🔍 Was beobachte ich?

Policies für ISO 27001 werden mit KI-Tools generiert: korrekt formatiert, mit den richtigen Klauseln. Risikoabschätzungen folgen demselben Muster. Im Audit kommt die Frage: „Warum ist dieses Risiko so bewertet worden?" – und niemand kann antworten. Nicht weil Dokumentation fehlt, sondern weil kein Mensch die Bewertung tatsächlich durchgeführt hat.

🎯 Was soll eigentlich erreicht werden?

ISO 27001 verlangt Richtlinien und Risikoabschätzungen, die den Organisationskontext widerspiegeln – als Grundlage für echte Sicherheitsentscheidungen, nicht als Compliance-Nachweis.

⚠️ Warum funktioniert das nicht?

Ein Sprachmodell kennt die Organisation nicht: nicht die spezifische Infrastruktur, nicht die Risikolandschaft, nicht die regulatorischen Verpflichtungen. Was entsteht, ist eine organisationsblinde Vorlage, die nach ISMS aussieht. Auditoren fragen nach konkreten Entscheidungsgründen, nach Verantwortlichen, nach Nachweisen. Kein generiertes Dokument kann diese Fragen beantworten. Wer das versucht, scheitert spätestens im Stage-2-Audit.

💡 Was funktioniert besser?

KI kann bei Strukturierung, Formulierung und Vollständigkeitsprüfung helfen – als Werkzeug, nicht als Ersatz für das Denken. Risiken identifizieren, bewerten und begründen bleibt Aufgabe von Menschen, die die Organisation kennen. Ein ISMS, das keine Rückfragen beantworten kann, schützt nicht.

📚🔍