Erfahrung

Referenzen

Ich arbeite diskret. Deshalb zeige ich hier belastbare Aufgabenfelder und Erfahrungssignale statt vertraulicher Kundennamen.

Ausgewählte Praxisnachweise

Die folgenden Nachweise sind öffentlich überprüfbar. Vertrauliche Kundenprojekte, Systeme und Befunde bleiben geschützt.

Veröffentlichte TeamCity-CVEs

Diese Schwachstellen belegen nicht nur Toolkenntnis, sondern die vollständige Kette von Analyse und Reproduktion über Impact-Bewertung bis zur verantwortlichen Offenlegung.

Öffentliche Bug-Bounty-Nachweise

Diese öffentlichen Einträge zeigen praktische Erfahrung mit realen Anwendungen, reproduzierbaren Meldungen und koordinierter Offenlegung. Erfahrungen aus privaten Programmen fließen in meine Arbeit ein, werden aber weder als Kundenreferenz genannt noch mit vertraulichen Details veröffentlicht.

Technische Veröffentlichungen

Weitere technische Beiträge und CVE-Write-ups finden Sie im Blog. Open-Source-Projekte führe ich an dieser Stelle erst auf, wenn sie eindeutig zuordenbar und dauerhaft öffentlich prüfbar sind.

Beispiel für ein verwertbares Ergebnis

Die synthetische Beispiel-Management-Summary zeigt, wie ich Gesamtrisiko, technische Befunde und nächste Entscheidungen strukturiere. Sie enthält keine Kunden-, Kontakt- oder Produktivdaten.

Typische Aufgabenfelder

Sicherheitsanalysen für digitale Produkte

Ich prüfe Webanwendungen, APIs, mobile Anwendungen und Infrastruktur mit verständlicher Risikoeinordnung und priorisierten Empfehlungen für Geschäftsführung, IT-Leitung und Entwicklung.

Secure-Development-Reviews

Ich begleite Teams bei Architekturentscheidungen, Threat Modeling, Code-Reviews und der Integration sinnvoller Sicherheitsprüfungen in Entwicklungsprozesse.

Sicherheitsorientierte Workshops

Ich führe Workshops für Entwicklungsteams, Projektteams, Berater und Führungskräfte durch, die technische Risiken verständlich machen und konkrete Entscheidungen im Alltag verbessern.