Profil
Über mich
Ich verbinde Offensive Security mit langjähriger Softwareentwicklung, damit aus technischen Findings realistische und umsetzbare Entscheidungen werden.
Ich bin Diplom-Informatiker und arbeite als freiberuflicher IT-Security Consultant für offensive IT-Security. Ich unterstütze Geschäftsführung, IT-Verantwortliche, Beratungen und Entwicklungsteams dabei, reale Angriffswege zu verstehen und Sicherheitsmaßnahmen sinnvoll zu priorisieren.
Was meine Erfahrung für Ihr Projekt bedeutet
- Langjährige Softwareentwicklung: Empfehlungen berücksichtigen Architektur, Code, Release-Druck und die tatsächliche Umsetzbarkeit im Team.
- Offensive Security und eigene Schwachstellenforschung: Ich bewerte nicht nur Checklistenpunkte, sondern realistische Angriffsketten, Voraussetzungen und geschäftliche Auswirkungen.
- Erfahrung aus dem militärischen Umfeld: Strukturierte Freigaben, klare Kommunikation und ein verantwortungsvoller Umgang mit sensiblen Rahmenbedingungen sind mir vertraut. Meine 2025 abgeschlossene Sicherheitsüberprüfung Ü3 (SÜ3) kann relevant sein, wenn ein konkreter Einsatz dies voraussetzt.
- Bachelor of Laws (LL.B.): Der juristische Hintergrund hilft mir, technische Befunde im Kontext von Freigaben, Datenschutz, Governance und vertraglichen Rahmenbedingungen einzuordnen. Eine Rechtsberatung ist damit nicht verbunden.
- Fachzertifizierungen: Sie belegen technische Tiefe und kontinuierliche Weiterbildung. Entscheidend bleibt jedoch die projektspezifische Analyse.
Erfahrung und Qualifikation
Mein Ziel ist es, Unternehmen und Organisationen nicht nur durch Tests abzusichern, sondern sie nachhaltig zu befähigen, Security fest in Entwicklungs-, Betriebs- und Unternehmensprozesse zu integrieren.
Meine drei fachlichen Schwerpunkte:
- Penetrationstests und Sicherheitsanalysen für Web, API, Mobile und Infrastruktur
- Secure Development mit Threat Modeling, fokussierten Code-Reviews und Security-Gates
- Developer-Security-Trainings und technische Workshops
Ergänzend bringe ich Erfahrung in Vulnerability Disclosure, Bug-Bounty-Prozessen, Reverse Engineering und forensischen Analysen ein, wenn sie für das Vorhaben relevant ist.
Praxisnachweise vor Zertifikaten
Fünf veröffentlichte Schwachstellen in JetBrains TeamCity dokumentieren Erfahrung von der Tiefenanalyse bis zur verantwortlichen Offenlegung. Dazu gehören Path Traversal, beliebiger Datei-Write, gespeichertes Cross-Site Scripting und die Offenlegung sensibler Backup-Inhalte. Die CVE-Write-ups und ausgewählten Fachbeiträge sind öffentlich einsehbar.
Eine synthetische Beispiel-Management-Summary zeigt außerdem, wie ich technische Befunde in Entscheidungsbedarf und konkrete Maßnahmen übersetze. Die wichtigsten Zertifizierungen folgen bewusst erst danach; weitere Nachweise bleiben aufklappbar.
Werte & Arbeitsweise
- verantwortungsbewusst: keine Tests ohne Permission
- präzise und realistisch: Fokus auf Risiken, die wirklich zählen
- didaktisch stark: komplexe Themen verständlich vermitteln
- partnerschaftlich: Zusammenarbeit auf Augenhöhe
- sicherheits- und ethikorientiert
Nachweise
Zertifizierungen
Die wichtigsten Nachweise sind fachlich eingeordnet. Logos führen direkt zu den jeweiligen Validierungsseiten oder Zertifikatsnachweisen.
Ausgewählte Zertifizierungen
OSCE³
OffSec Certified Expert
Fortgeschrittene Expertise in Web Security, Exploit Development und Penetration Testing.
OSWE
OffSec Web Expert
Relevant für tiefgehende Web- und API-Analysen, Authentifizierungslogik und komplexe Schwachstellen.
OSEP
OffSec Experienced Penetration Tester
Relevant für realistische Angriffsketten, Umgehungstechniken und komplexere Prüfaufträge.Weitere Zertifizierungen anzeigen
Pentesting
OSCP
OffSec Certified Professional
Breite praktische Grundlage für Penetrationstests in Netzwerken und Systemumgebungen.
GWAPT
GIAC Web Application Penetration Tester
Relevant für strukturierte Prüfungen moderner Webanwendungen und deren typischer Schwachstellenklassen.
GPEN
GIAC Penetration Tester
Unterstreicht methodisches Vorgehen bei klassischen Penetrationstests und Berichtserstellung.
GMOB
GIAC Mobile Device Security Analyst
Relevant für mobile Anwendungen, Geräteplattformen und mobile Angriffsflächen.
OSWP
OffSec Wireless Professional
Ergänzend relevant für WLAN-Sicherheitsprüfungen und drahtlose Angriffsflächen.
OSED
OffSec Exploit Developer
Relevant für Exploit-Entwicklung und technische Bewertung komplexerer Schwachstellen.
GXPN
GIAC Exploit Researcher and Advanced Penetration Tester
Vertieft Exploit Research, Advanced Pentesting und Bewertung technischer Angriffsketten.Reverse Engineering & Malware
Forensik & Incident-nahe Expertise
Operational Technology
Attack Simulation / Red-Teaming
Weitere Zertifizierungen
GPYC
GIAC Python Coder
Unterstützt technische Automatisierung, Tooling und reproduzierbare Analysen.
HTB CWES
Hack The Box Certified Web Exploitation Specialist
Ergänzender Praxisnachweis für Web Exploitation und moderne Schwachstellenklassen.
PenTest+
CompTIA PenTest+
Breiter methodischer Nachweis für Planung, Durchführung und Dokumentation von Pentests.
CPSA-F
Certified Professional for Software Architecture – Foundation Level
Relevant für Architekturgespräche, technische Entscheidungswege und sichere Systemgestaltung.
ITIL v3
ITIL v3 Zertifikat
Hilft bei Einordnung in Betriebsprozesse, Service Management und organisatorische Schnittstellen.