Zum Inhalt springen
SecTepe Mit Sicherheit gut aufgestellt!
EN
Technologie

AI-gestützte Compliance: Policy-Generierung, RAG-Audit-Assistent und STRIDE-Threat-Modeling

SecTepe Redaktion
|
|
6 Min. Lesezeit

AI-Features sind in jeder GRC-Plattform 2026 Marketing-Pflicht. Tatsächlich nützlich sind dabei nur die wenigsten. SecTepe.Core hat drei AI-Bausteine, die wir in der Praxis als wirksam erlebt haben – und einen klaren Grenzbereich, wo wir AI bewusst nicht einsetzen.

1. Policy-Generation mit kontextueller Verfeinerung

Aus einem Wizard-Schritt mit ~10 Fragen (Branche, Größe, Cloud-Nutzung, regulatorischer Kontext) generiert ein LLM einen vollständigen Policy-Entwurf, der bereits auf die eigene Organisation zugeschnitten ist. Drei wichtige Eigenschaften:

  • Templates als Grundlage: das LLM ergänzt und verfeinert Templates, generiert nicht aus dem Nichts. Reduziert Halluzinations-Risiko deutlich.
  • Compliance-Anker: jeder Absatz ist mit den abgedeckten Anforderungen (ISO 27001 A.X.Y, BSI-Baustein Z) verlinkt. Auditor sieht sofort den Zweck.
  • Approval-Workflow: jeder Entwurf braucht menschliche Approval – kein automatischer Live-Schalter.

2. Retrieval-Augmented Audit-Assistant

Während eines Audits stellt der Auditor Fragen wie „wie ist eure Lieferanten-Sicherheits-Bewertung dokumentiert?". Der RAG-Assistent durchsucht das eigene ISMS (Policies, Verfahren, Belege) semantisch und liefert eine direkte Antwort mit Quellen-Zitaten. Vorteile gegenüber einer reinen LLM-Antwort:

  • Antworten basieren auf tatsächlichen Dokumenten, nicht auf Trainingsdaten.
  • Quellen werden mit ausgegeben – Auditor und Compliance-Officer können verifizieren.
  • Cross-Framework: gleiche Frage, unterschiedlicher Beleg-Pool je nach aktivem Framework.

3. STRIDE-basiertes Threat-Modeling

Für ein neues System (z. B. eine neue API, ein neuer Cloud-Service) generiert das LLM einen Erst-Entwurf eines STRIDE-Threat-Modells (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege). Architektin/Security-Engineer überprüft, ergänzt, verwirft – und hat in 30 Minuten, was sonst zwei Workshop-Halbtage gekostet hätte.

Wo wir AI bewusst nicht einsetzen

  1. Risiko-Bewertung: kein automatisches Scoring eines Risikos durch ein LLM. Risiko-Bewertung ist eine bewusste Management-Entscheidung mit Akzeptanz-Verantwortung – kein „die KI sagt, das ist 7/10".
  2. Audit-Sign-off: kein LLM darf Compliance-Status setzen. Ein Mensch zeichnet ab, das LLM unterstützt nur die Vorbereitung.
  3. Vorfalls-Klassifikation: kritische Klassifizierungen (z. B. „NIS-2-meldepflichtig ja/nein") laufen regelbasiert mit klarem Audit-Trail – nicht durch ein LLM.

Datenschutz: was passiert mit den Inhalten?

Im self-hosted Betrieb läuft das LLM optional gegen eine lokale Ollama-Instanz – die Daten verlassen die eigene Infrastruktur nie. Wer GPT-4 für höhere Qualität nutzen will, kann das aktivieren; alle Anfragen laufen dann über einen vorkonfigurierten OpenAI-DPA mit EU-Region.

Realistische Erwartungshaltung

AI macht Compliance schneller, nicht besser. Eine generierte Policy ist nicht „fertig" – sie ist ein qualitativ guter Erstentwurf, den ein Mensch mit Domänen-Wissen schärfen muss. Ein RAG-Assistant ersetzt keinen Compliance-Officer, aber er macht aus 30-Minuten-Recherche-Antworten 30-Sekunden-Antworten.

Fazit

AI in Compliance-Workflows ist genau dann wertvoll, wenn sie als Beschleuniger mit menschlicher Approval gedacht ist – und gefährlich, wenn sie als Ersatz für menschliche Entscheidungen verkauft wird. SecTepe.Core hält diese Trennlinie konsequent – und liefert dort, wo AI hilft, messbare Stundenersparnis pro Compliance-Zyklus.

Alle Artikel ansehen Mehr aus dieser Kategorie