Experiment: KI entwickelt ISMS-Standard weiter
KI als Hilfsmittel beim Erstellen von Richtlinien und Härtungsvorschriften kann vieles erleichtern. Aber klappt das auch für die Sicherheitsstandards selbst?
- Christoph Puppe
Die erste Anwendung für künstliche Intelligenz im Informationssicherheitsmanagement (ISMS) war – und wird wohl auch bleiben – das Erstellen von Richtlinien, Konzepten und Härtungsvorschriften. Aber wie ist es mit den ISMS-Standards selbst? Kann ein aktuelles LRM bei der Weiterentwicklung eines Standards sinnvoll und inhaltlich überzeugend unterstützen? Da der IT-Grundschutz des BSI derzeit umfassend überarbeitet wird, lag es nahe, die Frage durch einige Experimente zu klären.
- KI als Hilfsmittel bei Securityaudits ist mittlerweile etabliert, kann aber sogar Securitystandards weiterentwickeln.
- Von PDF zu Code – ein Experiment zeigt, wie KI den IT-Grundschutz mit statischen Dokumenten in ein dynamisches, maschinenlesbares OSCAL-Modell überführt.
- Über die reine Konvertierung hinaus lässt sich der Standard mithilfe von KI aktiv erweitern.
- Mit einem maschinenlesbaren Standard könnten Audits weitgehend automatisiert ablaufen, was den Prüfvorgang gründlich umkrempelt.
Modernisierung und Audit im KI-Labor
Die offizielle Modernisierung des IT-Grundschutzes durch das BSI, intern oft als "Grundschutz++" bezeichnet, ist ein ambitioniertes Vorhaben. Das Ziel des zur it-sa 2024 vorgestellten Projekts ist klar: weg von statischen Dokumenten, hin zu einem maschinenlesbaren, JSON-basierten und prozessorientierten Regelwerk, das Automatisierung ermöglicht und die Dokumentationslast reduziert. Diese Vision war der Startschuss für das erste Experiment. Ich wollte nicht auf die finale Veröffentlichung des Grundschutz++ warten, sondern heute schon ausloten, was mit aktueller KI-Technologie im Kontext dieser Modernisierung praktisch machbar ist. Die weiteren Experimente waren dann die Automatisierung eines Audits gegen ISO 27001 auf Basis von BSI IT-Grundschutz sowie das Erstellen von OSCAL-Profilen und inhaltlich auf die Zielobjekte angepassten Komponenten.
Dabei diente Vibe Coding als Entwicklungsansatz. Zu den rechtlichen Aspekten gibt es den Artikel "Juristische Fallstricke bei Vibe Coding" von Tobias Haar und eine Analyse von Gemini. Statt monatelanger Vorabplanung mit starren Architekturentwürfen setzte ich auf einen agilen, iterativen Prozess in enger Symbiose zwischen Entwickler und KI. Das wird auch als symbiotisches Programmieren bezeichnet, weil Entwickler oft genug noch eingreifen müssen, wenn die KI Fehler macht. Arbeitspferd war Gemini 2.5 Pro von Google, das nach langen Prompts die Konzepte, Pipeline- und Anwendungsarchitekturen und natürlich den Python-, JSON-, HTML-, JavaScript- und Markdown-Code erstellte.
Das war die Leseprobe unseres heise-Plus-Artikels "Experiment: KI entwickelt ISMS-Standard weiter". Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.
