feat: add detailed documentation for Control Implementations and Controls in Kopexa

Author: juliankoehn

content/docs/platform/compliance/controls/control-implementations/index.mdx

@@ -0,0 +1,82 @@
+---
+title: Control Implementations
+description: Konkrete technische und organisatorische Maßnahmen (TOMs) zur Umsetzung von Controls in Kopexa
+---
+
+## Control Implementations: Der TOM-Ansatz für greifbare Compliance
+
+Während Controls das **„Was“** definieren, beschreiben **Control Implementations** das **„Wie“**.  
+Sie stellen die konkreten **technischen und organisatorischen Maßnahmen (TOMs)** dar, mit denen Unternehmen die Anforderungen von Frameworks wie ISO 27001, DSGVO, TISAX oder NIS 2 praktisch umsetzen.
+
+## Was sind Control Implementations?
+
+Eine **Control Implementation** dokumentiert, wie ein Control im Unternehmen realisiert wird.  
+Sie kann technisch, organisatorisch oder prozessual sein und ist damit der entscheidende Schritt von der Theorie in die Praxis.
+
+### Beispiele
+- **Control:** „Zutrittskontrollen müssen eingerichtet werden“  
+  **Implementation:** „Elektronische Schließanlage mit Chipkarten und Besucher-Logs“  
+
+- **Control:** „Datenübertragung muss verschlüsselt sein“  
+  **Implementation:** „TLS 1.3 für alle externen Verbindungen, enforced via Load Balancer Policy“  
+
+- **Control:** „Benutzerzugriffe werden regelmäßig überprüft“  
+  **Implementation:** „Quartalsweiser Access Review im Identity Management System“  
+
+## Wiederverwendbarkeit über mehrere Controls
+
+Eine Implementation kann mehrere Controls gleichzeitig abdecken:  
+- *„MFA via Entra ID“* erfüllt sowohl ISO 27001 A.9.4.2 als auch SOC 2 CC6.2 und TISAX 3.2.1.  
+- *„Zentrales Patch-Management“* erfüllt Anforderungen aus ISO 27001, NIS 2 und BSI IT-Grundschutz.  
+
+<Callout>
+In Kopexa kannst du eine Implementation einmal anlegen und mehreren Controls zuordnen.  
+Das spart Pflegeaufwand und sorgt für konsistente Nachweise.
+</Callout>
+
+## Implementations & Evidences
+
+<Mermaid
+    chart={`
+graph TD
+  A[Control<br/>„Was soll erreicht werden?“] --> B[Implementation<br/>„Wie setzen wir es um?“]
+  B --> C[Evidence<br/>„Womit belegen wir das?“]  
+`}
+ />
+
+- Control: Zielvorgabe auf Framework-Ebene
+- Implementation (TOM): Maßnahme zur praktischen Umsetzung
+- Evidence: Nachweis, dass die Maßnahme tatsächlich umgesetzt und wirksam ist
+
+Evidences können z. B. Wartungsverträge, System-Logs, Audit-Reports oder Fotos sein.
+
+## **Best Practices für Control Implementations**
+### **1. Titel auf Maßnahmen-Ebene halten**
+
+- ❌ Zu granular: „Azure AD mit MFA, Passwort-Policy 12 Zeichen, automatische Session Timeouts“
+- ✅ Prägnant: „Azure AD MFA & Identity Management“
+
+<Callout>
+    Details wie Passwortrichtlinien, Timeout-Werte oder Logs gehören in die **Description** oder **Evidences**.
+</Callout>
+
+### **2. Description für Details nutzen**
+
+- Hier beschreibst du den genauen Umsetzungsansatz.
+- Enthält technische Parameter, Abläufe, Verantwortlichkeiten.
+
+### **3. Evidences zur Nachweisführung nutzen**
+
+- Dokumentarische Evidenz: Policies, Prozessbeschreibungen
+- Technische Evidenz: Screenshots, Konfigurationsdateien, Logs
+- Testimoniale Evidenz: Interviews, Bestätigungen
+
+## **In Kopexa**
+
+- **Erstellen:** Implementations können direkt aus einem Control heraus oder unabhängig angelegt werden.
+- **Bearbeiten:** Änderungen wirken automatisch auf alle verknüpften Controls.
+- **Verknüpfen:** Eine Implementation kann mehreren Controls zugeordnet werden.
+- **Nachweise:** Evidences hängen an der Implementation und fließen automatisch in Audit-Reports ein.
+<Callout>
+Control Implementations machen Compliance in Kopexa greifbar: Sie zeigen, wie abstrakte Anforderungen durch konkrete TOMs umgesetzt und nachweisbar werden.
+</Callout>

content/docs/platform/compliance/controls/index.mdx

@@ -0,0 +1,156 @@
+---
+title: Controls
+description: "Controls als Kernbaustein: Von Framework-Anforderungen über Implementierungen bis hin zu Evidences"
+---
+
+## Controls: Der strukturierte Ansatz für nachweisbare Compliance
+
+Controls bilden das strategische Fundament jeder effektiven Compliance-Strategie. Anders als bei traditionellen GRC-Tools, die sich auf das reine Hochladen von Policy-Dokumenten beschränken, implementiert Kopexa einen systematischen Control-basierten Ansatz, der messbare Sicherheitsziele mit konkreten Umsetzungsmaßnahmen verknüpft.
+
+## Was sind Controls?
+
+Ein **Control** definiert ein spezifisches Sicherheits- oder Compliance-Ziel, das erreicht werden soll. Controls beschreiben nicht das "Wie", sondern das "Was" - sie geben vor, welcher Sicherheitsstandard erfüllt werden muss, ohne die konkrete Implementierung zu diktieren.
+
+
+### Beispiele für Controls:
+
+- **"Zugriffsrechte werden regelmäßig überprüft"**
+- **"Alle Systeme werden gegen Schadsoftware geschützt"**
+- **"Sensible Daten werden verschlüsselt übertragen"**
+- **"Backup-Verfahren werden monatlich getestet"**
+
+
+## Controls vs. traditionelle Policy-Uploads
+
+| Traditioneller Ansatz | Control-basierter Ansatz (Kopexa) |
+|----------------------|-----------------------------------|
+| Statische PDF/Word-Dokumente | Strukturierte, messbare Ziele |
+| Keine Verknüpfung zu Umsetzung | Direkte Verbindung zu Implementations |
+| Schwer auditierbar | Automatisiert prüfbar |
+| Framework-agnostisch | Multi-Framework-Mapping |
+| Einmalige Uploads | Kontinuierliche Überwachung |
+
+
+## Framework-Integration: Ein Control, mehrere Standards
+
+Ein Control in Kopexa kann mehrere Compliance-Frameworks gleichzeitig abdecken.  
+
+**Beispiel-Control:** *„Regelmäßige Überprüfung von Zugangsrechten“*  
+- ISO 27001: A.9.2.5  
+- SOC 2: CC6.2  
+- NIST CSF: PR.AC-4  
+- TISAX: 3.1.1  
+
+<Callout>
+So wird Doppelarbeit reduziert und ein einheitlicher Nachweis über mehrere Frameworks hinweg möglich.
+</Callout>
+
+## Die Control-Hierarchie in Kopexa
+
+<Mermaid
+    chart={`
+graph TD
+  A[Control<br/>„Was soll erreicht werden?“] --> B[Implementation<br/>„Wie setzen wir es um?“]
+  B --> C[Evidence<br/>„Womit belegen wir das?“]
+`}
+ />
+
+### 1. Control (Zielvorgabe)
+- **Definition**: Was soll erreicht werden?
+- **Beispiel**: "Alle Benutzerkonten müssen eindeutig identifizierbar sein"
+
+### 2. Implementation (Umsetzungsmaßnahme)  
+- **Definition**: Wie wird das Control umgesetzt?
+- **Beispiel**: "Active Directory-basierte Benutzerauthentifizierung mit eindeutigen Benutzernamen"
+
+### 3. Evidence (Nachweis)
+- **Definition**: Womit wird die Umsetzung belegt?
+- **Beispiel**: "Screenshot der AD-Benutzerverwaltung + Audit-Log der letzten Zugangsüberprüfung"
+
+
+### Audit-Perspektive
+
+Auditor:innen bewerten nicht nur Dokumente, sondern die Gesamtheit von Control → Implementation → Evidence.
+
+<Mermaid chart={`
+graph LR
+    A[Framework-Anforderung] --> B[Control-Mapping]
+    B --> C[Implementation-Status]
+    C --> D[Evidence-Sammlung]
+    D --> E[Audit-Report]
+`} />
+
+
+
+
+## Best Practices für Control-Management
+
+### 1. Granularität optimieren
+**Zu granular**: "Passwörter müssen mindestens 8 Zeichen haben"
+**Optimal**: "Authentifizierung erfolgt nach bewährten Sicherheitsstandards"
+
+### 2. Implementation-Flexibilität gewährleisten
+Controls sollten verschiedene Implementierungsansätze zulassen:
+
+**Control: "Sensible Daten werden gegen unbefugten Zugriff geschützt"**.  
+Mögliche Implementations:
+
+- Encryption-at-Rest via BitLocker
+- Database-Level-Encryption
+- Application-Level-Tokenisierung
+- Hardware Security Modules (HSM)
+
+
+### 3. Evidence-Anforderungen definieren
+Jeder Control sollte klare Kriterien für ausreichende Evidenz haben:
+
+- **Dokumentarische Evidenz**: Policies, Prozessbeschreibungen
+- **Technische Evidenz**: Screenshots, Konfigurationsdateien, Logs
+- **Testimoniale Evidenz**: Interviews, Bestätigungen
+
+
+## Integration in Ihr bestehendes GRC-Ecosystem
+
+Controls in Kopexa sind darauf ausgelegt, nahtlos in bestehende Compliance-Landschaften zu integrieren:
+
+### API-basierte Integration
+```
+
+// Beispiel: Control-Status via API abrufen
+const controlStatus = await kopexa.controls({
+    where: {
+        id: "AC-001",
+        framework: "ISO27001"
+    }
+});
+
+console.log(`Control ${controlStatus.name}: ${controlStatus.status}`);
+
+```
+
+
+### Reporting und Dashboards
+- **Executive Dashboards**: High-level Control-Compliance auf einen Blick
+- **Operational Views**: Detaillierte Implementation-Status für Teams
+- **Audit Reports**: Automatisch generierte Compliance-Nachweise
+
+## Warum der Control-basierte Ansatz überlegen ist
+
+### Traditionelle Policy-Uploads: Die Limitierungen
+- **Statischer Content**: Keine Verknüpfung zu aktuellen Implementierungen
+- **Audit-Ineffizienz**: Manuelle Prüfung jedes Dokuments erforderlich  
+- **Redundanzen**: Gleiche Inhalte in verschiedenen Framework-Dokumenten
+- **Versionsprobleme**: Inkonsistente Policy-Versionen across Frameworks
+
+
+### Kopexa's Control-Ansatz: Die Vorteile
+
+- **Dynamic Mapping**: Ein Control bedient multiple Frameworks
+- **Implementation-Tracking**: Direkte Verknüpfung zu Umsetzungsmaßnahmen
+- **Automated Evidence**: Continuous Compliance-Monitoring  
+- **Audit-Readiness**: Jederzeit prüfbare Compliance-Status
+
+
+<Callout>
+Kopexa transformiert Compliance von einem dokumentenlastigen, reaktiven Prozess zu einem strukturierten, kontinuierlich überwachten System.
+</Callout>