ciso-review
von alirezarezvaniciso-review ist ein Security-Audit-Prompt im CISO-Stil für Pläne rund um Kundendaten, Compliance, Anbieter, Trust Boundaries oder Produktionszugriff. Der Skill nutzt sechs zwingende Leitfragen – Threat Model, Blast Radius, Detection, Response, regulatorische Exponierung und Ship/No-Ship-Risiko –, um aus einem Plan Blocker, Gegenmaßnahmen und eine fundierte Launch-Empfehlung abzuleiten.
Dieser Skill erreicht 72/100 Punkte und ist damit für eine Aufnahme ins Verzeichnis geeignet, passt aber am besten für Nutzer, die eine schlanke Checkliste für Security Reviews suchen – nicht ein vollständiges CISO-Review-System. Die Repository-Evidenz zeigt ein gültiges, fokussiertes SKILL.md mit klarem Command, passenden Auslösesituationen und substanzreichen Leitfragen. Es fehlen jedoch ergänzende Materialien, Beispiele und Installationshinweise, die die Einführung verlässlicher machen würden.
- Klarer Auslöser und Aufruf: `/cs:ciso-review <plan>` für Pläne mit Kundendaten, Compliance, Produktionszugriff, Audits, Incidents oder Änderungen an Trust Boundaries.
- Bietet einen kompakten CISO-Review-Rahmen mit sechs Leitfragen, darunter STRIDE Threat Modeling, Blast Radius, Detection, Incident Response und regulatorische Aspekte.
- Gibt Agenten mehr Orientierung als ein generischer Prompt, weil konkrete Security-Konzepte wie PII/PHI/cardholder data, FAIR-based ALE, MTTD, Alerts, On-Call-Verantwortung und tabletop-tested runbooks benannt werden.
- Es gibt keine Support-Dateien, Referenzen, Beispiele oder Installationsanweisungen; Nutzer müssen sich vollständig auf den Inhalt von SKILL.md stützen.
- Die operative Anleitung ist eher fragebasiert als ein vollständiger Review-Workflow mit Vorlagen, Bewertungskriterien oder konkreten Beispielen für Ergebnisse.
Überblick über den ciso-review Skill
Was ciso-review leistet
Der ciso-review Skill ist ein Review-Prompt für Security-Entscheider, wenn Pläne Kundendaten, Compliance-Scope, Anbieter, Produktionszugriff oder Trust Boundaries berühren. Er strukturiert die Prüfung entlang von sechs CISO-typischen Leitfragen: Threat Model, Blast Radius, Detection, Incident Response, regulatorische Exponierung und Ship/No-Ship-Risiko.
Nutze ihn, wenn du vor einer Produktionsänderung, einer Vendor-Entscheidung, einem Audit-Meilenstein oder einem Korrekturplan nach einem Incident eine skeptische Security-Audit-Perspektive brauchst. Der Nutzen liegt nicht in „allgemeinen Sicherheitstipps“, sondern in einer strukturierten Befragung: Der AI Assistant soll herausarbeiten, was schiefgehen kann, wie schwerwiegend es wäre, ob ihr es erkennen könnt und was vor dem Launch behoben werden muss.
Für wen und für welche Entscheidungen ciso-review passt
Der ciso-review Skill eignet sich für Engineering Leads, Gründer, Security Manager, Compliance-Verantwortliche und Platform Teams, die eine schnelle Pre-Flight-Prüfung benötigen, ohne jede Entscheidung in ein vollständiges formales Assessment zu verwandeln. Besonders hilfreich ist er vor Deployments von Systemen mit PII, PHI, Zahlungsdaten, Authentifizierung, Autorisierung, Logging, Drittanbieter-Integrationen oder privilegiertem Zugriff.
Weniger geeignet ist er für tiefgehende Exploit-Recherche, Source-Code-Vulnerability-Scanning oder als Ersatz für qualifizierte Security-Assessoren. Behandle ihn als Werkzeug für bessere Entscheidungen: Er hilft, Risiken sichtbar zu machen, Fragen zu schärfen und dich auf ein echtes Security-Audit-Gespräch vorzubereiten.
Warum ciso-review anders ist als ein generischer Prompt
Ein generischer Prompt wie „prüfe das auf Sicherheit“ erzeugt oft breite Checklisten. Der ciso-review Skill lenkt den Assistant dagegen in eine CISO-Forcing-Function: STRIDE Threat Modeling, Worst-Case-Blast-Radius, FAIR-ähnliches Denken über Verluste, Detection Readiness, Incident-Response-Readiness und Compliance-Auswirkungen.
Diese Struktur ist wichtig, weil Einführungsblocker meist nicht daraus entstehen, dass „Security vergessen wurde“. Häufiger sind unklare Verantwortlichkeiten, nicht quantifizierte Exponierung, fehlende Detection, ungetestete Response-Pläne und unklare Launch-Kriterien das Problem.
So verwendest du den ciso-review Skill
ciso-review installieren und Repository-Pfad
Für die Installation aus dem GitHub Skill Repository nutzt du den Standard-Installationsflow des Verzeichnisses, zum Beispiel:
npx skills add alirezarezvani/claude-skills --skill ciso-review
Der Skill liegt unter:
c-level-advisor/c-level-agents/skills/ciso-review/SKILL.md
In den Repository-Hinweisen sind keine zusätzlichen Scripts, Reference-Ordner oder begleitenden Rule-Dateien zu sehen. Lies daher zuerst SKILL.md. Die Implementierung ist kompakt: Das zentrale Element ist das Command Pattern /cs:ciso-review <plan> und der Review-Workflow mit sechs Fragen.
Welche Eingaben der ciso-review Skill braucht
Für einen starken ciso-review Einsatz solltest du keine Ein-Satz-Idee übergeben. Liefere den Plan, die Architektur, die betroffenen Daten, betroffene Nutzer, Anbieter, Zugriffspfade, Controls, Monitoring, Compliance-Kontext und den Launch-Zeitplan.
Schwacher Prompt:
/cs:ciso-review We are adding a new analytics vendor.
Stärkerer Prompt:
/cs:ciso-review Review our plan to send product usage events to Vendor X. Data includes user_id, email, workspace_id, IP address, feature events, and timestamps. Vendor receives data via server-side API from production. SOC 2 scope applies; GDPR users are included. We currently have a DPA draft, SSO for vendor admin access, no field-level tokenization, logs in Datadog, and no specific detection rule for abnormal export volume. Launch target is next Friday. Identify top risks, required blockers, detection gaps, and a ship/no-ship recommendation.
Die stärkere Version verbessert die Ausgabe, weil der Assistant genug Kontext erhält, um Blast Radius, Detection, regulatorische Exponierung und Response Readiness zu bewerten, statt Annahmen erfinden zu müssen.
Praktischer Workflow zur Vorbereitung eines Security Audits
Nutze den ciso-review Skill vor dem Security Sign-off, nicht erst, wenn die Implementierung eingefroren ist. Ein sinnvoller Workflow sieht so aus:
- Formuliere den Änderungsplan in verständlichem Englisch.
- Ergänze ein Dateninventar: Datentypen, Sensitivität, Residency, Retention und Anzahl betroffener Nutzer.
- Ergänze Trust Boundaries: interne Services, Anbieter, Admins, Kunden, CI/CD und Produktionszugriff.
- Führe
/cs:ciso-review <plan>aus. - Überführe Findings in Blocker, Mitigations, Verantwortliche und Fälligkeitsdaten.
- Führe den Skill nach Anpassungen erneut aus, um zu prüfen, ob das Restrisiko akzeptabel ist.
Für Audit Readiness solltest du den Assistant bitten, „Evidence we have“ von „Evidence we still need“ zu trennen. Dadurch wird die Ausgabe für SOC 2, ISO 27001, HIPAA, GDPR oder Vendor-Security-Review-Pakete deutlich nützlicher.
Tipps für bessere ciso-review Ergebnisse
Wenn du operative Klarheit brauchst, frage nach einer priorisierten Risikotabelle statt nach einer erzählenden Antwort. Nimm Wahrscheinlichkeit, Auswirkung, betroffene Assets, bestehende Controls, fehlende Controls, Owner und empfohlene Entscheidung auf.
Gute Ergänzungen sind:
- „Use STRIDE and call out the top 3 risks by likelihood × impact.“
- „Estimate worst-case exposure in users, records, systems, and business impact.“
- „Identify detection rules, alert owners, and MTTD assumptions.“
- „State what must be true before ship.“
- „Separate blockers from follow-up hardening.“
ciso-review Skill FAQ
Ist ciso-review nur für CISOs gedacht?
Nein. Der ciso-review Skill ist für alle nützlich, die eine sicherheitsrelevante Entscheidung treffen oder vorbereiten müssen. Er gibt Teams ohne CISO-Rolle eine strukturierte Möglichkeit, die Fragen zu stellen, die ein Security Executive stellen würde. Die finale Freigabe bleibt trotzdem bei euren Security-, Legal-, Compliance- oder Risk-Verantwortlichen.
Kann ciso-review ein formales Security Audit ersetzen?
Nein. ciso-review zur Vorbereitung eines Security Audits eignet sich am besten als Pre-Review- und Gap-Finding-Tool. Der Skill kann helfen, Risiken, Evidence und Launch-Blocker zu ordnen, führt aber keine Penetration Tests, Codeanalysen, Rechtsprüfungen oder formale Zertifizierungsarbeiten durch.
Wann sollte ich ciso-review nicht verwenden?
Verwende ihn nicht als einzige Prüfung für stark regulierte Hochrisikosysteme, kryptografisches Design, Incident Containment, rechtliche Breach-Bewertungen oder Notfallmaßnahmen in Produktion. Vermeide den Einsatz außerdem, wenn du nicht genug Kontext zu Daten, Zugriff, Architektur und Controls liefern kannst; die Ausgabe wird dann stark auf Annahmen beruhen.
Wann ist ein Plan bereit für den Review?
Ein Plan ist bereit, wenn er beantwortet: Was ändert sich, welche Daten sind betroffen, wer kann darauf zugreifen, wohin fließen sie, was könnte fehlschlagen, welches Monitoring existiert, wer reagiert, welche Regulierungen gelten und welche Deadline oder welcher geschäftliche Druck besteht. Wenn diese Fakten fehlen, bitte den Assistant zuerst, dir beim Sammeln der fehlenden Review-Inputs zu helfen.
So verbesserst du den ciso-review Skill
ciso-review Ergebnisse durch besseren Kontext verbessern
Der schnellste Weg zu besseren ciso-review Ergebnissen ist, implizite Risiken explizit zu machen. Ergänze Diagramme oder knappe Architekturhinweise, Authentifizierungs- und Autorisierungsmodell, Admin-Rollen, Vendor-Zugriff, Verschlüsselungsgrenzen, Aufbewahrungsfristen, Logging-Abdeckung und Rollback-Optionen.
Ein hochwertiger Input sollte nicht nur sagen „we use logs“, sondern welche Logs, wohin sie gehen, welcher Alert auslöst, wer ihn erhält und welche erwartete Detection-Zeit gilt. Die Detection-Frage des Skills ist dafür gedacht, die Lücke zwischen Observability und handlungsfähiger Detection sichtbar zu machen.
Häufige Fehlerquellen beim ciso-review Skill
Der wichtigste Failure Mode ist, eine plausibel klingende, aber generische Antwort zu akzeptieren. Hake nach, wenn die Ausgabe keinen quantifizierten Blast Radius, keine benannten Assets, keine konkreten Detection-Signale oder keine Ship/No-Ship-Kriterien enthält.
Ein weiteres häufiges Problem ist, Compliance als Label statt als Control-Anforderung zu behandeln. Wenn GDPR, HIPAA, SOC 2, ISO 27001 oder PCI als relevant genannt werden, frage nach, welche Evidence, Policy, Control oder vertragliche Unterlage erforderlich ist.
Nach dem ersten Review iterieren
Nach dem ersten ciso-review Durchlauf solltest du einen zweiten Durchlauf anfordern, der sich nur auf offene Blocker konzentriert. Zum Beispiel:
Re-review the plan assuming we added vendor SSO, IP allowlisting, a Datadog alert for export spikes, and an incident runbook. What residual risks remain, and what would still block launch?
So wird aus dem Skill keine einmalige Kritik, sondern eine praktische Schleife zur Risikoreduktion. Das beste Endergebnis ist ein kurzes Decision Memo: approved, approved with conditions oder blocked, jeweils mit zugehöriger Evidence und Ownern.
