• Durchführung umfassender Penetrationstests von Web-Anwendungen, APIs, mobilen Applikationen (iOS, Android) sowie internen Netzwerken.
• Aufbereitung der Ergebnisse in technischen und managementgerechten Berichten sowie Unterstützung der Fachabteilungen bei der nachhaltigen Beseitigung identifizierter Schwachstellen.

Kompetenzbereiche

• Web- und Applikationssicherheit
• Netzwerksicherheit und Active Directory

Erfahrungen und fachlicher Hintergrund

• Erfahrung in der Durchführung von Sicherheitsprüfungen
• Analyse und Absicherung von Active-Directory Umgebungen
• Sicherheitschecks von Office-Plugins und Browsererweiterungen
• Aktive Weiterentwicklung von internen Tools
• Qualitätssicherung im Maschinenbau

Tools/ Werkzeuge

• Burp Suite Professional
• Nessus
• Nmap, sqlmap, Metasploit, ffuf, gobuster, crackmapexec, usw.
• geeignete Open Source Software für den jeweiligen Testfall

IT/TK-Themen

• Entwicklung eines KI-Chatbots zur Verarbeitung interner Dokumente (seit Anfang 2025)
• Verarbeitung interner Dokumente mit automatischer Chunk-Erstellung
• Speicherung der Inhalte in einer Chroma-Vektordatenbank
• Containerisierte Architektur mit vollständige lokaler Verarbeitung
• Benutzer-Authentifizierung und Session-Handling
• Dynamisches Fragesystem mit Quellenangaben
• LangChain/LangGraph (Python) für Agentenentwicklung
• Lokales LLM und optionale Nutzung externer LLMs wie OpenAI

In diesem Projekt wurde ein vollständig lokal (auf deutschem Server) laufender KI-Chatbot entwickelt, der strukturierte und unstrukturierte interne Dokumente verarbeitet. Die Inhalte werden dabei automatisiert in semantisch sinnvolle Chunks zerlegt und in einer Chroma-Vektordatenbank gespeichert. Das Backend basiert auf Python FastAPI und kommuniziert über einen Proxy (nginx) mit einem modernen React-Frontend. Die Agentenfunktionalität wird mithilfe der Python-Bibliothek LangChain bzw. LangGraph realisiert. Die gesamte Anwendung ist containerisiert und nutzt unter anderem Ollama mit einem lokalen LLM (LLaMA). Benutzer können über eine Webanwendung individuelle Dokumentensammlungen anlegen und gezielte Fragen zu diesen stellen. Die Antworten des Systems enthalten jeweils Verweise auf die relevanten Dokumentquellen. Alternativ können Anfragen auch über externe Modelle (z.?B. OpenAI) verarbeitet werden, sofern gewünscht (Auswahlmöglichkeit in der Anwendung). Die Lösung läuft vollständig auf einem deutschen Server ohne Drittanbieterabhängigkeit und bietet somit die volle Kontrolle über die Daten. Fortlaufend werden neue Ideen der Nutzer integriert.

Entwicklung eines Smishing-Tools (2024)

Im Rahmen eines internen Projekts entwickelten wir ein vollautomatisiertes Smishing-Tool in Python, das den Ablauf einer kompletten SMS-Phishing-Kampagne abbildet. Ziel war es, realistische Angriffsszenarien in einer kontrollierten Testumgebung zu simulieren. Das Tool nutzt das Esendex-SMS-Gateway zur automatisierten Versendung von Kurzmitteilungen an vordefinierte Empfängerlisten. Die Inhalte sowie Tracking-Links werden dabei dynamisch generiert. Zur Identifikation einzelner Zielpersonen wurden individualisierte URLs erstellt, die eine eindeutige Zuordnung ermöglichen. Als Phishing-Infrastruktur kam Evilginx2 zum Einsatz, das in einer angepassten Docker-Umgebung betrieben wurde. Der gesamte Ablauf, von der CSV-Eingabedatei über den Versand bis hin zur Erfassung und Auswertung der Interaktionen, wurde durch das Python-Tool ermöglicht.

Beruflicher Werdegang

01/2024 ? heute

Kunde: auf Anfrage 

Rolle: Cyber Security Consultant

03/2023 ? 12/2023

Kunde: Siemens Energy AG Penetrationstester 

Rolle: Werkstudium

02/2022 ? 02/2023

Kunde: SSI Schäfer IT Solutions GmbH Softwareentwickler 

Rolle: Werkstudium

10/2018 ? 06/2021

Kunde: ZF Friedrichshafen AG Betriebsingenieur Qualität