Secani
Secani
  • Unternehmen
  • Roadmap
Demo anfragen

Mit KI zusammenfassen

In ChatGPT öffnenIn Claude öffnenIn Perplexity öffnenIn Mistral öffnenIn Grok öffnen
SIBB Startups
Berlin
Kofinanziert von der Europäischen Union
Secani

Jonathan Bezdek

Wörther Straße 9

10435 Berlin


hello@secani.com

Produkt

  • Sicherheit
  • Roadmap
  • Dokumentation
  • OSCAL

Rechtliches

  • Datenschutzerklärung
  • AGB
  • Cookie-Einstellungen
  • Impressum

Unternehmen

  • Unternehmen
  • Kontakt
  • Blog

Support

  • Hilfe
    Blog

    OSCAL-Tools im Überblick

    Jonathan BezdekCTO
    8 Min. Lesezeit
    15. Juli 2026

    Mit KI erkunden

    In ChatGPT öffnenIn Claude öffnenIn Perplexity öffnenIn Mistral öffnenIn Grok öffnen

    Auf dieser Seite

    Ein junges Ökosystem mit klaren KategorienViewer: OSCAL-Dokumente lesbar machenValidatoren: früh prüfen statt spät scheiternBibliotheken und CLIs für eigene PipelinesPlattformen: OSCAL im TagesgeschäftWoran man ein gutes OSCAL-Tool erkennt

    Ein junges Ökosystem mit klaren Kategorien

    Wer zum ersten Mal nach OSCAL-Tools sucht, landet schnell bei langen Listen: das offizielle Verzeichnis der NIST, die Tool-Seite der OSCAL-Community und kuratierte Sammlungen wie awesome-oscal. Hilfreicher als jede Liste ist eine einfache Landkarte, denn fast jedes Werkzeug fällt in eine von vier Kategorien: anzeigen, validieren, programmatisch verarbeiten oder komplette Arbeitsabläufe abbilden.

    Dieser Überblick ordnet die bekanntesten Werkzeuge ein – offen dort, wo wir selbst Anbieter sind. Wer OSCAL noch nicht kennt, startet am besten mit unserer Einführung Was ist OSCAL?

    Viewer: OSCAL-Dokumente lesbar machen

    Die reifste Kategorie. Der OSCAL Viewer von Easy Dynamics ist der De-facto-Standard: Datei in den Browser ziehen, durch Katalog, SSP oder Assessment-Ergebnisse navigieren, fertig. Die Verarbeitung passiert vollständig im Browser, nichts wird hochgeladen. Daneben bietet die OSCAL-Community mit Dokumentations- und Registry-Angeboten wie OSCAL Hub zunehmend Wege, veröffentlichte Dokumente direkt im Viewer zu öffnen.

    • Stärke: sofort verständlich, keine Installation, keine Datenübertragung
    • Grenze: Viewer sind bewusst lesend – ändern lässt sich nichts
    • Einsatz: Reviews, Lieferantenprüfung, schnelles Verstehen fremder Dokumente

    Validatoren: früh prüfen statt spät scheitern

    Bevor ein OSCAL-Dokument in ein Zielsystem wandert, sollte es geprüft sein. Die NIST stellt mit oscal-cli ein Kommandozeilenwerkzeug bereit, das auf dem Metaschema-Framework basiert und neben der Schema-Prüfung auch Formatkonvertierung beherrscht.

    Für den schnellen Check ohne Installation haben wir den Secani OSCAL Validator gebaut: OSCAL-1.2-JSON direkt im Browser gegen die offiziellen NIST-Schemas prüfen, mit verständlichen Fehlermeldungen und ohne dass das Dokument den Rechner verlässt. Wichtig für die Einordnung: Schema-Validierung ist die Basis. Ob ein Dokument auch fachlich vollständig ist – etwa alle Pflichtangaben eines Programms wie FedRAMP erfüllt – ist eine eigene, strengere Prüfebene.

    • Schema-Prüfung: Ist das Dokument strukturell gültiges OSCAL?
    • Constraint-Prüfung: Erfüllt es zusätzliche Regeln eines Programms?
    • Faustregel: beides so früh wie möglich in den Arbeitsablauf ziehen

    Bibliotheken und CLIs für eigene Pipelines

    Wer OSCAL in CI/CD-Pipelines oder eigene Produkte integrieren will, greift zu Bibliotheken. IBM pflegt mit compliance-trestle ein Python-Framework, das Compliance-Artefakte wie Code behandelt und in Git-Workflows einbettet. Defense Unicorns entwickelt mit Lula ein Werkzeug, das Component Definitions nutzt, um Kontrollen etwa in Kubernetes-Umgebungen automatisiert zu prüfen. GovReady-Q verbindet Fragebögen mit OSCAL-Import und -Export.

    Für TypeScript-Teams entwickeln wir secani/oscal: eine offene Bibliothek zum Laden, Validieren und Transformieren von OSCAL-Dokumenten über alle acht Modelltypen hinweg – die gleiche Grundlage, auf der auch unser Validator und unsere Plattform laufen.

    Plattformen: OSCAL im Tagesgeschäft

    Am oberen Ende stehen Plattformen, die OSCAL nicht nur importieren, sondern Arbeit darin organisieren. Im US-Umfeld sind RegScale und Paramify sichtbar, beide stark auf FedRAMP-Pakete ausgerichtet. Viele klassische GRC-Suiten bieten dagegen bestenfalls einen Export – OSCAL ist dort Beilage, nicht Fundament.

    Die eigentliche Lücke liegt beim Autorieren

    Anzeigen und Validieren sind 2026 gut gelöst. Dünn wird es dort, wo Inhalte entstehen: SSPs schreiben, Profile pflegen, Nachweise verknüpfen, Freigaben dokumentieren. Genau an dieser Lücke arbeiten wir mit Secani – OSCAL-nativ statt OSCAL-Export.

    Woran man ein gutes OSCAL-Tool erkennt

    Unabhängig von der Kategorie haben sich für uns vier Prüffragen bewährt. Sie trennen Werkzeuge, die OSCAL ernst nehmen, von solchen, die es nur als Häkchen führen.

    • Bleiben alle Daten erhalten – auch Props, Namespaces und Erweiterungen – oder gehen Details beim Import verloren?
    • Übersteht ein Dokument den Rundweg aus Import und Export ohne stillen Datenverlust?
    • Werden aktuelle OSCAL-Versionen unterstützt und Versionswechsel sauber behandelt?
    • Ist nachvollziehbar, woher jede Änderung stammt – gerade wenn KI im Spiel ist?

    Das Ökosystem wächst in hohem Tempo, getrieben von FedRAMP in den USA und dem BSI in Deutschland. Ein guter Zeitpunkt, die eigenen Werkzeuge zu sortieren – und mit einem validierten Dokument anzufangen.

    Compliance-Workflows prüfbar aufbauen

    Secani verbindet Scopes, Nachweise, Aufgaben und KI-Agenten in einem gemeinsamen Arbeitskontext.

    Demo anfragen

    Weiterführende Beiträge

    Alle Beiträge
    OSCAL
    FedRAMP wird maschinenlesbar

    Mit RFC-0024 und den Consolidated Rules 2026 macht FedRAMP strukturierte Autorisierungsdaten zur Pflicht. Die Fristen sind gestaffelt – die Richtung ist eindeutig.

    Lesen
    OSCAL
    Was ist OSCAL?

    OSCAL macht aus Compliance-Dokumenten strukturierte Daten: acht Dokumentmodelle, drei Formate und ein Ökosystem, das gerade zum Standard für Regulierung wird.

    Lesen
    IT-Grundschutz
    IT-Grundschutz++ und OSCAL

    Mit der Stand-der-Technik-Bibliothek verlässt der IT-Grundschutz das PDF: IT-Grundschutz++ erscheint als OSCAL-Katalog – und verändert, wie ISMS-Arbeit organisiert wird.

    Lesen