Security vollständig in Entwicklung und Teamkultur integrieren.
Einfache Lösungen für komplexe Probleme suchen — ihre Stärke liegt in der leichten Anwendbarkeit.
Kunden, Teams und die Community durch Wissenstransfer und Tools stärken.
Ich bin Security Architect, Ethical Hacker und Trainer mit über 20 Jahren Erfahrung in Software Engineering und Cybersecurity. Von Köln aus unterstütze ich Unternehmen weltweit dabei, die Sicherheit ihrer Systeme zu verbessern.
Ein wachsender Schwerpunkt meiner Arbeit ist AI Security: die Absicherung von LLM-basierten Anwendungen, agentenbasierten KI-Systemen und GenAI-Integrationen.
Ich führe tiefgehende Penetrationstests von Anwendungen, APIs, Cloud-Umgebungen und Container-Plattformen durch — automatisiertes Scanning kombiniert mit intensiven manuellen Tests, um Schwachstellen zu finden, die Tools übersehen.
Für den vollständigen Security-Lifecycle unterstütze ich Organisationen zusätzlich bei der Integration von Security in ihre Entwicklungsprozesse durch DevSecOps-Coaching und Agile Threat Modeling — mit klaren, umsetzbaren Empfehlungen für Entwicklungsteams.
Durch mein Web Security Bootcamp und den Review & Reflect-Workshop habe ich zahlreiche Entwickler und Software Engineers trainiert, mit Hands-on-Übungen aus Angreifer- und Verteidigerperspektive.
Um die nächste Generation von Security-Profis zu unterstützen, halte ich jährlich eine Gastvorlesung zu Security Architecture und Threat Modeling im Studiengang Wirtschaftsinformatik an der Universität zu Köln, mit einer interaktiven Threat-Modeling-Übung.
Ich spreche regelmäßig auf nationalen und internationalen Konferenzen und schreibe über Security-Themen. Ich bin Mitglied bei OWASP, der Allianz für Cybersicherheit und dem Chaos Computer Club.
Mein Ziel ist einfach: Security verständlich, umsetzbar und wirksam machen.
Ein webbasiertes Tool zur Erstellung und Analyse von Attack Trees mit szenariogetriebenem Ansatz für Top-Down-Threat-Modeling.
AusprobierenEin Open-Source-Toolkit für agiles Threat Modeling, das Risikoberichte aus YAML-basierten Architekturdefinitionen erzeugt.
AusprobierenEine Echtzeit-Kollaborationsplattform, die ich für mehr Interaktivität in meinen Security-Trainings und Workshops entwickelt habe.
AusprobierenAls Speaker mit internationaler Konferenzerfahrung (Black Hat Arsenal USA, DEF CON AppSec Village USA, RSA Conference USA, Oracle JavaOne, Black Hat Arsenal Europe, Black Hat Arsenal Asia, DeepSec, BruCON, Troopers, OWASP AppSecEU, OWASP AppSec Days, DevOpsCon, JAX, Heise devSec, Heise Sec-IT, Heise Herbstcampus, RuhrSec, JCon, JavaLand, Internet Security Days, IT-Tage Frankfurt, OOP und andere) halte ich Vorträge, Keynotes und Trainings zu IT-Security-Themen.
Von Zeit zu Zeit schreibe ich Fachartikel über Themen wie Threat Modeling, DevSecOps-Automatisierung und Schwachstellenforschung. Die aktuellsten umfassen:
Im Rahmen meiner Security-Forschung habe ich zahlreiche Sicherheitslücken entdeckt und verantwortungsvoll offengelegt, was zu über 30 CVE-Zuweisungen führte (darunter eine Java-Schwachstelle mit einem CVSS-Score von 10) sowie einer Bug-Bounty-Auszahlung von Google für eine Schwachstelle in Google Chrome.
Meine Forschung zur WebSocket-Sicherheit hat eine vollständig neue Schwachstellenklasse entdeckt, Cross-Site WebSocket Hijacking (CSWSH). Diese Schwachstellenklasse hat später einen eigenen CWE-Eintrag erhalten: CWE-1385: Missing Origin Validation in WebSockets.
Gelegentliche Updates zu neuen Trainings, Services und Konferenzvorträgen