So gelingt ISO 27001 mit KI: die pragmatische Praxis

00:00

«Mr. CISO und Mr. AI im Gespräch» –

00:03

der Podcast für sichere und zuverlässige Digitalisierung.

00:06

«Mr. CISO und Mr. AI im Gespräch»

00:11

Willkommen zum Podcast «Mr. CISO vs. Mr. AI».

00:18

Mit mir heute ist Tobias Kluge und Daniel Schacher gegenüber.

00:22

Das Thema von heute ist,

00:25

Was bringt KI bei der Implementierung von

00:29

ISMS, Informationssicherheitsmanagementsystemen,

00:33

nach ISO 27001?

00:36

Eine spannende Kombination.

00:38

Ja, auf jeden Fall. Genau.

00:40

Nochmals, wer sitzt hier?

00:41

Mein Name ist Dani Schacher, Mr. CISO.

00:46

Ich begleite Unternehmen auf einem sicheren Weg zur Digitalisierung.

00:53

Ich bin Tobias Kluge, der Mr. AI,

00:55

und begleite Unternehmen auf dem Weg mit der ganzen KI-Reise,

00:59

auch im Rahmen von Digitalisierung.

01:02

Genau. Und eine Schnittmenge, die wir hier haben,

01:06

wir zwei, ist natürlich

01:07

das Informationssicherheitsmanagement-System, ISMS.

01:11

Und das ist, wer das kann,

01:14

so eine Zertifizierung von ISMS nach ISO 27001,

01:18

das ist doch einiges an Arbeit, einiges an Schreibarbeit.

01:23

Tobias, du hast das schon mal miterleben dürfen.

01:26

Und was kann uns KI helfen?

01:30

Was sind deine Erfahrungswerte?

01:32

Oder was sind die Limitierungen?

01:33

Das möchten wir heute herausfinden.

01:36

Ich finde, das ist ein sehr spannendes Thema.

01:38

Ich habe das 2024 kennengelernt.

01:42

Einerseits durfte ich das Thema KI bei meinem ehemaligen Arbeitgeber aufbauen

01:46

und parallel dazu das ISMS aufbauen

01:49

und die Informationssicherheitsprüfung vorbereiten.

01:52

Und Dani hat mich da ganz tatkräftig unterstützt,

01:55

hat mir das Fachwissen gegeben,

01:57

was die KI vielleicht zu wenig hatte.

01:59

Wo hast du dort angefangen?

02:01

Oder wie wirst du jetzt im Unternehmen,

02:02

das Richtung ISO 27000 Zertifizierung geht,

02:07

was würdest du ihnen anraten in seinem KI-Kontext?

02:10

Wo soll es starten?

02:12

Für mich sind es zwei Sachen.

02:14

Das eine ist sicher,

02:15

es braucht ja, wenn man in KI arbeitet, gute Daten.

02:18

Also braucht es in dem Moment,

02:19

wenn man über ISO 27001 redet, hilft es,

02:22

wenn man die Norm wirklich auch hat.

02:23

Also entsprechend die PDF-Version davon lizenzieren, kaufen.

02:28

Am besten in Englisch, habe ich das Gefühl,

02:29

aber es ist die Originalsprache,

02:31

KI kann in Englisch schon recht gut umgehen,

02:33

in Deutsch mittlerweile auch recht gut.

02:35

Das fände ich sicher wichtig,

02:36

dass man eine gute Grundlage hat,

02:38

mit der man reden kann.

02:39

Ja, du sagst, es ist ein sehr wichtiger Punkt,

02:42

das ist mir auch schon aufgefallen

02:43

in der Begleitung von Unternehmen.

02:44

Also nutze nicht einfach die Standardversionen,

02:48

Denn ISO 27000 Standard ist nicht ein öffentlich zugängliches Standard.

02:54

Das heisst, theoretisch dürfte KI, die öffentlichen Modelle,

02:57

auch gar nicht wissen, was dort drin steht.

03:00

Und das ist in der Tat ein Problem, dass sie dort manchmal ein Durchschnitt macht.

03:05

Was mir aufgefallen ist, mit den Versionen von 27001 gab es eine Aktualisierung.

03:10

Und so Mini-Lessons-Learns dort,

03:13

KI wusste nicht immer, was im neuen Standard ist und was im alten.

03:17

Also eine wichtige Haltung für euch.

03:19

Schaut unbedingt, dass ihr die entsprechenden Standards,

03:22

also 27001 und 002, dass ihr das für euch selber gehört.

03:29

Und dann nochmal ein wichtiger Punkt.

03:31

Wie gesagt, Intellectual Property, wenn ihr einen Standard kauft,

03:34

schaut, dass ihr die KEI so eingestellt habt,

03:36

dass das in eurem Ecosystem bleibt.

03:39

Dann habt ihr da schon mal ein Problem, wenn diese Sachen rausgehen.

03:43

Gut, Standard müssen wir haben.

03:45

An was orientieren wir uns überhaupt?

03:47

Was ist denn nötig? Reden wir mal, Herr Tobias.

03:49

Ich denke dann, klar, kann man es mit KI alleine machen.

03:52

Man hat ja, in der Norm steht ja drin, was man alles für Schritte machen muss

03:55

oder was man in dem Sinne irgendwo nachweisen muss.

03:58

Meine Erfahrung war, es hilft immer einen Experten an der Seite zu haben,

04:01

der halt menschlich ist, der mich wirklich dann auch in meinem Kontext begleiten kann.

04:05

Und sagen kann, okay, die und die Sachen sind wichtig,

04:08

die müssen in dem und dem Format auch sein.

04:11

Vielleicht im Unternehmenskontext kann man das dann mit KI sicher ergänzen und optimieren.

04:15

Aber die externe Begleitung durch den Experten,

04:18

das kann KI meiner Meinung nach nicht abnehmen.

04:20

Das andere wäre vermessen.

04:21

Ich denke, da sind wir noch lange, lange weit weg.

04:24

Und ich finde es gut, den Experten dabei zu haben,

04:26

der andere Unternehmen kennt, der Erfahrung hat,

04:28

der wirklich das tiefe Wissen auch mitbringt

04:30

und mich dann unterstützen kann als CISO,

04:32

um die Sachen gut einzusetzen.

04:33

Das heisst eben, entweder man hat das Know-how intern selber

04:37

zum Thema Informationssicherheit

04:39

oder man hat sich entsprechend die externe Unterstützung.

04:42

Zu deinen Erfahrungswerten, dass man immer wieder mal ISO 27

04:47

in drei Tagen zertifiziert und KI unterstützt sieht.

04:49

Kannst du aktuell nicht bestätigen, dass das so funktioniert?

04:53

Es kommt darauf an, was man machen möchte.

04:55

Wenn man einfach sagt, man brauche etwas,

04:56

das ein Zertifikat habe, kann das vielleicht schon helfen.

05:00

Aber von meiner Art her möchte ich,

05:01

wenn ich Informationssicherheit mache,

05:03

das gerne richtig machen.

05:04

Ich will richtig leben, schlussendlich auch,

05:06

und nicht nur einfach zwei, drei PDF-Dokumente generieren

05:09

als Richtlinie, sagen, das ist ein Gefühl,

05:11

machen mit Informationssicherheit, sondern es muss einerseits auf das Unternehmen passen,

05:15

hilft einem sicher die KI dabei, das auch mit anderen Richtlinien zu prüfen, zu ergänzen.

05:19

Mit den passenden Drums kann man die Daten entsprechend recht gut von der KI auch prüfen

05:23

lassen und sagen, passt das für mein Unternehmen an, gehen die Vorgaben, mach es besser und daraus

05:28

entsprechend auch eine Kommunikation dann intern auch machen. Da funktioniert KI recht gut,

05:32

wenn man wirklich einfach nur Text verarbeiten möchte. Aber wenn man einfach KI und

05:37

Informationssicherheit vor allem richtig einsetzen möchte, braucht es schon ein bisschen mehr.

05:40

Das heisst, wie so oft, es ist ein Werkzeug, das man nutzen kann,

05:45

aber wer es bedient, macht schon einen Unterschied.

05:48

Und das Thema Unternehmenskontext ist auch sehr zentral,

05:51

dass man das berücksichtigt.

05:53

Das ist unabhängig von KI oder nicht KI,

05:55

was unglaublich schlecht funktioniert,

05:57

ist eben irgendwelche Templates einfach zu nehmen

06:00

und diese unreflektiert zu nutzen.

06:02

Weil was auch wichtig ist,

06:05

Informationssicherheitsmanagementsystem, ISMS,

06:07

das soll sicherstellen,

06:08

dass Informationssicherheitsprozesse im Unternehmen gelebt werden.

06:12

Und dort hilft KI sicher im ersten Schritt wenig.

06:17

Wo siehst du Möglichkeiten,

06:19

wo es helfen kann, dass Informationssicherheit

06:22

mehr gelebt wird oder dass ISMS mehr gelebt wird

06:25

innerhalb der Organisation?

06:26

Was siehst du da für Möglichkeiten, Tobias?

06:28

Es gibt mehrere Möglichkeiten.

06:30

Einerseits sind die ganzen Dokumente für mich als Nicht-Inspekte

06:34

meistens recht sperrig.

06:36

Ich muss das überhaupt mal finden.

06:37

dann muss ich genau wissen, wo steht genau das drin, was mich betrifft.

06:41

Und so KI-Chatbots sind eine einfache Möglichkeit,

06:43

um so Dokumente einfacher zugänglich zu machen.

06:45

Vielleicht auch eine einfache Sprache zu übersetzen.

06:48

Oder vielleicht sogar eine andere Sprache,

06:49

wenn sie vielleicht auf Deutsch geschrieben sind.

06:51

Aber mein Deutsch ist nicht so gut,

06:52

ich würde es lieber auf Französisch lesen.

06:53

Das kann KI auch gut übersetzen.

06:55

Also da hilft das KI schon mal sehr gut.

06:57

So ein internes Chatbot,

06:59

dass ich nicht meine Unternehmenspasswort-Policy

07:03

voraussuchen muss, wenn ich jetzt wissen möchte,

07:04

wie viel muss ich in meiner Applikation

07:07

als Minimal Length für das Passwort einstellen,

07:10

sondern dass ich einfach den Chatbot fragen kann.

07:13

Das ist ein wichtiger Punkt als Werkzeug

07:16

zum Leben des SMS innerhalb der Organisation.

07:20

Ja, das hier.

07:21

Was ich spannend finde, wenn man die Information schon hat,

07:24

was fragen die Leute typischerweise im Chatbot rein?

07:27

Potenzial, wo mache ich dann die nächste Schulung?

07:29

Was sind die typischen Probleme,

07:32

wenn Dokumentenklassifikation gefragt wird.

07:34

Ja, okay.

07:35

Die nächste Schulung zum Thema Dokumentklassifikation.

07:38

Sehr spannend.

07:39

Ja, da sehe ich auch, das ist sicher ein wichtiger Hebel,

07:42

den man nicht vergessen darf, wenn man daran denkt,

07:44

was denkt, Tobi, wie viel Informationssicherheitsvorfall,

07:48

wie viel Prozent ist der Initial Vector, der Mensch?

07:51

Was denkst du? Das ist jetzt auch die grösste Frage.

07:54

Du hast mal gesagt,

07:55

dumme KI-Agenten im Browser haben 90 Prozent,

07:58

wie ein dummer, ungelernter Mensch,

08:00

sondern der vielleicht wenig Erfahrung hat zum Thema Informationssicherheit,

08:04

dann ist es vielleicht 70, 80 Prozent.

08:05

Genau, je nach Statistik, also 70 bis 90 Prozent

08:08

von Informationssicherheitsvorfällen.

08:10

Also das heisst ja noch nicht, dass 70 bis 90 Prozent

08:13

immer erwischt werden, oder?

08:14

Da haben wir mit einem K-Eyebrows eine andere Problematik,

08:18

oder? Da ist die Zahl wahrscheinlich noch höher.

08:21

Genau, aber eben 70 bis 90 Prozent,

08:23

je nach Erfassungsmethode, Statistik etc.,

08:26

ist der Faktor Mensch der Initialvektor eines Angriffs.

08:31

Das heisst Social Engineering, Phishing, die Klassiker.

08:34

D.h., die können wir auch unglaublich viel rausholen,

08:36

wenn wir es gut machen.

08:38

Und dort ist das Zugänglichmachen

08:41

unseres Informationssicherheitsmanagementsystems

08:44

für den Endbenutzer sicher ein kritischer Faktor,

08:47

der KI wahrscheinlich helfen kann.

08:50

Andere Frage an dich.

08:51

Du bist ja auch als Externer CISO und Berater unterwegs.

08:54

Wo nimmst du KI im Alltag?

08:57

Wo hilft dir KI, um Unternehmen schnell

08:59

bei dem Thema Informationssicherheitszertifizierung E27001

09:03

zu begleiten?

09:05

Bringt das auch was? - Ja, auf alle Fälle.

09:07

Tagtäglich wird das genutzt, auf alle Fälle von meiner Seite.

09:11

Wo es auch hilft, ist z.B. das Thema Auditvorbereitung.

09:14

Wir stellen uns vor, es ist nicht für jeden Mitarbeiter in dem Alltag,

09:18

dass er so einen Audit durchmacht.

09:21

Dort ist es sicher auch wichtig, die Leute zu sensibilisieren und zu schulen,

09:25

was da für Fragen kommen, wie das genau abläuft etc.

09:30

Und dort kann Kai, was jetzt auch konkrete Beispiele ist,

09:34

als Checkliste, wie so ein Audit abläuft,

09:37

wo Kai wirklich gute Ideen reinbringt,

09:40

wo man dort wahnsinnig deutlich schneller ist als vorher.

09:44

Oder jetzt gerade auch, ich mache eine interne oder führe ein Audit durch.

09:48

Dort konnten wir auch erste Erfahrungswerte sammeln,

09:51

wie man Audits automatisiert.

09:54

Es geht um Dokumentenprüfungen,

09:56

Evidenz, was für Dokumente sind, etc.

10:00

Dort können KI-Tools auf alle Fälle helfen.

10:02

Dort ist das Thema Informationssicherheit

10:04

oder Verträglichkeit der Unterlagen wieder relevant.

10:06

Dort ist es wichtig, dass wir diese Instanzen lokal laufen,

10:10

weil wir nicht die ganzen internen Vorgabendokumente

10:13

irgendwo exponieren wollen.

10:14

Aber dort ist KI eine grosse Entlastung, ein Arbeitstool.

10:21

Aber du als Experte für Informationssicherheit,

10:25

hast du das Gefühl, KI wird dich in den nächsten ein, zwei Jahren

10:28

schon ersetzen oder gibt es 20 Jahre oder nie?

10:31

Ich glaube nicht daran, dass es komplett ersetzen wird.

10:34

Es wird das Thema Wissensarbeit verändern

10:38

und entsprechend wird sich auch die Rolle verändern,

10:41

die wir heute einnennen, die sie nur bedingt ersetzen können.

10:44

Ich habe es vorhin schon gesagt.

10:45

Der Faktor Mensch ist ein zentraler Punkt in der Informationssicherheit.

10:51

D.h., das wird sich nochmals verstärken.

10:54

Das Thema Business Enabler begleiten,

10:58

sensibilisieren von den Mitarbeitenden,

11:01

Leute mitnehmen oder die Sicherheitskultur,

11:04

die Informationssicherheitskultur,

11:06

dass das noch ein zentraler Punkt wird.

11:10

Ich persönlich befürchte, dass die Information-Sicherheit-Spezialisten-Monde

11:15

nicht mehr braucht. Wie siehst du das, Tobias?

11:19

Ich habe das Gefühl, dass das Gegenteil der Fall ist.

11:23

Es gibt so viele Anforderungen, dass man vielleicht auch

11:25

kleinere Unternehmen im ISO 27001 zertifizieren muss.

11:30

Das kann man mit der normalen Arbeitskraft,

11:32

die man auf dem Markt hat, gar nicht einfach so machen.

11:34

Wenn jetzt vielleicht Faktor zwei auf einmal Unternehmen,

11:38

vielleicht kleinere Unternehmen, aber auch zertifiziert werden müssen.

11:41

Und das einfach mit der gleichen Workforce, mit den gleichen Leuten,

11:43

die man jetzt momentan hat, schafft man gar nicht.

11:45

Das funktioniert gar nicht auf dem Schweizer Markt.

11:47

Da ist da viel zu klein dafür.

11:49

Ja, also nochmals zu unserer Intro-Frage.

11:51

Was bringt KI bei der Implementierung von ISO 27001?

11:56

Wir haben es, glaube ich, sogar noch breiter gefasst heute.

11:58

Was bringen KI-Tools generell beim Leben an

12:01

von einem Informationssicherheitsmanagementsystem?

12:03

Was ist unser Fazit, Tobias?

12:06

Für mich ist KI das Hilfsmittel, das mir hilft,

12:08

dass ich mich wirklich um meine Kernaufgaben kümmern kann,

12:11

dass ich wirklich die richtigen Themen finde,

12:12

die ich sensibilisieren muss.

12:13

KI unterstützt mich, das auch zu sensibilisieren

12:16

und hilft mir auch, zu prüfen,

12:18

dass das, was unsere Vorgaben sind,

12:20

mit dem Standard übereinstimmen

12:21

und vielleicht auch mit externen Referenzen.

12:23

Finde ich super dafür.

12:24

Ein sehr gutes Hilfsmittel.

12:25

Und du, Dani?

12:26

Ja, das gleiche Fazit.

12:28

Super Hilfsmittel.

12:29

Ich möchte nicht mehr darauf verzichten.

12:31

Es ist eine super Erleichterung

12:33

eben im Aufbau meines Informationssicherheitsmanagementsystems.

12:37

Stand heute.

12:38

Ich habe nach wie vor keine Angst,

12:40

dass es...

12:41

Ich habe keine Angst um meinen Job, ehrlich gesagt.

12:44

Ja.

12:44

Im Gegenteil.

12:45

Ich denke, es ist sehr wichtig,

12:46

auf beiden Seiten,

12:47

dass man von Seiten der KI-Experten,

12:50

Tobias,

12:50

diese Informationssicherheitsüberlegungen mitnimmt

12:53

und dass man

12:54

auf der anderen Seite der Informationssicherheitsbranche

12:56

diesen Weg der Digitalisierung

12:59

oder KI-Siegerung aktiv begleitet.

13:02

dass wir auf einem sicheren Weg bleiben.

13:06

Merci, Dani. - Danke, sehr gerne.

13:07

Danke, Tobias. - Für die coole Session.

13:10

Und bis bald. - Bis zum nächsten Mal.