Compliance-Software ist meist eine Blackbox. Man kauft ein Tool, gibt Daten ein, bekommt einen Score – und muss glauben, dass die Logik dahinter stimmt. Welche Anforderung wurde wie interpretiert? Woher kommt diese Risikobewertung? Welche Annahmen stecken in der Remediation-Empfehlung? In der Regel: nicht nachvollziehbar. Man kauft Vertrauen auf Zuruf.
Für ein Modell, das genau dieses Problem lösen soll – Compliance als System statt als Dokumentenstapel – ist das eine schlechte Ausgangslage. Wer behauptet, Regulierung maschinenlesbar und nachvollziehbar zu machen, sollte seine eigene Maschine nicht hinter verschlossenen Türen betreiben.
Deshalb
Das Datenmodell hinter Executable Compliance – das Brain-Media Audit Model (BAM) – ist ab heute als BAM Core öffentlich auf GitHub einsehbar. Nicht als Marketing-Demo, sondern als das tatsächliche Datenmodell: Code unter AGPLv3, Datenmodell unter CC BY-SA 4.0.
Was konkret offen liegt
BAM Core umfasst 58 strukturierte Objekte, die sechs der acht von Executable Compliance abgedeckten Frameworks abbilden: NIS-2, DORA, CRA, EU AI Act, DSGVO und ISO 27001:2022 (74 % Coverage, 93 Controls). Jedes Objekt folgt derselben Struktur – sechs operative Ebenen, die eine Anforderung von der Theorie zur Umsetzung führen.
Requirement beschreibt, was die Regulierung konkret fordert – mit Verweis auf den genauen Artikel. Gap-Check übersetzt das in eine Ja/Nein/Teilweise-Frage, mit der ein Unternehmen seinen eigenen Stand einschätzen kann. Remediation liefert die Schritt-für-Schritt-Anleitung zur Lücke, inklusive Aufwandsschätzung. Risk bewertet Eintrittswahrscheinlichkeit und Auswirkung, Control benennt die konkrete Maßnahme, und Evidence definiert, welcher Nachweis im Audit erwartet wird.
Das Prinzip dahinter heißt Collect Once, Comply Many: Ein einmal erfasstes Asset oder eine einmal dokumentierte Verarbeitung lässt sich gegen mehrere Frameworks gleichzeitig prüfen, weil die Cross-Referenzen im Datenmodell bereits enthalten sind. Ein Beispiel: Ein Verarbeitungsverzeichnis nach DSGVO Art. 30 deckt strukturell denselben Bedarf wie das Asset-Inventar nach NIS-2 Art. 21 §2a und das KI-Inventar nach EU AI Act Art. 12 – BAM Core enthält dafür ein eigenes Cross-Framework-Objekt, das diese Verbindung explizit macht.
Warum Open Source und nicht nur eine Demo
Eine Demo zeigt, dass etwas funktioniert. Ein offenes Datenmodell zeigt, wie es funktioniert – und das ist der Unterschied zwischen "vertrau uns" und "prüf es selbst". Wer BAM Core klont, sieht jede Risikobewertung, jede Remediation-Empfehlung und jede Cross-Referenz im Klartext. Das lässt sich lokal installieren, im eigenen Dashboard durchsuchen und sogar an ein lokales Sprachmodell anbinden, um Compliance-Fragen RAG-gestützt zu beantworten – ohne dass Daten das eigene Netz verlassen.
Was Open Source nicht bedeutet
BAM Core ist eine fundierte erste Fassung, kein für jeden Einzelfall geprüfter Auditstandard. Die Inhalte basieren auf über zwei Jahrzehnten Praxis in IT-Sicherheits- und Compliance-Audits, sollten aber vor dem produktiven Einsatz gegen die eigene Situation abgeglichen werden – genau dafür ist der Quellcode ja jetzt einsehbar.
Was als Nächstes kommt
BAM Core deckt aktuell sechs von acht Frameworks ab. ISO 42001 (KI-Managementsysteme) und der Cyber Solidarity Act sowie die vollständige ISO-27001-Abdeckung (100 % statt 74 %) sind als Erweiterungen vorgesehen – teils im Rahmen von BAM Enterprise, teils als offene Beiträge zum Core-Repository. Wer mitwirken möchte, findet die Hinweise dazu in der CONTRIBUTING.md des Repositories.
Für alle, die BAM Core nicht selbst betreiben, sondern eine vollständige, dedizierte Instanz mit allen acht Frameworks, kontinuierlichen Updates und Support wünschen, bleibt BAM Enterprise die naheliegende Option – als Fortsetzung desselben Modells, nicht als getrenntes Produkt.