Security Architect, Hacker, Trainer

01. My Mission

Let security fully blend into development and team culture.

02. My Approach

Find simple solutions to complex problems, as only then they are powerful and can be applied.

03. My Philosophy

Share knowledge and tools, enabling customers, teams, and the community.

shape shape
Christian Schneider

About Me

Security Architect, Hacker, Trainer

I pursued a successful career as a freelance software developer since 1997 and expanded it in 2005 to include the focus on IT-Security. My major areas of work are penetration testing, security architecture consulting, and agile threat modeling.

As a trainer, I regularly conduct in-house and online training courses and enjoy coaching agile projects to include security as part of their process by applying DevSecOps concepts.

Eager to present security topics, I regularly speak and give open trainings on major national and international conferences.


Let's talk

Creator & Maintainer of Open-Source Projects

Threagile: Agile Threat Modeling Toolkit

I’ve created and actively maintain the open-source project and the growing community of Threagile plus offer various services around Threagile like individual trainings and custom risk-rule development.

Threagile enables teams to execute Agile Threat Modeling as seamless as possible, even highly-integrated into DevSecOps environments.

Threagile was released as the open-source toolkit for agile threat modeling at Black Hat Arsenal 2020 and DEF CON AppSec Village 2020 conferences. With this toolkit, which comes as a command-line interface (CLI) as well as a REST-server, a YAML model input file describing the architecture is processed in order to derive risks (using risk rules) and auto-generate a detailed data-flow diagram and various report formats (PDF, Excel, JSON).

For more details about Threagile see threagile.io, GitHub Repo, and DockerHub Repo.

Testimonials

What Customers Are Saying

Ein tolles Seminar. Inhalte und Methodik bitte unverändert lassen!

Training Attendee

Auf diesem Wege noch einmal Feedback zu den vergangenen drei Tagen: Die Schulung entsprach absolut meinen Vorstellungen. Die Themen die behandelt wurden sowie die Mischung zwischen praktischen und theoretischen Teilen waren absolut passend. Da merkt man deine jahrelange Erfahrung.

Training Attendee

Fachlich sehr fit, ist sehr gut auf Rückfragen eingegangen.

Training Attendee

Thank you very much for your training! It was very interesting and bit too short though for such a pile of knowledge :-) People of the team have learnt a lot and talk positively about it.

Training Attendee

Fachlich sehr gut — sehr gute Präsentation

Training Attendee

Insiderwissen aus dem Security-Pentesting Bereich wurde echt gut vermittelt. Fachlich in der Thematik sehr breit und top aufgestellt. Er ist speziell eingegangen auf die bei uns eingesetzten Technologien. Trainer ist fachlich, didaktisch und persönlich spitze. Geht gut auf Fragen ein. Guter Aufbau der Fortbildung.

Training Attendee

Sehr intensives Seminar, sehr gut und klar dargestellt!

Training Attendee

Hervorragende Beispiel-Anwendungen. Dozent kann sehr gut erklären.

Training Attendee

Sehr hohe Fachkompetenz! Didaktisch sehr gut. Interessant mit vielen praktischen Übungen. Ein vermeintlich “trockenes”, aber sehr wichtiges Thema, wurde sehr gut transportiert und weitervermittelt.

Training Attendee

Sehr interessant, sehr praxisnah, kurzweilig & auf alles eine Antwort ;)

Training Attendee

Die Teilnehmer waren von der Schulung begeistert, kaum eine Umfrage fällt so gut aus! Wir freuen uns, dass die Rückmeldungen so positiv ausgefallen sind und die Teilnehmer sich derart für das Thema begeistern konnten! Wir hoffen sehr, dass wir in Zukunft noch mal (und hoffentlich oft) die Gelegenheit haben werden zusammenzuarbeiten!

Training Company

Es wurde auf sehr viele Themen hingewiesen, die mir neu waren und für meine Arbeit wichtig sind.

Training Attendee

Vielen Dank nochmal für den sehr sehr guten Workshop heute. Ich wollte nochmal ein großes Lob zu deinen Vorträgen und deinem Workshop aussprechen, wirklich sehr gelungen! Man möchte einfach damit loslegen und es selbst ausprobieren. Einfach klasse!

Training Attendee

Die Fortbildung war absolut klasse. Ich habe mittlerweile fast 10 Jahre Berufserfahrung und in all den Jahren ist die Fortbildung eine der besten gewesen, die ich absolvieren konnte.

Training Attendee

Jeder Entwickler sollte die Schulung mal gehabt haben.

Training Attendee

Ich möchte mich nochmals für das spannende Training von letzter Woche bedanken. Die vermittelten Inhalte waren sehr gut aufbereitet und das Training ergab ein gut geschnürtes Paket.

Training Attendee

Dein Workshop bei uns hat Wirkung gezeigt: Viele Teilnehmer haben versucht, in ihren Projekten Schwachstellen zu finden, auch mit Erfolg.

Training Attendee

Vielen Dank noch einmal für das hervorragende Intensivtraining diese Woche.

Training Attendee

Erst noch einmal recht herzlichen Dank für die 3 sehr inspirierenden Tage. Deinen Vortrag empfand ich sowohl didaktisch als auch inhaltlich sehr, sehr gut. Die vielen Workshop-Übungen haben zudem viel zum besseren Grundverständnis der Theorie beigetragen.

Training Attendee

Writing & Researching

Published Articles

From time to time I write articles in IT-Security journals about topics like DevSecOps automation and vulnerability research. The most recent ones include:

  • Java Magazin
    • – Secure SDLC
    • – Java Deserialization Attacks
    • – Pentester's Toolbox
  • ObjektSpektrum
    • – DevSecOps Approaches
  • Heise iX
    • – Security Tests with Open-Source Tools
  • Entwickler Magazin
    • – Secure SDLC
    • – Java Deserialization Attacks
    • – Pentester's Toolbox
  • Security-Insider
    • – Building Security into Agile Projects

CVE

As part of my security research I have found and reported security vulnerabilities, leading to over 30 CVE (the highest rated one with CVSS score 10.0) and a bug bounty payout from Google for identifying a vulnerability inside the Google Chrome browser.

Keep up to date

Low-volume newsletter to announce new trainings, services & public conference talks (about six mails per year):