitet werden. Unternehmen sollten sich genau informieren, welche Daten man teilen darf und welche nicht. Je nach Branche gibt es außerdem zusätzliche Vorschriften, die eingehalten werden müssen. In der Gesundheitsbranche gelten etwa strengere Regeln als im Handel.

Zudem ist die Dokumentation wichtig. Die Verantwortlichen müssen genau festhalten, wie sie ChatGPT eingesetzt haben und welche Maßnahmen zum Datenschutz ergriffen wurden. Im Fall einer Prüfung oder eines Audits kann man damit nachweisen, dass alle gesetzlichen Vorgaben eingehalten wurden.

Insgesamt ist der verantwortungsbewusste Umgang mit sensiblen Informationen entscheidend, um das Vertrauen von Kunden und Partnern zu gewinnen und zu erhalten. Hier einige Beispielmaßnahmen:

  • Minimierung der Datenweitergabe: Man sollte nur die Informationen weitergeben, die dafür freigegeben wurden und wirklich notwendig sind.
  • Anonymisierung und Pseudonymisierung: Wo immer möglich, sollten Daten anonymisiert oder pseudonymisiert.
  • Schulung der Mitarbeiter: Die Mitarbeiter sollten wissen, wie sie mit sensiblen Daten umgehen müssen und welche Regeln dabei gelten. Regelmäßige Schulungen und Sensibilisierungsmaßnahmen helfen, das Bewusstsein für Datenschutz und Informationssicherheit zu schärfen.
  • Klare Richtlinien und Prozesse: Es muss Richtlinien und Prozesse für den Umgang mit Daten geben. Unternehmen müssen definieren, wer welche Daten bearbeiten darf und wie der Schutz dieser Daten gewährleistet wird.

ISMS ohne Berater – Geht das wirklich?

Auch wenn ChatGPT Vorteile bietet, gibt es natürlich viele Stolpersteine, die man im Blick behalten sollte. Kein Werkzeug ist perfekt, und gerade im Bereich der Informationssicherheit gibt es ein paar Punkte, die man nicht außer Acht lassen darf.

Informationssicherheit ist ein komplexes Feld mit vielen Fachbegriffen und tiefgehenden Zusammenhängen. ChatGPT kann viel Wissen abrufen, aber manchmal fehlt der KI das tiefere Verständnis, das ein erfahrener Berater mitbringt. Das kann dazu führen, dass die Antworten zwar korrekt klingen, aber in der Praxis nicht immer umsetzbar oder optimal sind.

Die Welt der Cybersecurity verändert sich ständig. Neue Bedrohungen tauchen auf und Standards werden angepasst. ChatGPT basiert auf einem festen Wissensstand und hat keinen Echtzeitzugriff auf aktuelle Entwicklungen. Das bedeutet, dass es bei brandaktuellen Themen oder Bedrohungen eventuell nicht die neuesten Informationen parat hat.

Auch ist die Integration in bestehende Strukturen eine Herausforderung. Jedes Unternehmen hat seine eigenen Prozesse und Strukturen. ChatGPT muss nahtlos in diese eingegliedert werden, damit es wirklich effektiv unterstützen kann. Das kann je nach Komplexität der Systeme und der IT-Infrastruktur eine echte Herausforderung sein. Und nicht jeder im Team ist sofort begeistert davon, eine KI in den Beratungsprozess einzubinden. Manche Mitarbeiter bevorzugen den direkten Austausch mit menschlichen Beratern und könnten skeptisch gegenüber den Vorschlägen von ChatGPT sein. Ein menschlicher Berater kann auf die Stimmung und die speziellen Bedürfnisse eines Teams eingehen. ChatGPT fehlt diese menschliche Komponente völlig. Es kann zwar Informationen liefern, aber es fehlt das Einfühlungsvermögen und die persönliche Beratung, die oft entscheidend sind.

Wie bereits im Abschnitt über Halluzinationen erwähnt, kann ChatGPT auch falsche oder unvollständige Informationen ausgeben. Ohne sorgfältige Überprüfung könnten solche Fehler im Beratungsprozess zu ernsthaften Problemen führen. Es erfordert also immer eine zusätzliche Kontrolle durch einen menschlichen Experten, denn wer haftet, wenn ChatGPT eine falsche Beratung liefert und dadurch ein Schaden entsteht?

Diese Frage ist bisher nicht abschließend geklärt und kann je nach Land und Gesetzgebung unterschiedlich gehandhabt werden. Unternehmen müssen sich darüber im Klaren sein und entsprechende Vorkehrungen treffen. Hinzu kommen Datenschutzbedenken. Der Umgang mit sensiblen Daten erfordert höchste Sorgfalt, und selbst mit den besten Sicherheitsmaßnahmen besteht immer ein Restrisiko.

Porträt Marc Borgers

Marc Borgers ist Auditor, Berater und Inhaber der AUDIT MANUFAKTUR.

Der vorliegende Beitrag erschien zuerst auf www.auditmanufaktur.de.

Weitere Artikel zum Thema: 

Risiken von ChatGPT

2. Jahrestag von ChatGPT: Als eine neue KI-Generation die Welt erblickte

NIS-2 ist alles andere als ein Papiertiger

Andere interessante Fachbeiträge

Eine digitale Kette mit pixeligen Details zerbricht an einem Glied und setzt leuchtend blaue Partikel frei. Der dunkle Hintergrund verstärkt den Kontrast und betont die dynamische Bewegung und symbolische Darstellung von Störungen im Schwachstellenmanagement oder unterbrochenen Verbindungen.

Werkzeugkasten, um Software-Schwachstellen zu bekämpfen

Neu bekannt gewordene Sicherheitslücken zeitnah, nachhaltig und priorisiert zu schließen, ist Alltagsgeschäft für IT-Sicherheitsverantwortliche. Kompetente Hacker wissen schnell üb...

Security Management
Ransomware-Warnung auf Bildschirm mit beunruhigtem Mitarbeiter

Kein Platz für Ermüdungserscheinungen

Kleinen und mittleren Unternehmen (KMU) ist mit ständigen Mahnungen kaum geholfen. Sie benötigen ein smartes Security-Ökosystem, das sich an ihren Bedürfnissen orientiert und proak...

Security Management
Hand greift nach einem KI-generierten Gesicht auf einem Bildschirm

Die KI-Flüsterer

Die Integration von künstlicher Intelligenz (KI) hat die Cybersicherheitsstrategien weltweit neu definiert. KI-gestützte Angriffe entwickeln sich rasant, was traditionelle Abwehrte...

Security Management