Transparent. Technisch. Nachprüfbar.

MCSA nimmt FtaDSL-Textdateien entgegen (max. 10 MB) und berechnet daraus Fehlerbäume und Minimal-Cut-Sets. Der gesamte Verarbeitungsweg läuft im Arbeitsspeicher des Servers — zu keinem Zeitpunkt wird Deine Eingabe persistent auf der Disk gespeichert.

1. 1. Browser sendet den Upload per HTTPS an `mcsa.appliedfusa.de`.
2. 2. Nginx puffert den Request im RAM (12 MB Buffer, kein Disk-Spill).
3. 3. FastAPI schreibt die Datei in ein temporäres Verzeichnis — dieses liegt in einer Container-tmpfs (RAM-Disk, 512 MB).
4. 4. Das native C++17-Binary `mcsa` parst und analysiert die Architektur.
5. 5. Das Ergebnis-ZIP wird in-memory gebaut und direkt an Deinen Browser gestreamt.
6. 6. Das Temp-Verzeichnis liegt auf tmpfs (RAM). Nach Abschluss der Response wird es im Regelfall durch einen `finally`-Block aktiv aufgeräumt; bei hartem Container-Abbruch (z.B. OOM-Kill) wirft der Kernel den tmpfs-Inhalt mit Container-Ende ohnehin weg — kein Disk-Spill möglich.

Persistenz

Keine. Die Audit-Datenbank speichert ausschließlich Metadaten: Deine Login-Email, die Client-IP und einen Zeitstempel. Weder Dateinamen noch Inhalte noch Analyse-Ergebnisse verlassen den RAM in Richtung Disk.

Retention

IP + Timestamp werden nach spätestens 7 Tagen automatisch aus der Datenbank gelöscht (stündlicher Cleanup-Job). Dieselbe Frist gilt für abgelaufene Magic-Link-Tokens.

KI-Einsatz

Keiner. Alle Berechnungen laufen im nativen C++-Binary auf unserem Server. Keine externen Modelle, keine LLM-APIs, keine Drittanbieter-Analyse.

Ein strukturiertes Interview führt durch die zentralen ISO-26262-Anforderungen. Die aktuelle Beta läuft vollständig im Browser — Deine Eingaben verlassen Dein Gerät nicht. Der Markdown-Export landet direkt als Datei-Download bei Dir.

Heute (Beta)

Vanilla-HTML/CSS/JS-Wizard im Browser. Keine Server-Requests, keine Speicherung, keine Cookies, keine Analytics. Beim Schließen des Tabs ist der Zustand weg.

Datenfluss heute

Deine Eingaben bleiben im Browser-Speicher (RAM). Der Markdown-Report wird client-seitig zusammengesetzt und als Blob direkt heruntergeladen — niemals zu uns.

KI-Einsatz heute

Keiner. Die Markdown-Struktur wird deterministisch aus Deinen Eingaben erzeugt.

Geplant (Vollversion)

Natives Binary auf unserem VPS, architektonisch auf dem gleichen Muster wie MCSA. Persistierbare Projekte, mehrsprachige Exports, Integration von MCSA-Analyse-Outputs (Cut-Sets, KPIs) als Evidence-Referenzen.

Struktur (Vollversion)

Folgt Goal Structuring Notation (GSN). Template-Bibliothek pro Standard (ISO 26262, IEC 61508, IEC 62304).

Optional später

Eine optionale Text-Aufbereitungs-Funktion (z.B. Stil-Glättung) könnte in einer späteren Version einen LLM-Dienst nutzen. Dann strikt opt-in pro Request und niemals für sicherheitsrelevante Argumentation.

csa26 wird als GitHub Action verteilt und läuft auf dem CI-Runner Deines GitHub-Repos. Dein Quellcode verlässt Dein Repository nicht — die Analyse passiert in einem Container, den GitHub bei jedem Push in Deinem Account startet. Applied FuSa hat keinen Zugriff auf Deinen Code, keine Telemetrie zu Deinen Findings, keine Logs Deiner Builds.

Stack-Eigenständigkeit

Komplett eigenständig. csa26 enthält keinen Drittanbieter-Static-Analyser. Lexer, Preprocessor, Parser, Symbol- und Type-System sowie die Rule-Engine sind Apache-2.0-IP der Applied FuSa und vollständig im offenen Repo nachvollziehbar.

Sub-Prozessoren

GitHub (Microsoft) — stellt den CI-Runner und das Container-Registry-Hosting für das csa26-Action-Image. Datenverarbeitung nach den Bedingungen Deines GitHub-Vertrags. Keine weiteren Sub-Prozessoren.

Datenspeicherung

Applied FuSa speichert keine Daten über csa26-Läufe. Was an Daten entsteht (Findings, SARIF-Reports, Annotations), bleibt vollständig in Deinem GitHub-Repo unter Deiner Kontrolle.

Pre-Audit-Hinweis

csa26 ist ein Pre-Audit-Werkzeug und ersetzt keine offizielle Compliance-Bewertung gegenüber MISRA-C:2012. Es liefert Hinweise auf mögliche Regelverletzungen; der formale Compliance-Nachweis bleibt Aufgabe Deines Safety-Managers.

Regel-Subset

csa26 v1 prüft ein bewusst gewähltes Subset von 20 FuSa-priorisierten MISRA-C:2012-Regeln (siehe README im Repo). Eine vollständige MISRA-Compliance-Prüfung war nie versprochen und ist auch von keinem Tool dieser Klasse leistbar.

KI-Einsatz

Keiner. Lexer, Parser und Rule-Engine arbeiten deterministisch.

Der riskforge-Chatbot ist die erste Plattform-Säule, die LLM-gestützt arbeitet. Ein Claude-Sonnet-4.6-Modell führt ein strukturiertes Interview, das Schritt für Schritt eine FtaDSL-Datei aufbaut (Roh-Architektur → +OIM/TLE → +IOM/S/O/D). Wichtige Trennung: das LLM ist Interview-Führer und Notations-Übersetzer — die eigentliche FTA/FMEA-Analyse-Substanz machen anschließend die deterministischen Engines mcsa und fmea. Diese Trennung ist Architektur-Entscheidung für Audit-Tauglichkeit.

Was zu Anthropic gesendet wird

Vollständiger System-Prompt (ca. 1500 Tokens Methodik-Kontext, FtaDSL-Syntax-Referenz, Phase-Workflow); kompletter Verlauf der laufenden Conversation (alle User- und Bot-Nachrichten); aktueller DSL-Stand als Codeblock in Bot-Antworten; Validator-Output von mcsa --dump-arch als Tag ([VALIDATOR-OK] oder [VALIDATOR-ERROR: …]) im jeweils nächsten User-Turn.

Was nicht zu Anthropic geht

User-Email-Adresse, IP-Adresse, Cookie-Werte, Quota-Counter, Logout-Events. Anthropic sieht nur den anonymen Conversation-Stream.

Sub-Prozessoren (Art. 28 DSGVO)

Anthropic PBC (USA) — LLM-Provider, Auftragsverarbeitung per DPA · Hetzner Online GmbH (Falkenstein, DE) — VPS-Hosting für den Chatbot-Stack · Resend (USA) — Magic-Link-Mailversand, DPA · Let's Encrypt / ISRG — TLS-Zertifikate. AVVs/DPAs werden vor Beta-Öffnung gegengezeichnet bzw. liegen für Bestands-Sub-Prozessoren (Hetzner) bereits vor.

Drittlandtransfer (Kapitel V DSGVO)

Anthropic (USA) und Resend (USA) verarbeiten Daten außerhalb der EU. Rechtsgrundlage: EU-Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO (2021/914). Wir führen ein Transfer Impact Assessment (TIA) gemäß EDPB-Empfehlung 01/2020 und ergänzen Schutzmaßnahmen: TLS-Verschlüsselung in transit, kein Persistieren von Architektur-Daten bei Anthropic über Abuse-Log-Frist hinaus, Anthropic-Training-Opt-out by default.

Inference-Region (Beta)

API-Routing erfolgt mit inference_geo: "global". Anthropic routet typisch nach us-east-1, us-west-2 oder eu-west (Ireland). Keine garantierte EU-Region in der Beta. Für den kommerziellen Launch (Phase 3) ist die Migration auf AWS Bedrock eu-central-1 (Frankfurt) eingeplant; die Provider-Abstraktion im Chatbot-Backend ist darauf vorbereitet.

Datenspeicherung bei Anthropic

Anthropic speichert API-Inputs/-Outputs standardmäßig bis zu 30 Tage zur Missbrauchserkennung (siehe Anthropic Retention-Policy). Modell-Training auf User-Daten ist auf unserem Anthropic-Konto deaktiviert (opt-out by default).

Datenspeicherung bei Applied FuSa

Email-Adressen werden mit Datum, Login-Verlauf und optionaler Use-Case-Notiz in einer SQLite-Datenbank persistiert (Beta-Marketing-Liste, Lösch-Anfrage per Email). Die Conversation-History bleibt im Browser-State; der Chatbot-Server ist stateless. Magic-Link-Tokens sind nach 15 Minuten ungültig. Die generierte DSL kann der User als .txt lokal herunterladen — der Server speichert sie nicht.

Modell und Caching

Default-Modell ist Claude Sonnet 4.6, switchbar per Konfiguration. Prompt-Caching ist aktiviert für System-Prompt und Methodik-Kontext — drückt API-Kosten und Latenz ab dem zweiten Turn jeder Conversation.

KI-Einsatz und Audit-Trennung

Das LLM erzeugt nur die DSL-Datei (Notations-Übersetzung). Die FTA-Berechnung (mcsa) und die FMEA-Ableitung (fmea) sind deterministische, audit-fähige Engines ohne LLM. Wer die Methodik prüfen will, prüft die Engines, nicht das Modell.

Status

Live seit Mai 2026 (Phase-2-Beta). Quota-Limits aktiv, Vollzugriff-Allowlist für gelistete Email-Adressen. Beobachtungsphase läuft.