Nicht der Satz ist das Risiko – KI-Texte und Sicherheitskommunikation
Warum die Jagd auf vermeintliche KI-Formulierungen vom eigentlichen Qualitätsproblem ablenkt und was in sicherheitsrelevanten Bereichen wirklich zählt
Wer derzeit über KI-Texte spricht, spricht oft erstaunlich wenig über Qualität. Die öffentliche Debatte hat sich auf ein anderes Ziel verlagert: Es geht darum, Texte als maschinell erzeugt zu identifizieren und das möglichst am einzelnen Satz. Der Gedankenstrich gilt als verdächtig. Die Kontrastkonstruktion „nicht X, sondern Y" ist für manche ein sicheres Erkennungszeichen. Glatte Übergänge, klare Struktur, gleichmäßiger Ton – all das wird in bestimmten Kreisen inzwischen wie Täterspuren behandelt.
Diese Verschiebung ist nicht harmlos. In sicherheitsrelevanten Disziplinen entscheidet die Qualität von Texten mit darüber, wie Risiken eingeschätzt werden, wie Maßnahmen umgesetzt werden und ob Verantwortung eindeutig zugeordnet ist. Wer dort die Debatte auf Stiloberflächen reduziert, verkennt, wo das eigentliche Problem liegt. Nicht sprachliche Muster schützen – sondern belastbare, geprüfte, kontextsensible Kommunikation. Und die lässt sich nicht daran erkennen, ob jemand Gedankenstriche mag oder gerne mit Kontrastformeln argumentiert.
Dieser Beitrag nimmt die aktuelle Debatte ernst – und schärft den Blick dafür, wo sie zu kurz greift. Gleichzeitig zeigt er, was in der Objektsicherheit, der Arbeitssicherheit und der IT-Sicherheit tatsächlich über die Brauchbarkeit eines Textes entscheidet. Die eigentliche Frage lautet nicht: „Klingt das menschlich?" Sie lautet: „Ist das belastbar?"
Der Verdacht klingt plausibel – und greift doch zu kurz
Die Aufregung folgt einem bekannten Muster. Einzelne sprachliche Merkmale werden zunächst als Auffälligkeit benannt, dann als Hinweis interpretiert, schließlich wie Beweise behandelt. Wer derzeit in bestimmten Fachforen oder auf LinkedIn liest, stößt regelmäßig auf Listen vermeintlicher KI-Indikatoren: Kontrastkonstruktionen wie „nicht X, sondern Y", stark gegliederte Absätze mit gleichmäßiger Länge, Formulierungen wie „es ist wichtig zu verstehen", glatte Satzübergänge und ein Ton, der gleichermaßen souverän und austauschbar wirkt.
Dass solche Muster auffallen, ist nachvollziehbar. Sprachmodelle bevorzugen Formulierungen, die in großen Mengen an Trainingsdaten als klar, kohärent und überzeugend aufgetreten sind. Deshalb erzeugen sie oft Texte, die gut lesbar, aber auch auffällig standardisiert wirken – eine sprachliche Glätte, die menschliche Autoren in dieser Konsequenz selten produzieren, weil individuelle Eigenarten, Stimmungswechsel und Stilbrüche zum natürlichen Schreiben dazugehören.
Die Schlussfolgerung, ein bestimmtes Stilmerkmal sei deshalb ein verlässlicher KI-Fingerabdruck, hält fachlicher Prüfung dennoch nicht stand. „Nicht X, sondern Y" ist keine künstliche Wendung, sondern eine klassische rhetorische Figur – die Antithese, seit der Antike ein Mittel zur Begriffsschärfung und Schwerpunktsetzung. Philosophen, Juristen, Wissenschaftler und Gutachter nutzen sie seit Jahrhunderten. Der Gedankenstrich hat seinen festen Platz in der deutschen Typografie. Und strukturierte Absätze sind das Ergebnis handwerklich guter Textarbeit.
Der entscheidende Unterschied liegt nicht darin, ob solche Formulierungen auftauchen, sondern darin, welche Funktion sie erfüllen. Bei substanziellen Texten verdichten sie einen Gedanken, schärfen eine Aussage, setzen eine Priorität. Bei schwachen Texten ersetzen sie den Gedanken. Die Kontrastformel, die nicht aus Analyse entsteht, sondern nur den Anschein von Analyse erzeugen soll, ist tatsächlich ein Problem – aber das ist kein KI-spezifisches Problem. Das ist ein Qualitätsproblem. Und es tritt bei menschlichen Autoren genauso auf.
Wer einen Text allein über seine Stiloberfläche beurteilt, betreibt Mustererkennung ohne Inhaltsprüfung. Das ist, als würde man ein Sicherheitskonzept nach der Schrifttype beurteilen statt nach seinen Maßnahmen.
Warum das Unbehagen der Leser trotzdem berechtigt ist
Viele Leser reagieren nicht deshalb skeptisch auf bestimmte Texte, weil sie ein Stilmerkmal isoliert erkennen. Sie reagieren skeptisch, weil sie eine Diskrepanz wahrnehmen: Der Text klingt professionell, liefert aber zu wenig Eigenbeobachtung, zu wenig überprüfbare Einordnung, zu wenig Reibung mit der Wirklichkeit. Diese Irritation ist real – und sie verweist auf ein Kernproblem.
Mit hoher sprachlicher Kohärenz lässt sich inhaltliche Austauschbarkeit produzieren. Ein gut formulierter Satz über Zugangskontrolle klingt präzise, muss aber nicht auf ein konkretes Objekt zutreffen. Ein strukturierter Abschnitt über Gefährdungsbeurteilung klingt vollständig, muss aber keine konkrete Arbeitsumgebung abbilden. Die Form signalisiert Kompetenz; der Inhalt liefert sie nicht zwingend.
In Zeiten hoher Publikationsgeschwindigkeit ist das besonders relevant. Organisationen können in kurzer Zeit große Mengen an Text erzeugen, der auf den ersten Blick kompetent wirkt. Das Ergebnis ist nicht notwendigerweise Fehlinformation – es kann auch schlicht Textfülle ohne operativen Wert sein. Geprüfte, verantwortete Aussagen werden durch ungeprüfte, aber sprachlich überzeugende Textflächen verdrängt. Der Unterschied zwischen einem Text, der Analyse abbildet, und einem Text, der Analyse imitiert, war nie schwerer festzustellen als heute.
Damit verschiebt sich ein Maßstab, der für Fachkommunikation zentral ist. Nicht mehr die Frage „Ist das belastbar?" steht im Vordergrund, sondern die Frage „Klingt das gut genug, um als belastbar zu gelten?" Genau an diesem Punkt beginnt das eigentliche Risiko.
Sicherheitstexte sind keine Hülle – sie sind operative Infrastruktur
In sicherheitsrelevanten Disziplinen sind Texte keine dekorative Hülle um Fachlichkeit. Sie sind operative Infrastruktur. Ein Sicherheitskonzept strukturiert Wahrnehmung und definiert Zuständigkeiten. Eine Betriebsanweisung leitet Verhalten an. Ein Incident-Bericht entscheidet mit darüber, welche Maßnahmen als nächstes ergriffen werden. Eine Gefährdungsbeurteilung legt fest, welche Risiken als kontrolliert gelten – und welche nicht.
Wer Sicherheitskommunikation auf Stilfragen reduziert, verkennt diese Funktion. Texte in der Sicherheit sollen nicht beeindrucken – sie sollen Orientierung schaffen, Handlung ermöglichen und Verantwortung verankern. Ein überzeugend formuliertes Konzept, das an der Realität des Objekts vorbeigeht, ist gefährlicher als ein unbeholfen formuliertes Konzept, das die Realität trifft. Ersteres schafft das Gefühl von Sicherheit; Letzteres schafft zumindest Klarheit über den Handlungsbedarf.
Diese Grundregel gilt in der Objektsicherheit, in der Arbeitssicherheit und in der IT-Sicherheit gleichermaßen. Die Gegenstände sind verschieden, die Anforderung dieselbe: Der Text muss in den konkreten operativen Kontext passen. Tut er das nicht, ist er kein Beitrag zur Sicherheit – er ist ein Sicherheitsproblem im Gewand eines Sicherheitsdokuments.
Objektsicherheit: Wenn Konzepte plausibel klingen, aber nichts absichern
In der Objektsicherheit ist der Schaden schwacher Texte oft schwerer zu erkennen als ihr formaler Eindruck nahelegt. Sicherheitskonzepte, Risikoübersichten und Maßnahmenbeschreibungen können professionell wirken, obwohl sie das konkrete Objekt kaum erfassen. Generativ erzeugte Entwürfe neigen besonders dazu, an dieser Stelle zu versagen – nicht durch offensichtliche Fehler, sondern durch Generalisierung.
Die Texte liefern saubere Standardsprache über Zutrittskontrolle, Perimeterschutz, Videoüberwachung und organisatorische Maßnahmen. Sie benennen Norm-Kategorien korrekt, verwenden die richtigen Begriffe und strukturieren Inhalte plausibel. Was sie in aller Regel nicht leisten: die tatsächlichen Abhängigkeiten eines Standorts durchdringen. Wer nutzt das Objekt wann und wie? Welche Fremdfirmen haben in welchen Zeitfenstern unkontrollierten Zugang? Wie verhalten sich die Besucherströme an Spitzentagen? Welche Nachbarbebauung schafft Sichtachsen oder Annäherungsmöglichkeiten? Welche Zufahrten sind faktisch ungesichert?
Diese Faktoren entstehen nicht aus Trainingsdaten. Sie entstehen aus Begehung, Befragung, Beobachtung und Beurteilung vor Ort. Ein Konzept, das sie nicht enthält, beschreibt keine Sicherheitsarchitektur – es beschreibt, wie eine Sicherheitsarchitektur im Allgemeinen beschrieben wird. Das ist ein kategorialer Unterschied, der im Ernstfall operativ relevant wird.
Das eigentliche Problem ist die entstehende Scheinsicherheit. Entscheider, die ein solches Dokument erhalten, werden beruhigt, weil Terminologie, Struktur und Ton vertrauenswürdig erscheinen. Die Wahrscheinlichkeit, dass Defizite frühzeitig erkannt werden, sinkt – weil das Dokument bereits suggeriert, dass die Lage analysiert und bewertet wurde. Ein überzeugend formulierter, aber inhaltlich unspezifischer Text erzeugt Stillstand, weil niemand nachfragt. Ein sichtbar unfertiger Text erzeugt Rückfragen. Von den beiden ist der unfertige der ehrlichere.
Für die Objektsicherheit ergibt sich daraus eine klare Konsequenz: Die Qualitätsfrage beginnt nicht beim Stil des Dokuments, sondern bei seiner Entstehungsgrundlage. Basiert das Konzept auf einer strukturierten Begehung? Enthält es objektspezifische Kenndaten? Sind Maßnahmen konkret beschrieben und verantwortlich benannt? Wer diese Fragen nicht stellt, kann die Qualität eines Sicherheitskonzepts nicht beurteilen – unabhängig davon, ob es von einem Menschen oder einer Maschine formuliert wurde.
Arbeitssicherheit: Dokumentiert ist nicht automatisch wirksam
In der Arbeitssicherheit tritt dasselbe Problem in anderer Form auf. Unterweisungen, Betriebsanweisungen und Gefährdungsbeurteilungen erfüllen ihren Zweck nur dann, wenn sie die reale Tätigkeit, die tatsächlichen Belastungen und die konkrete Arbeitsumgebung abbilden. Ein formal korrekter Text ohne Bezug zur Arbeitswirklichkeit schützt niemanden – unabhängig davon, wie sorgfältig er formuliert ist.
KI-gestützte Formulierungshilfen können schnell sauber klingende Standardsätze erzeugen. Diese Sätze mögen Lesbarkeit verbessern und formale Anforderungen erfüllen. Das Risiko liegt woanders: Risiken werden verallgemeinert statt konkretisiert. Tätigkeiten werden abstrahiert statt beschrieben. Typische Abweichungen im Arbeitsalltag – die Stelle, an der es immer etwas eng wird, das Gerät, das unter Zeitdruck anders bedient wird, das Verfahren, das niemand offiziell ändert, aber jeder informell angepasst hat – werden schlicht ausgeblendet.
Was auf dem Papier vollständig und regelkonform wirkt, kann in der Umsetzung wirkungslos sein. Schlimmer noch: Ein Dokument, das formal korrekt aussieht, aber die tatsächlichen Arbeitsbedingungen nicht trifft, kann dazu führen, dass konkreter Handlungsbedarf nicht wahrgenommen wird. Der Text hat den Eindruck von Vollständigkeit erzeugt – die Wirklichkeit sieht anders aus.
Eine gute Unterweisung erkennt nicht nur die Regeln, die gelten sollen. Sie kennt die Stellen, an denen reale Menschen unter realen Bedingungen von ihnen abweichen könnten – und benennt sie. Sie ist kein Ergebnis administrativer Pflichterfüllung, sondern Ergebnis einer Analyse, die den Betrieb, die Tätigkeit und die konkreten Fehlerquellen versteht. Diese Analyse kann KI nicht liefern. Sie kann allenfalls den Rahmen bereitstellen, in dem eine solche Analyse dokumentiert wird – wenn der Mensch ihn mit Inhalt füllt.
IT-Sicherheit: Präzision ist keine Stilfrage
In der IT-Sicherheit wird die Schwäche oberflächlich überzeugender Texte besonders sichtbar. Sicherheitsrichtlinien, Awareness-Beiträge, Incident-Meldungen und Lageeinschätzungen müssen präzise sein, weil kleine sprachliche Unschärfen unmittelbar zu Fehlverhalten, Missverständnissen oder falscher Priorisierung führen können. Ein Satz, der Zugriffskontrolle und Authentifizierung im selben Absatz unscharf behandelt, öffnet Interpretationsspielräume, die im Betrieb gefüllt werden – nicht immer richtig.
KI kann in der IT-Sicherheitskommunikation durchaus nützlich sein: beim Strukturieren und sprachlichen Verdichten von Rohmaterial, beim Überführen technischer Sachverhalte in verständliche Sprache für nicht-technische Zielgruppen, beim schnellen Entwurf von Richtlinientexten auf Basis vorhandener Frameworks. Diese Nutzungen sind legitim und können Qualität verbessern – wenn eine fachkundige Instanz das Ergebnis prüft.
Das Risiko liegt in der unkritischen Übernahme. Generative Systeme neigen dazu, technische, organisatorische und rechtliche Kontexte zu verschmelzen, wo sie sauber getrennt gehören. Ein Text, der „Best Practices" elegant zusammenzieht, aber Architektur, Rollenmodell, konkrete Bedrohungslage und regulatorische Anforderungen nach NIS2 oder dem EU AI Act nicht sauber unterscheidet, ist kein Sicherheitsgewinn. Er ist ein Text, der den Eindruck fachlicher Tiefe erzeugt, ohne die operative Anschlussfähigkeit zu liefern.
Besonders kritisch ist das in der Krisenkommunikation. Incident-Meldungen entstehen unter Zeitdruck und müssen dennoch präzise sein – zu Ursache, Umfang, Auswirkung und ergriffenen Maßnahmen. Ein KI-generierter Entwurf, der Formulierungen aus ähnlichen Vorfällen kombiniert, kann schnell Sachverhalte beschreiben, die auf den aktuellen Vorfall nicht zutreffen. Das ist kein mutwilliger Fehler – es ist ein Systemfehler des Verfahrens: Plausibilität ohne Verlässlichkeit.
Aus der Praxis
Ein mittelständisches Produktionsunternehmen mit rund 180 Mitarbeitern beauftragte eine externe Dienstleistungsfirma mit der Erstellung eines kombinierten Sicherheits- und Unterweisungspakets. Ziel war die Aktualisierung veralteter Betriebsanweisungen sowie ein überarbeitetes Zugangskonzept für das Werksgelände. Das gelieferte Ergebnis war formal korrekt, sprachlich sauber strukturiert und enthielt alle erwarteten Abschnitte.
Im Rahmen einer späteren Sicherheitsbewertung stellte sich heraus, dass die Betriebsanweisungen für zwei Produktionsbereiche Tätigkeiten beschrieben, die im Betrieb seit über einem Jahr durch geänderte Prozesse nicht mehr so durchgeführt wurden. Das Zugangskonzept enthielt korrekte allgemeine Aussagen zu Schleusensystemen, benannte aber nicht die tatsächlich vorhandene ungesicherte Nebeneinfahrt, die im täglichen Betrieb regelmäßig genutzt wurde. Von 22 aktiven Zugangsausweisen für Fremdfirmen waren 7 auf Unternehmen ausgestellt, deren Vertragsverhältnis bereits beendet war.
Die Dokumente hatten administrativ keine Mängel. Operativ waren sie weitgehend wirkungslos – weil sie eine Situation beschrieben, die es so nicht gab. Der Auftraggeber hatte das nicht erkannt, weil die Texte professionell wirkten. Genau das ist das Problem: Ein gut formuliertes Dokument kann Sicherheitsdefizite überdecken, die ohne dieses Dokument früher aufgefallen wären.
Die stille Karriere der Empörung
Warum konzentriert sich die öffentliche Debatte trotzdem so stark auf auffällige Stilmerkmale? Eine Antwort liegt in der Logik digitaler Plattformen. Empörung ist anschlussfähig, leicht auslösbar und für Reichweite effizient. Ein zugespitztes Urteil über einen Gedankenstrich als „eindeutiges KI-Signal" erzeugt zuverlässig Widerspruch, Zustimmung und Kommentarverkehr. Die Diskussion läuft, der Post performt, das Thema ist gesetzt.
Dabei entsteht ein zweiter Fehler neben dem eigentlichen Qualitätsproblem. Statt Texte inhaltlich zu prüfen, wird ihre Oberfläche zum Schauplatz performativer Medienkritik. Wer einen Beitrag wegen einer Kontrastformel als „offensichtlich KI" markiert, produziert oft weniger Analyse als Distinktion – die öffentliche Demonstration eigener Wachsamkeit. Das signalisiert Kompetenz, ohne sie einzusetzen.
Das erklärt, warum manche dieser Debatten laut, aber analytisch dünn sind. Die Stilkritik bietet eine einfache Bühne mit niedriger Eintrittsschwelle und hoher sozialer Belohnung. Für eine differenzierte Qualitätsprüfung gilt das nicht. Sie ist aufwendiger, weniger spektakulär und deutlich schwerer in virales Format zu bringen. Ein Beitrag, der erklärt, warum ein Sicherheitskonzept formal korrekt, aber operativ unbrauchbar ist, wird deutlich weniger Reichweite erzielen als eines, das einen Gedankenstrich zum KI-Beweis erklärt.
Für Fachleute in sicherheitsbezogenen Disziplinen ist das ein Problem – nicht weil Plattformen ignoriert werden sollten, sondern weil die Qualitätsdebatte dort geführt werden muss, wo sie wirkt: in der Praxis, in der Beurteilung von Dokumenten, in der Anforderung an Auftragnehmer und in der eigenen Prüfarbeit.
Was KI leisten kann – und was sie nicht leisten darf
Eine nüchterne Bewertung generativer Systeme führt weder zur pauschalen Abwehr noch zur naiven Euphorie. KI kann Texte strukturieren, vereinheitlichen, sprachlich verdichten und auf Zielgruppen anpassen. Sie kann Formulierungsvarianten liefern, Texte auf Konsistenz prüfen und komplexe Sachverhalte in verständliche Sprache überführen. In Organisationen mit Zeitdruck, heterogener Dokumentation und begrenzten Kapazitäten ist das ein relevanter Nutzwert.
Was generative Systeme nicht leisten können: die stillschweigende Übernahme fachlicher Autorität. Ein KI-System trägt keine Verantwortung für Folgen. Es erkennt organisationsspezifische Graubereiche nur begrenzt. Es kann Plausibilität erzeugen, ohne Verlässlichkeit zu garantieren. Es kennt das konkrete Objekt nicht, den Betrieb nicht, die Netzwerkarchitektur nicht.
Für die Nutzung in sicherheitsrelevanten Kontexten ergibt sich daraus eine klare Bedingung: Jede Nutzung ist an menschliche Prüfung, fachliche Freigabe und eindeutige Verantwortlichkeit zu binden. Das gilt insbesondere für Dokumente mit operativer Relevanz: Sicherheitskonzepte, Betriebsanweisungen, Unterweisungen, Incident-Kommunikation, Richtlinien, Lagebilder und Managementvorlagen. Wo aus Text Verhalten, Entscheidung oder Priorisierung folgt, muss die Verantwortung eindeutig beim Menschen liegen.
Das ist keine antidigitale Haltung. Es ist die Anwendung desselben Prinzips, das in der Sicherheitsarbeit generell gilt: Werkzeuge sind nützlich, wenn sie richtig eingesetzt werden. Die fachliche Beurteilung bleibt Aufgabe des Fachmanns.
Ein Qualitätsmaßstab, der tatsächlich funktioniert
Statt nach vermeintlichen KI-Merkmalen zu suchen, lohnt sich ein robusteres Prüfmodell. Für sicherheitsrelevante Texte lassen sich vier Leitfragen formulieren, die mehr Erkenntnisgewinn liefern als jede Stilanalyse:
Erstens: Ist der Text fachlich belastbar? Das bedeutet sachlich korrekt, konsistent, an den konkreten Kontext angepasst und in seinen Aussagen nicht allgemeiner als notwendig. Ein Sicherheitskonzept, das Maßnahmen benennt, die auf das beschriebene Objekt nicht zutreffen, ist nicht belastbar – egal wie gut es formuliert ist.
Zweitens: Ist der Text operativ brauchbar? Das bedeutet so formuliert, dass daraus Entscheidung, Verhalten oder Priorisierung folgen kann. Ein Text, der Handlungsbedarf beschreibt, ohne konkrete Maßnahmen zu benennen, ist operativ wertlos – er dokumentiert Problembewusstsein, ohne Handlungsgrundlage zu schaffen.
Drittens: Ist der Text transparent verantwortet? Das bedeutet durch eine prüfende Instanz freigegeben, in seinen Annahmen nachvollziehbar und mit klarer Verantwortungszuordnung versehen. Wer hat geprüft? Was wurde geprüft? Auf welcher Grundlage? Diese Fragen sind keine bürokratischen Formalia – sie sind Belastbarkeitsnachweise.
Viertens: Erzeugt der Text Mehrwert? Das bedeutet ein besseres Verständnis von Risiko, Maßnahme oder Handlungsbedarf – statt bloßer Textfülle. Ein Dokument, das vorhandenes Wissen nicht erweitert, sondern nur aufschreibt, was ohnehin bekannt ist, hat seinen Zweck nicht erfüllt.
Dieses Raster ist nicht neu. Es entspricht dem, was professionelle Sicherheitsarbeit immer schon von Dokumenten verlangt hat. Neu ist, dass es heute explizit formuliert werden muss – weil KI-Werkzeuge Texte erzeugen können, die alle vier Kriterien dem Schein nach erfüllen, ohne sie inhaltlich einzulösen.
Fazit
Die aktuelle Debatte über KI-typische Formulierungen ist weniger ein Beweis für neue Sprachkompetenz als ein Symptom für Unsicherheit im Umgang mit automatisierter Kommunikation. Das Unbehagen vieler Leser ist berechtigt – die Begründung, die es häufig bekommt, ist es nicht.
Objektsicherheit, Arbeitssicherheit und IT-Sicherheit brauchen keine Stilpolizei, sondern bessere Kriterien für verlässliche Kommunikation. Nicht der Satz ist das Risiko, sondern der ungeprüfte, kontextlose und verantwortungsfreie Text. Wer in diesen Bereichen publiziert, berät oder entscheidet, sollte sich weder von der Empörungslogik treiben lassen noch der sprachlichen Glätte blind vertrauen.
Maßgeblich bleibt eine einzige Frage: Hilft dieser Text Menschen dabei, Risiken zu verstehen, klüger zu entscheiden und sicherer zu handeln? Wenn ja, ist er gut – unabhängig davon, mit welchem Werkzeug er entstanden ist. Wenn nein, ist kein Stilmerkmal der Welt daran schuld.
Häufige Fragen
Kann ich KI für Sicherheitsdokumente überhaupt nutzen?
Ja – aber mit klaren Bedingungen. KI kann helfen, Rohmaterial zu strukturieren, Formulierungen zu vereinheitlichen und komplexe Sachverhalte verständlich zu machen. Was sie nicht ersetzt: die fachliche Prüfung durch eine verantwortliche Person, die den konkreten Kontext kennt. Sicherheitskonzepte, Betriebsanweisungen, Unterweisungen und Incident-Kommunikation müssen vor Freigabe inhaltlich geprüft sein – nicht nur sprachlich. KI als Formulierungswerkzeug ist legitim; KI als fachliche Autorität ist es nicht.
Wie erkenne ich, ob ein Sicherheitsdokument wirklich belastbar ist?
Nicht über den Stil, sondern über den Inhalt. Entscheidend ist: Beschreibt das Dokument den konkreten Standort, die konkrete Tätigkeit oder das konkrete System – oder bleibt es im Allgemeinen? Sind Maßnahmen spezifisch benannt oder nur als Kategorien erwähnt? Gibt es eine erkennbare Entstehungsgrundlage wie Begehung oder Analyse? Ist eine verantwortliche Person benannt? Vier Fragen: fachlich belastbar, operativ brauchbar, transparent verantwortet, Mehrwert erzeugt. Wer diese vier Felder prüft, kommt verlässlicher zu einem Urteil als mit jeder Stilanalyse.
Was ist das größte Risiko bei generativen KI-Texten in der Objektsicherheit?
Scheinsicherheit. Generativ erzeugte Sicherheitskonzepte können professionell wirken, obwohl sie das konkrete Objekt kaum erfassen. Sie beschreiben nicht, wie die Sicherheitslage ist, sondern wie Sicherheitsdokumente üblicherweise klingen. Entscheider werden beruhigt, weil das Dokument glaubwürdig erscheint – und fragen deshalb nicht nach, ob die beschriebenen Maßnahmen dem Standort tatsächlich entsprechen. Defizite bleiben länger unerkannt als bei einem sichtbar unfertigen Dokument. Genau das macht die Scheinsicherheit gefährlicher als eine offensichtliche Lücke.
Warum sind Unterweisungen und Betriebsanweisungen besonders kritisch?
Weil sie direkte Handlungsanleitung für Menschen in konkreten Situationen sein sollen. Eine Unterweisung, die Tätigkeiten beschreibt, wie sie im Normalbetrieb aussehen sollten, aber nicht, wie sie im Alltag tatsächlich ablaufen, verfehlt ihren Zweck. Reale Abweichungen, Zeitdrucksituationen und typische Fehlerquellen entstehen nicht aus Trainingsdaten – sie entstehen aus Beobachtung. Ein gut formulierter Standardtext kann diese Lücke nicht schließen. Er kann sie nur verbergen.
Was gilt für IT-Sicherheitsrichtlinien und NIS2-Dokumentation?
Allgemeine Formulierungen, die nicht auf die konkrete Organisation, ihr Netz, ihre Prozesse und ihre Risikolage eingehen, sind operativ nutzlos. KI kann eine normkonforme Grundstruktur erzeugen – die muss dann inhaltlich befüllt werden, durch Menschen, die die Organisation kennen. Wer KI-generierte NIS2-Dokumentation ungeprüft einreicht, hat möglicherweise eine formal vollständige Akte und kein belastbares Sicherheitsniveau. Das ist ein Unterschied, der im Prüffall sichtbar wird.
Wie sollte ich als Auftraggeber mit extern gelieferten Sicherheitsdokumenten umgehen?
Stellen Sie vier Grundfragen, bevor Sie ein Dokument akzeptieren. Beschreibt es tatsächlich Ihre Situation – Ihr Objekt, Ihre Tätigkeiten, Ihre Systeme? Sind Maßnahmen konkret benannt oder nur als Kategorien erwähnt? Gibt es eine erkennbare Entstehungsgrundlage wie Begehung, Interviews oder Systemanalyse? Wer ist inhaltlich verantwortlich und hat freigegeben? Ein gutes Sicherheitsdokument beantwortet diese Fragen durch seinen Inhalt. Eines, das das nicht tut, ist ein Ausgangspunkt für weitere Arbeit – kein Ergebnis.
Qualität prüfen lassen – unabhängig, herstellerneutral, praxiserprobt
Dieser Artikel wurde durch den Einsatz von KI-gestützten Tools optimiert, um Ihnen die bestmögliche Qualität zu bieten. Alle Inhalte werden sorgfältig geprüft und finalisiert. Mehr über meinen verantwortungsvollen Umgang mit KI und Datenschutz erfahren Sie auf meiner Seite zur Arbeitsweise.
