Kontextabhängige Evidenz‑Empfehlungs‑Engine für automatisierte Sicherheitsfragebögen

TL;DR – Eine kontext‑bewusste Evidenz‑Empfehlungs‑Engine (CERE) kombiniert große Sprachmodelle (LLMs) mit einem kontinuierlich aktualisierten Wissensgraphen, um Prüfern und Sicherheitsteams genau das benötigte Evidenz‑Material zum richtigen Zeitpunkt bereitzustellen. Das Ergebnis: 60‑80 % Reduktion der manuellen Suchzeit, höhere Antwortgenauigkeit und ein Compliance‑Workflow, der mit der Geschwindigkeit moderner SaaS‑Entwicklung skaliert.

1. Warum eine Empfehlungsengine das fehlende Bindeglied ist

Sicherheitsfragebögen, SOC 2‑Readiness‑Checks, ISO 27001‑Audits und Lieferanten‑Risikobewertungen teilen einen gemeinsamen Schmerzpunkt: die Jagd nach dem richtigen Evidenzmaterial. Teams verwalten typischerweise ein weit verzweigtes Repository aus Richtlinien, Prüfungsberichten, Konfigurations‑Snapshots und Dritt‑Partei‑Bestätigungen. Wenn ein Fragebogen eintrifft, muss ein Compliance‑Analyst:

Die Frage analysieren (oft in natürlicher Sprache, manchmal mit branchenspezifischem Jargon).
Die Kontroll‑Domäne identifizieren (z. B. „Access Management“, „Data Retention“).
Das Repository durchsuchen nach Dokumenten, die die Kontrolle erfüllen.
Den Text kopieren/umformulieren und kontextuelle Anmerkungen hinzufügen.

Selbst mit anspruchsvollen Suchwerkzeugen kann die manuelle Schleife mehrere Stunden pro Fragebogen beanspruchen – besonders wenn Evidenz über mehrere Cloud‑Konten, Ticket‑Systeme und veraltete Dateifreigaben verstreut ist. Der fehleranfällige Charakter dieses Prozesses führt zu Compliance‑Ermüdung und kann zu versäumten Fristen oder ungenauen Antworten führen – beides kostspielig für ein schnell wachsendes SaaS‑Unternehmen.

Hier kommt CERE ins Spiel: eine Engine, die die relevantesten Evidenz‑Elemente sofort nach Eingabe der Frage bereitstellt, angetrieben von einer Kombination aus semantischem Verständnis (LLMs) und relationaler Logik (Wissensgraph‑Traversal).

2. Kernarchitektur‑Pfeiler

CERE ist auf drei eng gekoppelte Schichten aufgebaut:

Schicht	Verantwortlichkeit	Schlüsseltechnologien
Semantische Intent‑Schicht	Transformiert den rohen Fragebogentext in ein strukturiertes Intent (Kontrollfamilie, Risikotier, benötigter Artefakttyp).	Prompt‑engineertes LLM (z. B. Claude‑3, GPT‑4o) + Retrieval‑Augmented Generation (RAG)
Dynamischer Wissensgraph (DKG)	Speichert Entitäten (Dokumente, Kontrollen, Assets) und deren Beziehungen, kontinuierlich aus Quellsystemen aktualisiert.	Neo4j/JanusGraph, GraphQL‑API, Change‑Data‑Capture (CDC)‑Pipelines
Empfehlungs‑Engine	Führt intent‑gesteuerte Graph‑Abfragen aus, rankt Kandidaten‑Evidenz und liefert eine knappe, konfidenz‑bewertete Empfehlung.	Graph Neural Network (GNN) für Relevanz‑Scoring, Reinforcement‑Learning‑Schleife zur Einbindung von Feedback

Unten ist ein Mermaid‑Diagramm, das den Datenfluss visualisiert.

  flowchart LR
    A["Benutzer gibt Frage zum Fragebogen ein"]
    B["LLM parsed Intent\n(Kontrolle, Risiko, ArtefaktTyp)"]
    C["DKG‑Suche basierend auf Intent"]
    D["GNN‑Relevanz‑Scoring"]
    E["Top‑K Evidenz‑Items"]
    F["UI präsentiert Empfehlung\nmit Konfidenz"]
    G["Benutzer‑Feedback (akzeptieren/ablehnen)"]
    H["RL‑Schleife aktualisiert GNN‑Gewichte"]
    A --> B --> C --> D --> E --> F
    F --> G --> H --> D

Alle Knotennamen sind in doppelten Anführungszeichen eingeschlossen, wie gefordert.

3. Vom Text zum Intent: Prompt‑engineertes LLM

Der erste Schritt ist das Verstehen der Frage. Ein sorgfältig gestalteter Prompt extrahiert drei Signale:

Kontroll‑Identifier – z. B. „ISO 27001 A.9.2.3 – Password Management“.
Evidenz‑Kategorie – z. B. „Policy Document“, „Configuration Export“, „Audit Log“.
Risikokontext – „High‑Risk, External Access“.

Ein beispielhafter Prompt (aus Sicherheitsgründen kurz gehalten) lautet:

You are a compliance analyst. Return a JSON object with the fields:
{
  "control": "<standard ID and title>",
  "evidence_type": "<policy|config|log|report>",
  "risk_tier": "<low|medium|high>"
}
Question: {question}

Die Ausgabe des LLM wird gegen ein Schema geprüft und dann an den DKG‑Query‑Builder übergeben.

4. Der dynamische Wissensgraph (DKG)

4.1 Entitätsmodell

Entität	Attribute	Beziehungen
Dokument	`doc_id`, `title`, `type`, `source_system`, `last_modified`	`PROVIDES` → `Control`
Kontrolle	`standard_id`, `title`, `domain`	`REQUIRES` → `Evidence_Type`
Asset	`asset_id`, `cloud_provider`, `environment`	`HOSTS` → `Document`
Benutzer	`user_id`, `role`	`INTERACTS_WITH` → `Document`

4.2 Echtzeit‑Synchronisation

Procurize integriert bereits SaaS‑Tools wie GitHub, Confluence, ServiceNow und Cloud‑Provider‑APIs. Ein CDC‑basiertes Mikro‑Service überwacht CRUD‑Events und aktualisiert den Graphen in Sub‑Sekunden‑Latenz, wobei jede Kante ein source_event_id zur Auditierbarkeit trägt.

5. Graph‑gesteuerter Empfehlungspfad

Anker‑Knoten‑Auswahl – Das Intent‑control wird zum Startknoten.
Pfaderweiterung – Ein Breadth‑First‑Search (BFS) erkundet PROVIDES‑Kanten, begrenzt auf den vom LLM zurückgegebenen evidence_type.
Feature‑Extraktion – Für jedes Kandidat‑Dokument wird ein Vektor aus folgenden Merkmalen gebaut:
- Textliche Ähnlichkeit (Embedding desselben LLM).
- Zeitliche Frische (last_modified‑Alter).
- Nutzungs‑Häufigkeit (wie oft das Dokument in vergangenen Fragebögen referenziert wurde).
Relevanz‑Scoring – Ein GNN aggregiert Knoten‑ und Kanten‑Features und erzeugt einen Score s ∈ [0,1].
Ranking & Konfidenz – Die Top‑K‑Dokumente werden nach s sortiert; zusätzlich gibt die Engine die Konfidenz‑Prozentzahl aus (z. B. „85 % sicher, dass diese Richtlinie die Anforderung erfüllt“).

6. Mensch‑in‑der‑Schleife‑Feedback‑Loop

Keine Empfehlung ist von Anfang an perfekt. CERE erfasst die Akzeptieren/Ablehnen‑Entscheidung und Freitext‑Feedback. Diese Daten speisen einen Reinforcement‑Learning‑(RL‑)Loop, der periodisch das Policy‑Netzwerk des GNN feintuned und das Modell an die subjektiven Relevanz‑Präferenzen der Organisation anpasst.

Der RL‑Pipeline‑Ablauf läuft nächtlich:

  stateDiagram-v2
    [*] --> CollectFeedback
    CollectFeedback --> UpdateRewards
    UpdateRewards --> TrainGNN
    TrainGNN --> DeployModel
    DeployModel --> [*]

7. Integration mit Procurize

Procurize bietet bereits ein Unified Questionnaire Hub, in dem Nutzer Aufgaben zuweisen, kommentieren und Evidenz anhängen können. CERE wird als intelligentes Feld‑Widget eingebunden:

Beim Klick auf „Evidenz hinzufügen“ startet das Widget die LLM‑DKG‑Pipeline.
Empfohlene Dokumente erscheinen als anklickbare Karten, jede mit einem „Zitat einfügen“‑Button, der automatisch die Markdown‑Referenz für den Fragebogen generiert.
Für Multi‑Tenant‑Umgebungen respektiert die Engine tenant‑level Datenteilungen – jeder Kunde besitzt einen isolierten Graphen, wodurch Vertraulichkeit garantiert wird, während gleichzeitig ein datenschutzfreundliches, übergreifendes Lernen (via federated averaging der GNN‑Gewichte) ermöglicht wird.

8. Greifbare Vorteile

Kennzahl	Basis‑Manuell	Mit CERE
Durchschnittliche Evidenz‑Suchzeit	15 min pro Frage	2‑3 min
Antwort‑Genauigkeit (Audit‑Pass‑Rate)	87 %	95 %
Team‑Zufriedenheit (NPS)	32	68
Compliance‑Backlog‑Reduktion	4 Wochen	1 Woche

Ein Pilotprojekt bei einem mittelgroßen FinTech (≈200 Mitarbeiter) meldete eine 72 % Kürzung der Fragebogen‑Durchlaufzeit und einen 30 % Rückgang der Revision‑Zyklen bereits im ersten Monat.

9. Herausforderungen & Gegenmaßnahmen

Herausforderung	Gegenmaßnahme
Cold‑Start für neue Kontrollen – Keine historischen Evidenz‑Referenzen.	Vorab‑Seeden des Graphen mit Standard‑Richtlinien‑Templates, anschließend Transfer‑Learning von ähnlichen Kontrollen.
Datenschutz über Tenants hinweg – Risiko von Leckagen bei geteilten Modell‑Updates.	Einsatz von Federated Learning: Jeder Tenant trainiert lokal, nur Gewichts‑Deltas werden aggregiert.
LLM‑Halluzinationen – Fehlidentifizierte Kontroll‑IDs.	Validierung der LLM‑Ausgabe gegen ein kanonisches Kontroll‑Register (ISO, SOC, NIST) vor dem Graph‑Query.
Graph‑Drift – Veraltete Beziehungen nach Cloud‑Migrationen.	CDC‑Pipelines mit Eventual‑Consistency‑Garantie und periodischen Graph‑Health‑Checks.

10. Zukunfts‑Roadmap

Multimodale Evidenz‑Retrieval – Einbindung von Screenshots, Konfigurations‑Diagrammen und Video‑Walkthroughs mittels vision‑fähiger LLMs.
Predictive Regulation Radar – Echtzeit‑Einbindung regulatorischer Nachrichten (z. B. GDPR‑Ergänzungen), um den DKG proaktiv um bevorstehende Kontroll‑Änderungen zu erweitern.
Explainable‑AI‑Dashboard – Visualisierung, warum ein Dokument die erhaltene Konfidenz‑Bewertung bekommen hat (Pfad‑Trace, Feature‑Beitrag).
Self‑Healing‑Graph – Automatische Erkennung verwaister Knoten und KI‑gestützte Entity‑Resolution zur Selbstkorrektur.

11. Fazit

Die Kontextabhängige Evidenz‑Empfehlungs‑Engine verwandelt die arbeitsintensive Kunst des Beantwortens von Sicherheitsfragebögen in ein datengetriebenes, nahezu sofortiges Erlebnis. Durch die Verknüpfung von LLM‑semantischer Analyse, einem lebendigen Wissensgraphen und einer GNN‑basierten Ranking‑Schicht liefert CERE das richtige Evidenz‑Material zur richtigen Zeit – mit messbaren Gewinnen in Geschwindigkeit, Genauigkeit und Compliance‑Vertrauen. Da SaaS‑Unternehmen weiter skalieren, wird solch intelligente Unterstützung nicht mehr ein „Nice‑to‑have“ sein, sondern das Fundament einer resilienten, prüfungs‑bereiten Operation.