Benjamin Admin
7a4f086151
Jede Normreferenz einer Maßnahme wird lizenzklassifiziert (eu_law / public_domain / open / paid_reference) — paid-reference-Normen werden nur als Verweis geführt, nie im Text gespeichert (idea/expression). Kuratierte Maßnahmen tragen Tier 'core', KI-/Fallback-Maßnahmen 'review' (indikativ). Frontend zeigt Quellen-Badges + "indikativ"-Kennzeichnung. Methodik in docs-src/development/mapping-methodology.md (Szenario C, Due-Diligence). Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
3.6 KiB
BreakPilot Mapping Methodology
Interne Methodik-Doku für Due Diligence, Kunden-, Anwalts- und Lizenzfragen. Stand 2026-06-16. Kern: Wir modellieren gemeinsame Konzepte (Szenario C), nicht Normstrukturen.
Grundprinzip: Idee vs. Ausdruck
Urheberrecht schützt die konkrete Formulierung (den Normtext), nicht Ideen, Fakten oder Themen. Daraus folgt unsere Linie:
- Normtext wird nicht gespeichert und nicht reproduziert.
- Fundstellen (Klausel-/Control-IDs, Artikel-Nummern, Titel) sind Fakten und als Quellenhinweis zitierbar — wie ein Buch-Kapitelverweis.
- Mappings sind Tatsachenaussagen über Bezüge ("dieselbe Anforderungsidee taucht in CRA, NIST, IEC 62443 auf").
Unser Modell ist Szenario C, nicht A oder B
Cybersecurity-/Safety-Realität
↓
Master Control / Maßnahme ← eigenständig formuliert (unser Werk)
↓
Normen referenzieren darauf ← CRA · MaschinenVO · NIST · OWASP · ETSI · BSI · IEC 62443 · ENISA
Wir behaupten nicht „die Norm sagt X" (mit Normwortlaut), sondern „diese Maßnahme adressiert dieselbe Anforderungsidee, die auch in mehreren Standards auftaucht". Je mehr Quellen auf dasselbe Konzept verweisen (Least Privilege, Logging, Updates, Authentisierung …), desto klarer ist es ein eigenständiges Wissensmodell, kein Norm-Derivat.
Vergleichbar mit Beck/Juris/Wolters: nicht „§ 823 BGB sagt …", sondern „nach herrschender Meinung folgt daraus …" — eigene redaktionelle Leistung.
Quellen-Lizenzklassen (siehe compliance/data/norm_sources.py)
| Klasse | Beispiele | Umgang |
|---|---|---|
eu_law |
CRA (2024/2847), MaschinenVO (2023/1230), NIS2, DSGVO | EU-Recht, öffentlich — reproduzierbar (EUR-Lex) |
public_domain |
NIST SP 800-53/218, NIST CSF, NIST OLIR, NTIA, CISA | US-Gov, gemeinfrei — reproduzierbar |
open |
OWASP (CC), ETSI EN 303 645, BSI IT-Grundschutz, SPDX, CycloneDX | offen lizenziert — mit Quellenangabe nutzbar |
paid_reference |
ISO/IEC, EN/DIN, IEC 62443, ISO 27002, ISO/IEC 15408, EN ISO 13849 … | nur Verweis auf Klausel-/Control-ID — KEIN Text gespeichert |
Crosswalk-Wissen stammt überwiegend aus publizierten, autoritativen Quellen (NIST OLIR = öffentliche Crosswalk-Datenbank, ENISA CRA-Mapping, Norm-Annexe, EU-Normungsauftrag) plus gemeinfreien Inhalten — nicht aus kostenpflichtigem Normtext.
Rolle der KI
KI ist Skalierer, nicht Quelle: sie schlägt semantische Zuordnungen vor und
normalisiert; das Fundament sind publizierte Crosswalks + gemeinfreie Quellen, und
die tragenden Zuordnungen werden expertengeprüft. Jede Zuordnung trägt daher
Provenienz + Tier: core (belegt/expertengeprüft) vs. review
(KI-vorgeschlagen, indikativ). Indikative Zuordnungen werden als solche gekennzeichnet
("mit DSB/Auditor verifizieren").
Die 6 Methodik-Aussagen (Kurzform)
- Normtexte werden nicht gespeichert.
- Normtexte werden nicht reproduziert.
- Master Controls / Maßnahmen sind eigenständig formuliert.
- Mappings entstehen als semantische Zuordnung (Experte/KI), mit Provenienz/Tier.
- Die Plattform ersetzt keine Norm und ermöglicht keine Rekonstruktion der Norm.
- Normreferenzen dienen ausschließlich als Quellenhinweis (Klausel-/Control-ID).
Roter Faden / kritischer Bereich
Risiko ist nicht das Mapping, sondern das Aufkumulieren von Normstruktur (viele Kapitelüberschriften + Original-Requirement-IDs + Originaltext + Tabellen), sodass sich die Originalnorm rekonstruieren ließe. Solange wir auf der Ebene Master Control → Maßnahme → Evidenz → Referenzen bleiben (Szenario C), ist die Position robust.