Was wäre, wenn ein Unternehmen morgen Opfer eines gezielten Angriffs wird – und niemand weiß, wer was zu tun hat?

Genau hier setzt die Leitlinie zur Informationssicherheit an: Sie ist wie ein Leuchtturm bei Nebel, sie zeigt die Richtung, wenn es stürmisch wird. Als strategisches Fundament eines wirksamen Informationssicherheitsmanagementsystems (ISMS) beschreibt sie den angestrebten Zielzustand, gibt Orientierung und setzt den Rahmen für alle Sicherheitsaktivitäten in der Organisation.

Doch was gehört konkret hinein? Und wie kann Künstliche Intelligenz (KI) dabei helfen, die Leitlinie nicht nur zu schreiben, sondern sie zum Leben zu erwecken? Dieser Beitrag richtet sich an Verantwortliche für Informationssicherheit, ISOs, CISOs, das Top-Management und alle, die sich mit oder ohne Vorerfahrung für Informationssicherheit und den Aufbau eines ISMS interessieren.

Hinweis: Zur Vereinfachung verwende ich den Begriff “Top-Management” als Sammelbezeichung für Geschäftsführung, Vorstand und andere leitende Funktionen auf oberster Ebene.

Was ist der Zweck einer Leitlinie zur Informationssicherheit?

Stellen Sie sich vor, die Leitlinie zur Informationssicherheit wäre eine Landkarte: Sie zeigt nicht jeden Weg im Detail, aber sie macht klar, wohin die Reise gehen soll und was unterwegs besonders wichtig ist.

Sie dokumentiert das „Was“ und „Warum“, nicht das „Wie“. Sie bildet den langfristigen Rahmen für alle ISMS-Maßnahmen und unterstützt zentrale Unternehmensziele wie Vertrauen, Resilienz oder Compliance.

Eine Leitlinie zur Informationssicherheit dokumentiert die strategischen Zielsetzungen im Bereich Informationssicherheit und wird in der Norm auch als Politik bzw. Informationssicherheitspolitik bezeichnet.

Was sollte in einer Leitlinie zur Informationssicherheit enthalten sein?

Zweck

• Warum wird das ISMS etabliert?
• Welche strategischen Ziele sollen unterstützt werden?
• Wer ist gefragt? Top-Management, CISO/ISO

Anwendungsbereich

• Für welche Bereiche und Ressourcen gilt das ISMS?
• Wer ist gefragt? CISO, ISO

Führungserklärung

• Warum ist Informationssicherheit Chefsache?
• Welche Bedeutung misst das Top-Management dem Thema bei?
• Wer ist gefragt? Top-Management

Grundsätze der Informationssicherheit

• Welche Werte und Prinzipien gelten?
• Zum Beispiel: Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität

Sicherheitsziele

• Welche konkreten Sicherheitsziele sollen erreicht werden – technisch, organisatorisch und kulturell?
• Wer ist gefragt? CISO, ISO

Rechtliche & vertragliche Vorgaben

• Welche gesetzlichen, regulatorischen und vertraglichen Anforderungen gelten?
• Wer ist gefragt? Top-Management, Compliance-Manager

Sicherheitsorganisation & Ressourcen

• Wie ist das ISMS organisatorisch verankert?
• Wer ist verantwortlich?
• Welche Ressourcen werden bereitgestellt?
• Wer ist gefragt? Top-Management, CISO, ISO

Risikomanagement

• Wie werden Informationssicherheitsrisiken identifiziert, bewertet, behandelt und dokumentiert?
• Wer ist gefragt? ISO, Risikoeigner

Umgang mit Sicherheitsvorfällen

• Welche Grundprinzipien gelten bei Erkennung, Meldung und Bearbeitung von Vorfällen?
• Wer ist gefragt? ISO, IT, alle Mitarbeitenden

Mitwirkungspflichten

• Welche Rolle spielen Mitarbeitende bei der Umsetzung der Sicherheitsstrategie?
• Wer ist gefragt? Alle Mitarbeitenden, Top-Management

Kommunikation & Sensibilisierung

• Wie wird Sicherheitsbewusstsein aufgebaut und im Unternehmen verankert?
• Wer ist gefragt? Top-Management, CISO/ISO

Durchsetzung

• Was passiert bei Verstößen gegen die Richtlinie?
• Welche Konsequenzen sind vorgesehen?
• Wer ist gefragt? Top-Management, HR, Compliance

Kontinuierliche Verbesserung

• Wie wird das ISMS regelmäßig geprüft und weiterentwickelt?
• Wer ist gefragt? Top-Management, CISO/ISO

Gültigkeit & Revision

• Wann tritt die Leitlinie in Kraft?
• Wie oft wird sie überprüft und ggf. überarbeitet?
• Wer ist gefragt? CISO, Dokumentationsteam

Und jetzt kommt die KI ins Spiel – aber wie?

Denken wir wieder in Bildern: Eine KI ist wie ein gut geschulter Co-Pilot, der nicht selbst fliegt, aber genau herausfinden kann, welche Route sicher und effizient ist.

Wie sieht das konkret aus?

Ein Unternehmen – etwa ein Finanz-Start-up oder ein Energieversorger – muss seine Leitlinie zur Informationssicherheit regelmäßig anpassen. Gründe dafür können sein:

• Neue gesetzliche Vorgaben (z. B. NIS2-Richtlinie oder DORA)
• Einführung neuer Technologien
• Veränderungen in der Unternehmensstrategie

Eine KI kann unterstützen, indem sie:

• Automatisch erkennt, welche Abschnitte betroffen sind
• Passende Vorschläge zur Anpassung macht
• Den Text im Stil einheitlich hält
• Die Inhalte an die Ziele des ISMS anpasst

Was bringt das konkret?

• Vorlagen automatisch generieren – Sprachmodelle schlagen auf Basis der ISO/IEC 27001 passende Textbausteine vor.
• Prüfung auf Normkonformität – KI erkennt fehlende Abschnitte und prüft gegen ISO 27001:2024.
• Versionierung & Änderungsverfolgung – Intelligente Tools dokumentieren, was sich wann und warum geändert hat.
• Audits vorbereiten – KI erkennt Schwachstellen und liefert relevante Nachweise.
• Wissenszugang erleichtern – Mitarbeitende erhalten per interaktivem Q&A-Tool schnell Orientierung.
• Risikobasierte Empfehlungen – KI verknüpft Echtzeitdaten mit Sicherheitszielen und schlägt präventive Maßnahmen vor.

Und die Verantwortung?

Die Verantwortung bleibt – ganz im Sinne der ISO 27001 – bei den Rollen im Unternehmen. Die KI hilft lediglich, diese Verantwortung einfacher und wirksamer umzusetzen.

Fazit

Die Leitlinie zur Informationssicherheit ist kein reines Audit-Dokument, sondern das zentrale Steuerungsinstrument für Informationssicherheit. Mit den richtigen Tools – inklusive KI – wird sie nicht nur effizienter erstellt, sondern auch im Alltag tatsächlich genutzt.

Was denkst du?

• Wie sieht für dich eine gute Leitlinie zur Informationssicherheit aus?
• Welche Erfahrungen hast du mit KI-gestützter Umsetzung gemacht?

Du willst deine eigene Leitlinie fit machen, strategisch, verständlich und audit ready? Dann lass uns gerne sprechen.

Wir freuen uns auf den Austausch.