Compliance as Code: Policy-as-Code für Cloud-Native KMU
TL;DR
- Compliance as Code: Policy-Definition als Versionierte YAML/Rego-Dateien
- Tools: Open Policy Agent, AWS Config, Azure Policy, Terraform Sentinel
- Vorteile: automatisierte Prüfung in CI/CD-Pipeline, Audit-Trail, Reproduzierbarkeit
- NIS2-Schnittstelle: § 30 BSIG-Maßnahmen als testbare Policies abbildbar
- DSGVO: Datenschutz-Folgenabschätzung in Code-Reviews integrierbar
Hauptartikel: Hauptartikel: Compliance Tool-Stack 2026 — der vollständige Pillar-Artikel zum Thema.
1. Was ist Compliance-as-Code?
Policies (Datenschutz, Sicherheit, Compliance) als Code dokumentiert + automatisch durchgesetzt. Versioniert + getestet wie Software.
2. Tools 2026
Open Policy Agent (OPA): General-Purpose. Terraform Sentinel: HashiCorp-Stack. AWS Config Rules: AWS-spezifisch. Azure Policy: Azure-Stack. Conftest: CI/CD-Tests.
3. Use Case: Cloud-Resourcen
OPA-Policy: 'Alle S3-Buckets müssen verschlüsselt sein + EU-Region'. Bei PR: automatischer Test. Bei Deployment: Block.
4. Use Case: Identity + Access
OPA-Policy: 'Production-Zugang nur via MFA + Bastion-Host + Approve-Workflow'. Automatische Durchsetzung.
5. Use Case: Datenschutz
Pre-Commit-Hook: scan Code für PII (Personally Identifiable Information). Block bei Funden.
6. KMU-Reifegrad
Anfänger: AWS Config Rules. Mittel: OPA + Terraform Sentinel. Fortgeschritten: Custom Policies + ML-basierte Drift-Erkennung.
Häufig gestellte Fragen
Lohnt sich für KMU?
Lernkurve?
Quellen
- BSI-Gesetz 2025 (BSIG, konsolidiert nach NIS2UmsuCG), §§ 30, 31, 32, 38 (Geschäftsleitungs-Pflichten), gesetze-im-internet.de/bsig_2025 (Stand: 02.05.2026)
- Verordnung (EU) 2016/679 (DSGVO), Art. 25 (Privacy by Design), Art. 32 (TOM), eur-lex.europa.eu (DSGVO)
- Open Policy Agent (OPA) Spezifikation, openpolicyagent.org
- NIST SP 800-53 Rev. 5 (Security & Privacy Controls), csrc.nist.gov