Benjamin_Boenisch/breakpilot-compliance
1
1
Fork 0
Code Issues 24 Pull Requests Actions Packages Projects Releases Wiki Activity

feat(cra): Maßnahmen-Provenienz + Lizenzklasse je Normquelle

Browse Source 
Jede Normreferenz einer Maßnahme wird lizenzklassifiziert (eu_law /
public_domain / open / paid_reference) — paid-reference-Normen werden nur als
Verweis geführt, nie im Text gespeichert (idea/expression). Kuratierte
Maßnahmen tragen Tier 'core', KI-/Fallback-Maßnahmen 'review' (indikativ).
Frontend zeigt Quellen-Badges + "indikativ"-Kennzeichnung. Methodik in
docs-src/development/mapping-methodology.md (Szenario C, Due-Diligence).

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
This commit is contained in:
Benjamin Admin
2026-06-16 10:10:20 +02:00
parent 6c619ecc42
commit 7a4f086151
8 changed files with 204 additions and 3 deletions
Download Patch File Download Diff File Expand all files Collapse all files
docs-src/development/mapping-methodology.md
+75
View File
@@ -0,0 +1,75 @@
# BreakPilot Mapping Methodology
> Interne Methodik-Doku für Due Diligence, Kunden-, Anwalts- und Lizenzfragen.
> Stand 2026-06-16. Kern: **Wir modellieren gemeinsame Konzepte (Szenario C),
> nicht Normstrukturen.**
## Grundprinzip: Idee vs. Ausdruck
Urheberrecht schützt die **konkrete Formulierung** (den Normtext), **nicht** Ideen,
Fakten oder Themen. Daraus folgt unsere Linie:
- **Normtext** wird **nicht gespeichert** und **nicht reproduziert**.
- **Fundstellen** (Klausel-/Control-IDs, Artikel-Nummern, Titel) sind **Fakten** und
als Quellenhinweis zitierbar — wie ein Buch-Kapitelverweis.
- **Mappings** sind **Tatsachenaussagen über Bezüge** ("dieselbe Anforderungsidee
taucht in CRA, NIST, IEC 62443 auf").
## Unser Modell ist Szenario C, nicht A oder B
```
Cybersecurity-/Safety-Realität
Master Control / Maßnahme ← eigenständig formuliert (unser Werk)
Normen referenzieren darauf ← CRA · MaschinenVO · NIST · OWASP · ETSI · BSI · IEC 62443 · ENISA
```
Wir behaupten **nicht** „die Norm sagt X" (mit Normwortlaut), sondern „diese
Maßnahme adressiert dieselbe Anforderungsidee, die auch in mehreren Standards
auftaucht". Je mehr Quellen auf dasselbe Konzept verweisen (Least Privilege,
Logging, Updates, Authentisierung …), desto klarer ist es ein **eigenständiges
Wissensmodell**, kein Norm-Derivat.
Vergleichbar mit Beck/Juris/Wolters: nicht „§ 823 BGB sagt …", sondern „nach
herrschender Meinung folgt daraus …" — eigene redaktionelle Leistung.
## Quellen-Lizenzklassen (siehe `compliance/data/norm_sources.py`)
| Klasse | Beispiele | Umgang |
|---|---|---|
| `eu_law` | CRA (2024/2847), MaschinenVO (2023/1230), NIS2, DSGVO | EU-Recht, öffentlich — reproduzierbar (EUR-Lex) |
| `public_domain` | NIST SP 800-53/218, NIST CSF, NIST OLIR, NTIA, CISA | US-Gov, gemeinfrei — reproduzierbar |
| `open` | OWASP (CC), ETSI EN 303 645, BSI IT-Grundschutz, SPDX, CycloneDX | offen lizenziert — mit Quellenangabe nutzbar |
| `paid_reference` | ISO/IEC, EN/DIN, IEC 62443, ISO 27002, ISO/IEC 15408, EN ISO 13849 … | **nur Verweis** auf Klausel-/Control-ID — KEIN Text gespeichert |
Crosswalk-Wissen stammt überwiegend aus **publizierten, autoritativen Quellen**
(NIST OLIR = öffentliche Crosswalk-Datenbank, ENISA CRA-Mapping, Norm-Annexe,
EU-Normungsauftrag) plus gemeinfreien Inhalten — nicht aus kostenpflichtigem
Normtext.
## Rolle der KI
KI ist **Skalierer**, nicht Quelle: sie schlägt semantische Zuordnungen vor und
normalisiert; das Fundament sind publizierte Crosswalks + gemeinfreie Quellen, und
die tragenden Zuordnungen werden expertengeprüft. Jede Zuordnung trägt daher
**Provenienz + Tier**: `core` (belegt/expertengeprüft) vs. `review`
(KI-vorgeschlagen, indikativ). Indikative Zuordnungen werden als solche gekennzeichnet
("mit DSB/Auditor verifizieren").
## Die 6 Methodik-Aussagen (Kurzform)
1. Normtexte werden **nicht gespeichert**.
2. Normtexte werden **nicht reproduziert**.
3. Master Controls / Maßnahmen sind **eigenständig formuliert**.
4. Mappings entstehen als **semantische Zuordnung** (Experte/KI), mit Provenienz/Tier.
5. Die Plattform **ersetzt keine Norm** und ermöglicht **keine Rekonstruktion** der Norm.
6. Normreferenzen dienen ausschließlich als **Quellenhinweis** (Klausel-/Control-ID).
## Roter Faden / kritischer Bereich
Risiko ist **nicht** das Mapping, sondern das **Aufkumulieren von Normstruktur**
(viele Kapitelüberschriften + Original-Requirement-IDs + Originaltext + Tabellen),
sodass sich die Originalnorm rekonstruieren ließe. Solange wir auf der Ebene
**Master Control → Maßnahme → Evidenz → Referenzen** bleiben (Szenario C), ist die
Position robust.