GRASP German GRC
Kostenlos testen Kontakt

ChatGPT für eine ISO 27001-Zertifizierung verwenden: Eine gute Idee?

Veröffentlicht am: 17. Oktober 2025

Max Mustermann

Veröffentlicht am: 17.10.2025

ChatGPT mit ISO

Sie sind sicher nicht die oder der Einzige mit dieser Frage: Ist es eine gute Idee, ChatGPT (oder andere KI-Lösungen) in einen ISO 27001-Prozess zu nutzen? Wer sich aber zuvor mit ISO 27001 beschäftigt hat, dem dämmern direkt die potenziellen Risiken. Informationssicherheit definiert sich ja gerade dadurch, dass eben nicht Informationen über Personen oder gar Schwachstellen im Unternehmen gedankenlos preisgegebene werden.

Was sind die Vorteile bei der Nutzung von KI?

Auf der anderen Seite ist die Verlockung der Zeitersparnis groß. Das beginnt damit, sich einfache Maßnahmenpläne zum Zertifikationsprozess generieren zu lassen. Oder der KI eine umfassende Situationsbeschreibung über das Unternehmen zu geben und sich darauf basierend die nächsten Schritte skizzieren zu lassen. Oder aber einen Projektplan generieren zu lassen. Gegen solche Aktionen dürfte auch der interne oder externe Datenschutzbeauftragte nichts haben. Problematisch wird es, wenn eben jene DSGVO gebrochen wird.

Denn KI-Systeme verarbeiten in der Regel Daten in der Cloud und können – je nach Nutzung – erhebliche Datenschutzrisiken bergen. Daher ist es entscheidend, zu wissen, welche Informationen Sie bedenkenlos nutzen können und wo Vorsicht geboten ist.

Rechtliche Grundlagen: Datenschutz im KI-Kontext

Die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) verpflichten Unternehmen, personenbezogene Daten nur dann zu verarbeiten, wenn eine rechtliche Grundlage vorliegt. Dazu gehört auch, wie und wo diese Daten verarbeitet werden – z. B. auf Servern außerhalb der EU oder in Systemen, die Daten zu Trainingszwecken speichern.

Was sind sensible Daten?

  • Personenbezogene Daten (Name, E-Mail-Adresse, IP-Adresse, etc.)
  • Gesundheitsdaten
  • Betriebsgeheimnisse und vertrauliche Geschäftsinformationen
  • Sicherheitsrelevante Informationen wie interne Schwachstellenberichte oder Risikoeinschätzungen

Solche Daten sollten nicht in öffentlich zugängliche KI-Systeme wie ChatGPT (OpenAI.com) eingegeben werden, da nicht immer klar ist, wie lange und zu welchem Zweck sie gespeichert werden.

Tipp: Sobald es also um Daten geht, die nach geltenden Gesetzen und Richtlinien geschützt werden müssen, empfiehlt es sich, mit KI-Tools zu arbeiten, die Sicherheitsmaßnahmen durch Funktionen wie Verschlüsselung, rollenbasierte Zugriffskontrolle und Compliance-Zertifizierungen besitzen. Solche Tools sind in der Regel in dezidierten Software-Lösungen integriert, die wiederum selbst ISO 27001-zertifiziert sind.

Wie kann KI bei der ISO 27001-Zertifizierung helfen?

Die ISO/IEC 27001 ist der weltweit anerkannte Standard für Informationssicherheits-Managementsysteme (ISMS). Ziel ist es, systematisch Risiken zu identifizieren, zu bewerten und zu behandeln sowie Prozesse kontinuierlich zu verbessern.

KI-gestützte Assistenzsysteme helfen dabei, typische Aufgaben im Zertifizierungsprozess effizienter zu gestalten:

  • Strukturierung komplexer Inhalte (z. B. Policies, Maßnahmenpläne)
  • Erstellen von Textentwürfen (z. B. Richtlinien, Awareness-Schulungen)
  • Simulation von internen Audits oder Interviews
  • Generierung von Checklisten und Prüfpfaden
  • Zusammenfassen von Fachtexten oder Normanforderungen

Eine ISO 27001-Checkliste finden Sie auch hier.

20 konkrete Prompts zur Unterstützung der ISO 27001-Arbeit

Nachfolgend finden Sie 20 konkrete Prompts, die Sie als Ausgangspunkt für Ihre Arbeit mit KIs nutzen können. Jeder Prompt ist einem Bereich der Norm zugeordnet und kurz eingeordnet. Diese können Sie natürlich jederzeit nach Ihrem Bedarf anpassen.

  1. Informationssicherheitsleitlinie
    Prompt: „Formuliere eine Informationssicherheitsleitlinie für ein mittelständisches Unternehmen im Bereich IT-Dienstleistungen.“
    Zweck: Einstiegshilfe für ISB oder Management beim Formulieren einer unternehmensweiten Policy.
  2. Risikomanagement
    Prompt: „Erstelle ein Beispiel-Risikoszenario für den Ausfall eines E-Mail-Systems inkl. Eintrittswahrscheinlichkeit und Auswirkungen.“
    Zweck: Unterstützung bei der Risikoidentifikation im Workshop-Format.
  3. Asset-Inventarisierung
    Prompt: „Welche Kategorien von Informationswerten sollten in einem ISMS-Asset-Register enthalten sein?“
    Zweck: Orientierung bei der Strukturierung eines Assetregisters.
  4. Awareness-Schulungen
    Prompt: „Erstelle eine kurze Schulungseinheit zum Thema Phishing für nicht-technische Mitarbeitende.“
    Zweck: Inhalte für Schulungsunterlagen oder E-Learnings vorbereiten.
  5. Technische und organisatorische Maßnahmen (TOMs)
    Prompt: „Erstelle eine Übersicht typischer technischer und organisatorischer Maßnahmen für KMUs nach ISO 27001.“
    Zweck: Ausgangspunkt zur Identifikation bestehender oder fehlender Schutzmaßnahmen.
  6. Interne Audits
    Prompt: „Welche Fragen sollte ein interner Auditor zu Abschnitt A.12 (Betriebssicherheit) stellen?“
    Zweck: Vorbereitung von internen Audits oder Self-Assessments.
  7. Korrekturmaßnahmen
    Prompt: „Wie formuliert man eine effektive Korrekturmaßnahme nach einem ISMS-Auditbefund?“
    Zweck: Hilfe bei der Erstellung normkonformer Maßnahmen.
  8. Rollen und Verantwortlichkeiten
    Prompt: „Welche Rollen sind in einem ISO 27001-konformen ISMS typischerweise definiert und was sind ihre Aufgaben?“
    Zweck: Klärung und Zuordnung von Verantwortlichkeiten.
  9. Dokumentenlenkung
    Prompt: „Was sollte in einer Verfahrensanweisung zur Dokumentenlenkung nach ISO 27001 geregelt sein?“
    Zweck: Unterstützung bei der Policy-Erstellung.
  10. Lieferantenmanagement
    Prompt: „Welche sicherheitsrelevanten Anforderungen sollten bei der Auswahl von Dienstleistern dokumentiert werden?“
    Zweck: Input für die vertragliche Gestaltung oder Due-Diligence-Prüfung.
  11. Business Continuity
    Prompt: „Erstelle ein einfaches BIA-Szenario für den Ausfall der Produktions-IT in einem Logistikunternehmen.“
    Zweck: Einstieg in die Notfallplanung.
  12. Informationsklassifizierung
    Prompt: „Wie könnte ein einfaches Klassifizierungsschema für Informationen aussehen?“
    Zweck: Vorlage für unternehmensinterne Klassifizierung.
  13. Mobile Arbeit
    Prompt: „Welche Sicherheitsrichtlinien sollten für das Arbeiten im Homeoffice gelten?“
    Zweck: Input für Richtlinien.
  14. Zugriffskontrolle
    Prompt: „Formuliere Anforderungen für ein Zugriffskontrollkonzept nach dem Need-to-know-Prinzip.“
    Zweck: Konkrete Hilfestellung bei der Zugriffskonzeptentwicklung.
  15. Messung und Bewertung
    Prompt: „Wie kann die Wirksamkeit von Awareness-Maßnahmen im ISMS gemessen werden?“
    Zweck: Evaluation bestehender Prozesse.
  16. Schwachstellenmanagement
    Prompt: „Welche Schritte umfasst ein typischer Schwachstellenmanagementprozess?“
    Zweck: Orientierung bei der Prozessgestaltung.
  17. Kommunikationsrichtlinien
    Prompt: „Welche Inhalte sollte eine Kommunikationsrichtlinie für Sicherheitsvorfälle enthalten?“
    Zweck: Strukturhilfe für den Krisenfall.
  18. Backup-Strategie
    Prompt: „Welche Anforderungen stellt ISO 27001 an Backup und Wiederherstellbarkeit?“
    Zweck: Verständnis schaffen für technische Anforderungen.
  19. Kontrollmechanismen
    Prompt: „Erstelle eine Checkliste für eine monatliche ISMS-Kontrollrunde.“
    Zweck: Unterstützung für Routineaufgaben.
  20. Management Review
    Prompt: „Welche Themen gehören typischerweise in ein ISMS-Management-Review?“
    Zweck: Strukturierungshilfe für regelmäßige Management-Meetings.

Weitere Beiträge zum Thema

GRASP ist ein Produkt der DextraData GmbH

Siegel Software Made and Hosted in Germany
Siegel Allianz für Cyber-Sicherheit Siegel Bundesverband IT-Mittelstand Siegel Lizensierte IT-Grundschutz-Inhalte Siegel ISO 27001 Zertifizierung

Produkte

ISMS - Software für Informationssicherheit

DSMS - Software für Datenschutzmanagement

Internal Audit - Sofware für Auditmanagement

QM - Software für Qualitätsmanagement

BCM - Software für Business Continuity Management

Neues bei GRASP

Unternehmen

Über uns

Fragen zu GRASP

Sie haben noch Fragen?
Kontaktieren Sie uns gerne!

Zum Kontaktformular

© DextraData GmbH

Impressum

AGB

Datenschutzerklärung

Cookie-Einstellungen