Security Architect, Hacker, Trainer

01. My Mission

Let security fully blend into development and team culture.

02. My Approach

Seek simple solutions for complex problems, for their power lies in easy application.

03. My Philosophy

Empower customers, teams, and the community by sharing knowledge and tools.

shape shape
Christian Schneider

About Me

Security Architect, Hacker, Trainer

I pursued a successful career as a freelance software developer since 1997 and expanded it in 2005 to include the focus on IT-Security. My major areas of work are penetration testing, security architecture consulting, and agile threat modeling.

As a trainer, I regularly conduct inhouse and online workshops and enjoy coaching agile projects to include security as part of their process by applying DevSecOps concepts.

Eager to present security topics, I regularly speak and give open trainings on major national and international conferences.


Let's talk

Creator & Maintainer of Open-Source Projects

Threagile: Agile Threat Modeling Toolkit

I’ve created and actively maintain the open-source project and the growing community of Threagile plus offer various services around Threagile like individual trainings and custom risk-rule development.

Threagile enables teams to execute Agile Threat Modeling as seamless as possible, even highly-integrated into DevSecOps environments.

Threagile is the open-source toolkit which allows to model an architecture with its assets in an agile declarative fashion as a YAML file directly inside the IDE or any YAML editor. Upon execution of the Threagile toolkit a set of risk-rules execute security checks against the architecture model and create a report with potential risks and mitigation advice. Nice-looking data-flow diagrams are automatically created, as well as other output formats (Excel and JSON).

The risk tracking can also happen inside the Threagile YAML model file, so that the current state of risk mitigation is reported as well. Threagile can either be run via the command-line (also a Docker container is available) or started as a REST-Server.

Threagile was released as the open-source toolkit for agile threat modeling at Black Hat Arsenal 2020 and DEF CON 2020 AppSec Village conferences.

For more details about Threagile see threagile.io, GitHub Repo, and DockerHub Repo.

Video and slides of my talk at DEF CON 2020 AppSec Village about Threagile as well an introduction video with demos:

Testimonials

What Customers Are Saying

Ein tolles Seminar. Inhalte und Methodik bitte unverändert lassen!

Training Attendee

Fachlich sehr fit, ist sehr gut auf Rückfragen eingegangen.

Workshop Attendee

Thank you very much for your training! It was very interesting and bit too short though for such a pile of knowledge :-) People of the team have learnt a lot and talk positively about it.

Training Attendee

Von meiner Seite nochmals vielen Dank für die Durchführung des Trainings. Die Rückmeldungen der Teilnehmenden war in allen Belangen positiv und auch immer mit dem Vermerk, dass das Training zu unserem Unternehmen passt.

Training Organizer

Fachlich sehr gut — sehr gute Präsentation

Training Attendee

Auf diesem Wege noch einmal Feedback zu den vergangenen drei Tagen: Die Schulung entsprach absolut meinen Vorstellungen. Die Themen die behandelt wurden sowie die Mischung zwischen praktischen und theoretischen Teilen waren absolut passend. Da merkt man deine jahrelange Erfahrung.

Training Attendee

Time well spent! Thanks a lot, I thoroughly enjoyed the training and depth of content.

Training Attendee

Ich fand die Schulung insgesamt sehr informativ und hilfreich. Die Erklärungen waren klar und gut strukturiert. Es wurden wichtige Sicherheitskonzepte abgedeckt und es gab ausreichende Beispiele, um Konzepte zu veranschaulichen. Ich konnte vieles mitnehmen. Vielen Dank für die Schulung :)

Training Attendee

Sehr intensives Seminar, sehr gut und klar dargestellt!

Training Attendee

Insiderwissen aus dem Security-Pentesting Bereich wurde echt gut vermittelt. Fachlich in der Thematik sehr breit und top aufgestellt. Er ist speziell eingegangen auf die bei uns eingesetzten Technologien. Trainer ist fachlich, didaktisch und persönlich spitze. Geht gut auf Fragen ein. Guter Aufbau der Fortbildung.

Training Attendee

Hervorragende Beispiel-Anwendungen. Dozent kann sehr gut erklären.

Training Attendee

Sehr hohe Fachkompetenz! Didaktisch sehr gut. Interessant mit vielen praktischen Übungen. Ein vermeintlich “trockenes”, aber sehr wichtiges Thema, wurde sehr gut transportiert und weitervermittelt.

Training Attendee

Sehr interessant, sehr praxisnah, kurzweilig & auf alles eine Antwort ;)

Training Attendee

Thank you Christian! Superb content and explanations, I learned a lot.

Workshop Attendee

Die Teilnehmer waren von der Schulung begeistert, kaum eine Umfrage fällt so gut aus! Wir freuen uns, dass die Rückmeldungen so positiv ausgefallen sind und die Teilnehmer sich derart für das Thema begeistern konnten! Wir hoffen sehr, dass wir in Zukunft noch mal (und hoffentlich oft) die Gelegenheit haben werden zusammenzuarbeiten!

Training Company

Sehr praxisnah, instruktiv, und didaktisch hervorragend aufbereitet! Hat irre Spaß gemacht!

Workshop Attendee

Es wurde auf sehr viele Themen hingewiesen, die mir neu waren und für meine Arbeit wichtig sind.

Workshop Attendee

Thank you so much Christian, very informative, substantial and useful.

Workshop Attendee

Die Fortbildung war absolut klasse. Ich habe mittlerweile über 10 Jahre Berufserfahrung und in all den Jahren ist die Fortbildung eine der besten gewesen, die ich absolvieren konnte.

Training Attendee

Vielen Dank nochmal für den sehr sehr guten Workshop heute. Ich wollte nochmal ein großes Lob zu deinen Vorträgen und deinem Workshop aussprechen, wirklich sehr gelungen! Man möchte einfach damit loslegen und es selbst ausprobieren. Einfach klasse!

Workshop Attendee

Jeder Entwickler sollte die Schulung mal gehabt haben.

Training Attendee

Ich habe letzte Woche bei dem Web-Security Training teilgenommen. Das war wieder mal super. Du machst das so anschaulich und in Kombination mit Deinen Erfahrungsberichten ist das wie ein Life-Krimi. Das Training hat echt spaß gemacht und wieder mal Lust darauf, mehr über das Thema zu wissen.

Training Attendee

Spannende und inspirierende Veranstaltung mit einem Referenten, der sein Wissensgebiet vollumfänglich beherrscht.

Workshop Attendee

Thanks a lot, it was a very interesting and entertaining training!!! 🙌

Training Attendee

Really amazing and brilliant course. Happy to have chosen your training. Thanks for all the preparations and for accommodating lots of questions after the time ;).

Training Attendee

Ich möchte mich nochmals für das spannende Training von letzter Woche bedanken. Die vermittelten Inhalte waren sehr gut aufbereitet und das Training ergab ein gut geschnürtes Paket.

Training Attendee

Dein Workshop bei uns hat Wirkung gezeigt: Viele Teilnehmer haben versucht, in ihren Projekten Schwachstellen zu finden, auch mit Erfolg.

Workshop Organizer

Vielen Dank noch einmal für das hervorragende Intensivtraining diese Woche.

Training Attendee

Vielen Dank Christian! Obwohl ich kein Dev bin, konnte ich fast alles nachvollziehen und habe einiges gelernt. Absolut empfehlenswert!

Training Attendee

I enjoyed and can highly recommend this training. Christian is an awesome educator and teacher.

Training Attendee

Erst noch einmal recht herzlichen Dank für die 3 sehr inspirierenden Tage. Deinen Vortrag empfand ich sowohl didaktisch als auch inhaltlich sehr, sehr gut. Die vielen Workshop-Übungen haben zudem viel zum besseren Grundverständnis der Theorie beigetragen.

Workshop Attendee

Mega guter Workshop! DANKESCHÖN

Workshop Attendee

Vielen herzlichen Dank. Super vorgetragen und sehr sehr viele wichtige Informationen! Ich hab einiges neues gelernt…

Workshop Attendee

Thanks a lot! Also for the brilliant explanations and well-presented practical examples!

Training Attendee

Upcoming Conference Talks & Trainings

Setting The Stage

As a speaker with international conference experience (Black Hat Arsenal USA, DEF CON AppSec Village USA, RSA Conference USA, Oracle JavaOne, Black Hat Arsenal Europe, Black Hat Arsenal Asia, DeepSec, BruCON, OWASP AppSecEU, OWASP AppSec Days, DevOpsCon Berlin/Munich/London/Singapore, JAX, Heise DevSec, Heise Sec-IT, Heise Herbstcampus, RuhrSec, JCon, JavaLand, Internet Security Days, IT-Tage Frankfurt, OOP, and others) I’m definitely enjoying to speak and train about IT-Security topics.

Writing & Researching

Published Articles

From time to time I write articles in IT-Security journals about topics like DevSecOps automation and vulnerability research. The most recent ones include:

  • Java Magazin
    • – Secure SDLC
    • – Java Deserialization Attacks
    • – Pentester's Toolbox
  • ObjektSpektrum
    • – DevSecOps Approaches
  • Heise iX
    • – Security Tests with Open-Source Tools
  • Entwickler Magazin
    • – Secure SDLC
    • – Java Deserialization Attacks
    • – Pentester's Toolbox
  • Security-Insider
    • – Building Security into Agile Projects

CVE

As part of my security research I have found and reported security vulnerabilities, leading to over 30 CVE (the highest rated one with CVSS score 10.0) and a bug bounty payout from Google for identifying a vulnerability inside the Google Chrome browser.

Keep up to date

Low-volume newsletter to announce new trainings, services, and conference talks (about six mails per year)