Achse 1: Grundlagen
Git-native Compliance
Die Kernthese des GCBoK:
Git-native Compliance bedeutet, dass alle Compliance-Artefakte, Entscheidungen, Identitäten und Nachweise primär in Git-Repositories leben — versioniert, GPG-signiert, OSCAL-maschinenlesbar, OPA-validierbar — ohne einen sekundären Compliance-Store zu benötigen.
Einordnung im Paradigma-Spektrum
| Paradigma | Bereich | Quelle der Wahrheit |
|---|---|---|
| Cloud-native | Infrastruktur | CNCF |
| GitOps | Deployment | OpenGitOps Working Group |
| Git-native Compliance | Compliance | GCBoK |
Die drei Säulen der Git-native Compliance
1. Kryptographische Verankerung — Jeder Eintrag in einem Git-Repository ist durch einen Hash gesichert, optional mit GPG-Signaturen. Damit wird nachweisbar: Wer, Was, Wann. Das entspricht den GoBD-Anförderungen an Unveränderlichkeit — jedoch nativ durch die Git-Architektur.
2. Maschinenlesbarkeit — OSCAL (Open Security Controls Assessment Language) für Sicherheitskontrollen und Assessment-Ergebnisse. OPA/Rego (Open Policy Agent) für Compliance-Regeln als Code, automatisch gegen den Git-State geprüft.
3. Determinismus durch V7GUID — Jedes Compliance-Objekt ist global eindeutig adressierbar (UUIDv7), zeitlich sortierbar (48-Bit-Zeitstempel), klassifizierbar (14-Bit-Klassen-Identifier) und in Beleg-Ketten verkettbar.
Selbst-Referenzierung ohne Vendor Lock-In
Git-native Compliance ist selbst-referenzierend: Alle GitCover-Elemente —
Quellen, Verweise, Maßnahmen, Dokumente — werden ausschließlich über
Git-Repositories adressiert und geführt. Die Wahrheit liegt im .git selbst
(Commits, Trees, Hashes), nicht in externen Diensten, Wikis oder Tickets.
Das vermeidet Vendor Lock-In: Jedes Repository ist für sich
revisionssicher, portabel und ohne proprietäre Abhängigkeiten.
Hash-Standard: immer SHA-256, niemals SHA-1
Jedes GitCover-Repository wird mit SHA-256 als Objekt-Hash-Funktion
angelegt (git init --object-format=sha256 bzw.
extensions.objectformat = sha256). SHA-1 ist ausdrücklich verboten
(Kollisionsangriffe). Die kryptographische Verankerung (Säule 1) baut
damit auf einem nachweislich sicheren Hash-Standard auf.
Lokation der GitCover-Werkzeuge
Alle GitCover-Tools, -Services und (künftig) MCP-Server werden
plan-konform unter /opt/GitCover/ abgelegt (z. B. der
WebStaticBuilder-CLI unter /opt/GitCover/webstatic). Das vermeidet
systemweite, nicht versionierte Ablagen. Nach dem Onboarding wird
/opt/GitCover selbst zu einem Git-Repository, das die GoBD-konformen
Umgebungsparameter (BASE_URL, CDN, Pfade, Tool-Versionen)
versionsiert dokumentiert.
Compliance als Infrastruktur
GitCover ist kein Werkzeug für Compliance-Begeisterte. Es ist Infrastruktur für alle, die Compliance erledigen wollen. Das bedeutet:
- Geringst mögliche Kosten — Open Source, keine proprietären Lizenzen
- Maximale Sicherheit — Kryptographisch verankert, nicht durch Software-Schichten
- Vollständige Nachweisbarkeit — Git-History als eingebauter Audit-Trail
Architekturmodell: Vertikale Fachanwendungen und horizontale Compliance-Backbone
Beleg-Ketten"| GitCover Zeit <-->|"Policy-Validierung"| GitCover Lohn <-->|"SV/AO/GoBD-Nachweise"| GitCover Mails <-->|"E-Mail-Archivierung"| GitCover OPos <-->|"XML-Daten, Audit-Trails"| GitCover subgraph KISchicht["KI-Agenten-Ebene"] Agent["KI-Compliance-Agent
(eingesperrt im Worktree)"]:::agentBar end Agent -->|"liest/schreibt
nur im zugewiesenen Repo"| GitCover Agent -.->|"OPA-Guardrails
als Pre-Receive-Hooks"| GitCover classDef coverBar fill:#6B7280,color:#FFFFFF,stroke:#4B5563,stroke-width:2px,rx:6,ry:6,min-width:100%,font-size:1.1em,padding:6px,margin:6px; classDef agentBar fill:#0A7F5C,color:#FFFFFF,stroke:#0A7F5C,stroke-width:2px,rx:6,ry:6,font-size:1em,padding:4px,margin:4px;
Lesart: Die vertikalen Fachanwendungen (FiBu, Zeiterfassung, Lohnabrechnung, ERP, Lager) bleiben inhaltlich unabhängig und fachlich eigenständig. GitCover bildet die horizontale Schicht: Git-Repositories als durchgehende Compliance-Backbone, die jede vertikale App mit OSCAL-Katalogen, OPA-Policies, GPG-Signaturen und V7GUID-Beleg-Ketten verbindet — ohne proprietäre Middleware und ohne sekundären Compliance-Store.
Rechtlicher Rahmen
Das GCBoK adressiert folgende regulatorische Rahmenwerke:
GoBD — Grundsätze ordnungsmäßiger DV-gestützter Buchhaltungssysteme
Die GoBD (Rz. 151-157) fordern ein Internes Kontrollsystem, Nachvollziehbarkeit, Unveränderlichkeit und Zeitgerechtheit. Git-native Compliance erfüllt diese Anförderungen nativ:
| GoBD-Anförderung | Git-native Erfüllung |
|---|---|
| Nachvollziehbarkeit | Git-History (commit-log) |
| Unveränderlichkeit | Git-Hash + SSH-/GPG-Signatur |
| Zeitgerechtheit | V7GUID-Zeitstempel (UUIDv7) |
| Internes Kontrollsystem | OPA-Policies als Pre-Receive-Hooks |
NIS2 — Network and Information Security Directive
Die EU-NIS2-Richtlinie fordert Risikomanagement und Meldepflichten für kritische Infrastrukturen. Das GCBoK definiert Methoden zur NIS2-Risikoanalyse auf Basis von Git-Repositories.
BSI GS++ & GCBoK Compliance-as-Code
Das BSI IT-Grundschutz-Kompendium definiert Standards für Informationssicherheit und stellt diese zunehmend in maschinenlesbaren Formaten (wie OSCAL) bereit. Das GCBoK nutzt diese standardisierten OSCAL-Kataloge und mappt die BSI-Kontrollen direkt auf Git-native, automatisierte Compliance-Prozesse (Compliance-as-Code). Es transformiert die regulatorischen Vorgaben des BSI in operationalisierbare Prüfroutinen innerhalb des GitCover-Ökosystems.
DSGVO — Datenschutz-Grundverordnung
Die DSGVO fordert Privacy by Design. Das GCBoK definiert dezentrale Identitätsnachweise (auch PGP-Identitäten), die personenbezogene Daten nicht in zentralen Datenbanken, sondern in Git-Strukturen verankern.
Anwendungsverständnis
Die Architekturprinzipien des GCBoK müssen für Anwender mit geringen IT-Kenntnissen greifbar sein. Dieser Abschnitt vermittelt die mentalen Modelle, die das Arbeiten mit Git-native Compliance für Laien verständlich machen.
Files over Apps — Leitprinzip
Das GCBoK folgt dem Leitprinzip Files over Apps: Compliance-Artefakte leben als Dateien in Git-Repositories, nicht in proprietären Anwendungsdatenbanken. Konversationen, Dokumente, Belege und Policies sind Markdown-, YAML- oder JSON-Dateien im Git-Tree — versioniert, signierbar, auditierbar. Anwendungen sind austauschbar; Dateien sind dauerhaft.
Dies unterscheidet sich fundamental vom klassischen Anwendungsparadigma, in dem eine Software die Daten in eigenen Datenbanken hält und der Export eine nachträgliche Notwendigkeit ist. Bei Git-native Compliance ist der Export der Normalzustand.
Der digitale Aktenordner — Mentales Modell
Für Anwender mit wenig Computerkenntnissen ist das Konzept eines gesamten Dateisystems abstrakt und fehleranfällig. Die Metapher des digitalen Aktenordners löst dieses Problem:
- Das Git-Working-Directory ist kein unübersichtlicher PC-Ordner, sondern ein digitaler Aktenordner mit eingebautem Kopierer und Protokollbuch (Git).
- Die Regel: Ein KI-Agent darf nur in diesem spezifischen Ordner lesen und schreiben. Alles außerhalb existiert für ihn nicht.
- Die Sichtbarkeit: Jede Änderung, die die KI vornimmt, wird sofort als Änderung markiert (Git-Status). Der Laie sieht: „Die KI hat Zeile 4 in der Verfahrensdokumentation geändert."
- Die Sicherheit: Das Git-Staging-Area wird zur Vorschau- und Freigabefenster. Der Anwender muss kein Git verstehen — er versteht das Prinzip: „Die KI schlägt eine Änderung vor, ich klicke auf Übernehmen (Commit)."
Sandkasten-Prinzip
Für GoBD- und NIS2-Konformität ist die Eingrenzung des Zugriffsbereichs fundamental. Ein KI-Agent, der ausschließlich auf das zugewiesene Git-Working-Directory zugreifen kann, ist physikalisch eingesperrt:
- Selbst wenn der Agent halluziniert oder durch Prompt-Injection manipuliert wird, kann er nicht aus dem Git-Repository ausbrechen.
- Die Erläuterung für den Anwender: „Die KI ist in diesem Projektordner eingesperrt. Sie kann keinen Schaden im restlichen System anrichten."
- Jede Compliance-Aktivität ist im Git-Verlauf als Sicherheitsnetz dokumentiert — der Anwender behält die volle Souveränität.
KI-Arbeitsumgebungen im Vergleich
Das GCBoK ist technologie-neutral bezüglich der KI-Arbeitsumgebung. Drei Paradigmen stehen zur Auswahl:
| Kriterium | WebUI-first (Browser) | Desktop-Client (Native App) | All-in-One-Plattform |
|---|---|---|---|
| Paradigma | OS-Level Proxy, Dateisystemzugriff per Browser | Client-first, lokale/SSH-Agenten-Orchestrierung | Vollständiger Workspace (Chat, Mail, Doks, Kalender) |
| Fokus | Dateiverwaltung, Git-Staging, Terminal per Browser | Agenten-Ökosystem, Skill-Store, Multi-Agenten | Produktivitäts-Hub, SaaS-Ersatz lokal/privat |
| Sandbox | Docker-Bind-Mounts, Git-Worktree-Isolation | API-Gating, Token-Limits, lokale Berechtigungen | Docker-Container, gekapselt |
| Vorteil | Nahtlose Git-Integration, Files over Apps | Hohe Performance, enge Tool-Integration | Mächtig, alle Büroaufgaben in einer Oberfläche |
| Nachteil | Sicherheitsmodell erfordert sorgfältige Mount-Konfiguration | Konfiguration erfordert technisches Verständnis | Docker-Infrastruktur, Daten in eigenen DBs gebunden |
| GCBoK-Eignung | Sehr hoch — philosophisch exakt „Files over Apps" | Mittel — Konfigurationshürde für Laien | Niedrig — Daten werden nicht Git-nativ abgelegt |
Empfehlung: Hybrides Appliance-Modell
Für KMU-Anwender ohne tiefe IT-Kenntnisse empfiehlt das GCBoK ein hybrides Appliance-Modell:
- Infrastruktur-Kapselung (zentral): Ein headless KI-Server im LAN übernimmt LLM-Inferenz und Git-Verwaltung. Die Komplexität wird vollständig dorthin verlagert.
- Minimaler Client-Arbeitsplatz: Dem Endanwender wird kein lokales Docker, kein Python und kein Git auf seinem Desktop zugemutet. Er greift ausschließlich über den Browser (als PWA) auf die Web-Oberfläche zu.
- Interaktions-Flow: Der Anwender nutzt Chat- und Notiz-Funktionen. Wenn er Compliance-Dokumente prüfen oder erzeugen möchte, arbeitet der KI-Agent im Hintergrund direkt auf den Verzeichnissen des zentralen File-Servers. Der Agent übernimmt Staging, Commit und Push in das Gitea-Repository — der Anwender sieht eine visuelle Checkliste im UI.
Das Ziel: Der Anwender erlebt keinen „KI, die den Computer steuert", sondern einen intelligenten Sachbearbeiter für den spezifischen Compliance-Ordner. Er weiß, wo die KI arbeitet, sieht jeden Schritt im Git-Verlauf und behält die volle Souveränität, die das GCBoK fordert.
Referenzarchitektur: Hybrides Appliance-Modell
kein Docker, kein Git lokal"]:::clientBar end subgraph KIServer["KI-Server im LAN (headless)"] OWUI["Web-Oberfläche
(Chat + Notizen)"]:::serverBar Agent["KI-Agent
(im Git-Worktree eingesperrt)"]:::agentBar Ollama["LLM-Inferenz
(Ollama, lokal)"]:::serverBar end subgraph FileServer["File-Server / Git-Host"] Gitea["Gitea
(Git-Repositories + IdP)"]:::storageBar Repos["Git-Working-Directories
pro Mandant isoliert"]:::storageBar end Browser -->|"HTTPS"| OWUI OWUI --> Agent Agent -->|"liest/schreibt
nur im zugewiesenen Worktree"| Repos Agent -->|"LLM-Anfrage"| Ollama Agent -->|"Commit + Push"| Gitea Gitea --- Repos classDef clientBar fill:#2563EB,color:#FFFFFF,stroke:#1D4ED8,stroke-width:2px,rx:6,ry:6,font-size:1em,padding:4px; classDef serverBar fill:#6B7280,color:#FFFFFF,stroke:#4B5563,stroke-width:2px,rx:6,ry:6,font-size:1em,padding:4px; classDef agentBar fill:#0A7F5C,color:#FFFFFF,stroke:#0A7F5C,stroke-width:2px,rx:6,ry:6,font-size:1em,padding:4px; classDef storageBar fill:#92400E,color:#FFFFFF,stroke:#78350F,stroke-width:2px,rx:6,ry:6,font-size:1em,padding:4px;
Siehe auch: Die praktische Umsetzung dieser Rahmenwerke wird in Achse 5: Vorgehensweisen beschrieben.