Compliance as Code

Compliance as Code bedeutet, regulatorische Anforderungen (ISO 27001, DSGVO, nFADP, EMBAG) in maschinenlesbare Prüfskripte zu übersetzen, die automatisch und kontinuierlich in der CI/CD-Pipeline oder der Infrastruktur ausgeführt werden. Damit wird Compliance vom periodischen Audit zum dauerhaften Systemzustand.

Das Gegenteil, manuelle Checklisten und jährliche Zertifizierungsprojekte, ist fehleranfällig, teuer und reagiert immer zu spät.

Kernkonzept

• Policy as Code: Sicherheits- und Compliance-Regeln werden in Sprachen wie OPA (Open Policy Agent), Rego oder AWS Config Rules beschrieben.
• Shift Left: Compliance-Prüfungen erfolgen bereits beim Code-Commit, nicht erst bei der Zertifizierung.
• Audit Trail: Jede Prüfung ist versioniert, reproduzierbar und nachvollziehbar.
• Continuous Compliance: Dashboards zeigen den Compliance-Status in Echtzeit, nicht nur einmal im Jahr.

Umsetzung

1. Inventar der Anforderungen: Regulatorische Vorgaben in testbare Aussagen übersetzen ("Alle S3-Buckets müssen verschlüsselt sein").
2. Tool-Wahl: Open Policy Agent (OPA) für Kubernetes, Checkov für Terraform, AWS Config / Azure Policy für Cloud-Ressourcen.
3. Integration in Pipeline: Compliance-Tests laufen in jedem Pull Request und blockieren das Deployment bei Verstoss.
4. Reporting: Automatisierte Reports für Auditoren, die den Compliance-Status zu jedem Zeitpunkt dokumentieren.

Der Fokus: Vom Projekt zum Dauerzustand

Compliance wird nicht mehr "hergestellt", sondern permanent "gemessen". Das reduziert den Aufwand für Rezertifizierungen massiv.

FAQ

Ersetzt Compliance as Code den menschlichen Auditor?

Nein. Es ersetzt manuelle, repetitive Kontrollen. Komplexe Risikobeurteilungen und organisatorische Massnahmen erfordern weiterhin menschliches Urteil. Compliance as Code schafft aber die Grundlage für effiziente, faktenbasierte Audits.

Was ist mit Compliance-Anforderungen, die sich schwer automatisieren lassen?

Organisatorische Massnahmen (Schulungen, Verantwortlichkeiten) bleiben manuell. Alles Technische, Konfigurationen, Zugriffsrechte, Verschlüsselung, ist automatisierbar.

Reference Guide

• Open Policy Agent: Der Standard für Policy-as-Code. openpolicyagent.org
• Checkov: Statische Analyse für IaC. checkov.io
• NIST Cybersecurity Framework: nist.gov/cyberframework

---

Verwandte Themen

• Standards: ISO 27001
• Methoden

Offene Punkte

• Beispiel-OPA-Policy für Kubernetes-Namespaces ergänzen.
• Mapping der nFADP-Anforderungen auf automatisierbare Controls verlinken.