Zum Hauptinhalt springen
News & Insights

Das Update für
Digital Health.

Technologische Tiefe, regulatorische Updates und Einblicke in die Zukunft der Gesundheitsidentitäten.

4 Min. Lesezeit

Compliance-Analyse ohne Code-Upload: Warum azuma nori euren Quellcode nie sieht

azuma Team
Core Team

Der Quellcode ist bei den meisten Digital-Health-Unternehmen das wertvollste Asset – und zugleich das sensibelste. Genau deshalb ist es ein Problem, dass viele Compliance- und Code-Analyse-Werkzeuge verlangen, den Code in eine fremde Cloud hochzuladen, um ihn dort zu analysieren. Man tauscht Compliance gegen Kontrollverlust über die eigene IP.

azuma nori geht den umgekehrten Weg: Die Analyse läuft lokal auf der Maschine der Entwickler, der Quellcode verlässt das Gerät nicht. Dieser Artikel erklärt, warum das architektonisch und rechtlich einen echten Unterschied macht.

Das Dilemma cloudbasierter Code-Analyse

Werkzeuge, die Code auf Sicherheits- oder Compliance-Eigenschaften prüfen, brauchen Zugriff auf den Code. Der bequeme Weg für Anbieter ist, den Code hochzuladen und serverseitig zu analysieren. Für den Kunden entstehen daraus mehrere Probleme auf einmal:

  • IP-Abfluss: Der gesamte Quellcode – das Kernasset des Unternehmens – liegt bei einem Dritten. Selbst bei sorgfältigen Anbietern bleibt ein Restrisiko, und jeder weitere Ort, an dem der Code liegt, vergrößert die Angriffsfläche.
  • Datenschutz und Geheimnisse: Codebasen enthalten oft mehr als Logik – Konfigurationen, Kommentare, gelegentlich versehentlich eingecheckte Secrets. Ein Upload macht all das zum Übertragungs- und Speicherproblem.
  • Vertragliche und regulatorische Hürden: Gerade im Gesundheitswesen bestehen strenge Anforderungen an Auftragsverarbeitung, Datenlokalität und Vertraulichkeit. Ein Code-Upload in eine externe Cloud kann Freigabeprozesse auslösen oder schlicht vertraglich ausgeschlossen sein.

Das Ergebnis: Ausgerechnet die Teams mit den höchsten Sicherheits- und Compliance-Anforderungen – also Digital-Health-Unternehmen – können cloudbasierte Analyse-Tools am schwersten einsetzen.

Der Ansatz von azuma nori: lokal statt Cloud

nori ist als Standalone-Client konzipiert, der lokal auf der Entwickler-Maschine läuft. Die Compliance-Analyse findet dort statt, wo der Code ohnehin liegt. Es gibt keinen Code-Upload an azuma; der Quellcode verlässt das Gerät nicht.

azuma nori: lokale Compliance-Analyse ohne Code-Upload in die Cloud

Damit dreht sich das Kontrollverhältnis um: Der Kunde behält die volle Kontrolle über seine IP. Es entsteht kein neuer Ort, an dem der Code gespeichert wird, keine zusätzliche Übertragungsstrecke, kein externer Verarbeiter, der Zugriff auf das Kernasset hat.

Für Digital-Health-Unternehmen hat das mehrere praktische Konsequenzen:

  • IP-Schutz by Design: Der wertvollste Vermögenswert bleibt im Haus. Das ist keine vertragliche Zusicherung, die man einem Anbieter glauben muss, sondern eine Eigenschaft der Architektur.
  • Einfachere Freigaben: Wenn kein Code das Unternehmen verlässt, entfallen viele der Datenschutz- und Auftragsverarbeitungsfragen, die ein Cloud-Upload aufwirft. Das verkürzt interne Freigabeprozesse erheblich.
  • Passt zur eigenen Compliance-Story: Wer ohnehin unter BSI TR-03161, DSGVO und – je nach Produkt – dem CRA arbeitet, kann schlecht ein Compliance-Werkzeug einsetzen, das selbst ein Datenschutz- und Vertraulichkeitsrisiko schafft. Ein lokales Tool ist hier konsistent statt widersprüchlich.

Nach unserem Kenntnisstand ist dieser konsequent lokale Ansatz – Compliance-Analyse ohne jeden Code-Upload – im Markt für Digital-Health-Compliance-Tooling nicht selbstverständlich, sondern eher die Ausnahme.

„Volle Kontrolle" – was das konkret heißt

Der Satz „der Kunde behält die volle Kontrolle" ist leicht gesagt. Bei nori ist er architektonisch verankert:

  • Der Code wird nicht an azuma übertragen.
  • Die Analyse läuft auf der Maschine des Kunden, nicht auf Servern des Anbieters.
  • Es entsteht keine externe Kopie der Codebasis als Nebenprodukt der Analyse.

Das bedeutet nicht, dass Sicherheit damit erledigt ist – die Verantwortung für die eigene Umgebung bleibt beim Kunden. Aber es eliminiert eine ganze Kategorie von Risiken, die bei cloudbasierten Werkzeugen strukturell nie ganz verschwindet.

Häufige Fragen

Wird mein Quellcode an azuma übertragen?

Nein. nori läuft lokal auf der Entwickler-Maschine. Der Quellcode verlässt das Gerät nicht und wird nicht an azuma übertragen.

Wie kann nori dann meinen Code prüfen?

Die Analyse findet lokal statt – dort, wo der Code ohnehin liegt. Es ist kein Upload nötig, damit die Prüfung gegen die Anforderungen einer Richtlinie laufen kann.

Reduziert das meinen eigenen Datenschutz- und Freigabeaufwand?

In der Regel ja. Wenn kein Code das Unternehmen verlässt, entfallen viele der Auftragsverarbeitungs- und Datenlokalitätsfragen, die ein Cloud-Upload aufwerfen würde. Die rechtliche Bewertung im Einzelfall bleibt aber eure eigene.

Ist der lokale Ansatz weniger leistungsfähig als eine Cloud-Lösung?

Der lokale Betrieb betrifft, wo die Analyse läuft – nicht, was geprüft wird. nori deckt mehrere Regularien ab (u.a. BSI TR-03161, BSI TR-02102, EU CRA in Beta); mehr dazu im Artikel „Wie nori zwischen Regulatorik und Entwicklung übersetzt" (erscheint in Kürze).


Wollt ihr Compliance prüfen, ohne euren Code aus der Hand zu geben? Registriert euch für die kostenlose Testversion (drei ausgewählte Controls inklusive) oder nehmt Kontakt auf.

Stand: Juli 2026. Angaben zu Architektur und Funktionsumfang von azuma nori bitte vor einer Kaufentscheidung auf der Produktseite gegenprüfen.