<340 ns Pro Entscheidung
<600 ps Logische Op.
2.9M/sec Durchsatz
On-premise nativ Keine Cloud-Laufzeit

Technische Architekturnotiz — Version 1.0

Status Kontrolliertes oeffentliches Artefakt
Version 1.0
Veroeffentlichungsdatum 2026-02-17
Rechtsordnung Schweiz
Geltungsbereich Demonstrationsgrenze

Problemstellung

Konventionelle Autorisierungssysteme stuetzen sich auf probabilistische Inferenz, score-basierte Schwellenwerte oder heuristische Klassifizierung zur Erzeugung von Entscheidungen. Diese Ansaetze fuehren Ambiguitaet am Entscheidungspunkt ein und machen es strukturell unmoeglich, deterministische Ergebnisse unter adversarialen oder unvollstaendigen Bedingungen zu garantieren. Die in diesem Dokument beschriebene Architektur verfolgt einen Indeterminacy-first-Ansatz: Das System ist darauf ausgelegt, fuer jede Eingabe eine formal begrenzte Entscheidung zu erzeugen — einschliesslich eines expliziten Indeterminate-Zustands. Dies eliminiert die Fehlerklasse, die aus erzwungener binaerer Resolution entsteht, und stellt sicher, dass jede Entscheidung nachvollziehbar, wiederholbar und evidenzgebunden ist. Die Architektur leitet keine Absichten ab, prognostiziert keine Ergebnisse und interpoliert keine fehlende Evidenz. Sie evaluiert ausschliesslich das, was praesentiert wird, innerhalb formal deklarierter Grenzen.

Formale Invarianten

Die folgenden fuenf Invarianten sind architektonische Constraints, die auf jeder Schicht des Systems durchgesetzt werden. Sie sind nicht konfigurierbar, nicht optional und nicht durch Laufzeit-Overrides aenderbar.

1. Keine probabilistische Inferenz

  • Definition: Das System verwendet weder maschinelles Lernen, statistisches Scoring, Bayessche Inferenz noch irgendeine Form probabilistischer Schlussfolgerung in seinem Entscheidungspfad.
  • Garantie: Jede Entscheidung wird durch deterministische Evaluierung explizit deklarierter Richtlinienregeln gegen praesentierte Evidenz erzeugt.
  • Grenze: Externe Systeme, die Daten in die Plattform einspeisen, koennen probabilistische Methoden verwenden; diese Invariante gilt ausschliesslich fuer den Entscheidungsevaluierungspfad.

2. Evidenzgebundene Extraktion

  • Definition: Keine Entscheidung kann ohne einen vollstaendigen Evidenzdatensatz erzeugt werden. Das System erfindet, nimmt nicht an oder setzt keine fehlenden Evidenzfelder voraus.
  • Garantie: Jede Entscheidungsausgabe wird von einem kryptografisch verknuepften Evidenzsatz begleitet, der zum Zeitpunkt der Evaluierung vorhanden war.
  • Grenze: Die Evidenzvollstaendigkeit wird durch das Richtlinienschema definiert. Das System validiert nicht die Wahrhaftigkeit der Evidenz — nur deren strukturelle Praesenz und Formatkonformitaet.

3. Deterministische Wiederholbarkeit

  • Definition: Bei gleicher Richtlinienversion und gleichem Evidenzsatz muss das System bei jeder Ausfuehrung die identische Entscheidungsausgabe erzeugen.
  • Garantie: Die Wiederholung von Entscheidungen ist eine erstklassige Audit-Faehigkeit. Jede historische Entscheidung kann mit ihren urspruenglichen Eingaben erneut evaluiert werden, um die Konsistenz zu verifizieren.
  • Grenze: Die Wiederholbarkeit setzt unveraenderliche Richtlinienversionierung voraus. Wenn eine Richtlinienversion direkt mutiert wird (ein Verstoss gegen das operative Protokoll), gelten die Wiederholbarkeitsgarantien nicht.

4. Nicht-selbstausfuehrende Architektur

  • Definition: Das System erzeugt Entscheidungen, setzt sie jedoch nicht durch. Es hat keine Faehigkeit, Aktionen auszufuehren, externe Systeme zu modifizieren oder nachgelagerte Effekte autonom auszuloesen.
  • Garantie: Die Entscheidungsausgabe ist ein beratendes Artefakt. Die Durchsetzung wird stets an das aufrufende System delegiert, das die volle Kontrolle ueber die Aktionsausfuehrung behaelt.
  • Grenze: Integrationsmuster koennen Aktionen basierend auf der Entscheidungsausgabe automatisieren. Eine solche Automatisierung ist extern zur Architektur und ausserhalb des Geltungsbereichs dieser Invariante.

5. Grenze der menschlichen Uebersteuerung

  • Definition: Jede vom System erzeugte Entscheidung unterliegt menschlicher Pruefung und Uebersteuerung. Die Architektur enthaelt keinen Pfad, der die menschliche Autoritaet umgeht.
  • Garantie: Uebersteuerungsereignisse werden im selben Append-only-Ledger wie die urspruenglichen Entscheidungen aufgezeichnet, wobei die vollstaendige Audit-Kette einschliesslich der Identitaet und Begruendung der Uebersteuerung erhalten bleibt.
  • Grenze: Die Plattform stellt den Mechanismus fuer die Aufzeichnung von Uebersteuerungen bereit. Organisationsrichtlinien, die regeln, wann Uebersteuerungen zulaessig sind, liegen ausserhalb des Systemgeltungsbereichs.

Definition der deterministischen Garantie

Eine Entscheidung gilt als deterministisch, wenn und nur wenn alle folgenden Bedingungen erfuellt sind:

  • Die fuer die Evaluierung verwendete Richtlinienversion ist unveraenderlich und zum Zeitpunkt der Anfrage versionsfixiert.
  • Der Evidenzsatz ist gemaess dem Richtlinienschema vollstaendig, ohne abgeleitete oder voreingestellte Felder.
  • Die Evaluierungsfunktion enthaelt keine Seiteneffekte, keine externen Aufrufe und keine zufaelligen Eingaben.
  • Die Ausgabe ist einer von genau drei Zustaenden: ALLOW, DENY oder INDETERMINATE.
  • Das vollstaendige Eingabe-Ausgabe-Paar wird in einem Append-only-Ledger aufgezeichnet und steht fuer eine unabhaengige Replay-Verifikation zur Verfuegung.

Klausel zur Demonstrationsgrenze

Dieses Artefakt beschreibt die Architektur, wie sie in einer kontrollierten Demonstrationsumgebung implementiert ist. Es repraesentiert keine Produktionsbereitstellung, kein zertifiziertes System und keinen kommerziell betriebenen Dienst. Die Demonstrationsumgebung arbeitet mit synthetischen Daten, eingeschraenkten Lastbedingungen und begrenztem Mandantenumfang. Es werden keine Aussagen bezueglich Skalierbarkeit, Verfuegbarkeit oder regulatorischer Zertifizierung der beschriebenen Architektur gemacht. Organisationen, die dieses System fuer den operativen Einsatz evaluieren, muessen ihre eigene unabhaengige Bewertung der Zweckeignung durchfuehren.

Integritaetsfingerabdruck

Der SHA-256-Integritaetsfingerabdruck wird zusammen mit dem signierten PDF-Artefakt veroeffentlicht. Kontaktieren Sie das Engineering-Team, um die signierte Version unter NDA zu erhalten.

Team kontaktieren

Vollstaendiges Artefakt anfordern

Erhalten Sie die vollstaendige technische Architekturnotiz als portables Dokument unter NDA.

PDF anfordern