Skip to content
Arthur Vogel
DE EN

IT-Security · Cloud · Network Engineer

Arthur Vogel

Datacenter, Zero-Trust & Cloud-Native · 20+ Jahre IT-Infrastruktur

Berufserfahrung ansehen Kontakt aufnehmen
Portrait Arthur Vogel

Berufserfahrung

  1. Aktuelle Position

    IT-Security & Network Engineer

    • Mitglied im Lenkungskreis Zero-Trust- und SD-WAN-Infrastruktur
    • Konzeption dezentraler WAN-Anbindungen mit MPLS und Zero-Trust-Optimierung des Stiftungsnetzes
    • Mehrere Proof-of-Concepts mit Open-Source-Lösungen, u. a. NAC-System auf Basis von PacketFence
    • Schwachstellen-Management mit OpenVAS – regelmäßige Scans und Auswertung
    • Firewall-Administration mit Barracuda – Policies, Segmentierung, VPN
    • NAC-Architektur mit Aruba ClearPass und PacketFence
    • Switching mit Aruba und H3C, WLAN-Betrieb mit Aruba Controller
    • Logging und Monitoring mit Graylog, Grafana und PostgreSQL
    • KI-Strategie: Analyse und Bewertung verschiedener KI-Hersteller, Multi-Agenten-Orchestrierung mit deklarativem Ansatz über Skills und MCP-Schnittstellen
    • Automatisierung infrastrukturnaher Prozesse mit KI-gestütztem Vibe Coding und lokalen LLMs
    • Administration der zentralen GitLab-Lösung
    • Containerisierung und Workload-Betrieb mit Docker Swarm
    • Anwendungsentwicklung zur Dokumentation und Self-Service-Bereitstellung

  2. TeleData GmbH

    Leiter Datacenter

    • Disziplinarische Führung des Datacenter-Teams
    • Mitglied des Führungskreises und technischer Berater der Geschäftsleitung
    • Multisite-Datacenter-Konzept und IT-Strategieplanung
    • Leitung der DevOps-Umgebung mit GitLab, Puppet, Ansible und Terraform
    • Aufbau einer ausfallsicheren Container-Plattform mit Docker Swarm
    • Pre-Sales, Consulting und Partnerbetreuung
    • Projektleitung über mehrere parallele Infrastruktur-Projekte
    • Recruiting, Einarbeitung, Zielvereinbarungen und Mitarbeiterförderung

  3. TeleData GmbH

    Senior Cloud Architect / Linux-Spezialist

    • Cloud Computing und DevOps in Datacenter-Netzwerkumgebungen
    • Konzeption und Betrieb von CloudStack und OpenNebula
    • KVM-Virtualisierung im Cluster-Betrieb
    • Backup- und Storage-Architektur für Compute und Daten
    • Linux-Administration und Infrastruktur-Automatisierung
    • Versionsverwaltung und IaC mit GitLab, Puppet, Ansible, Terraform

  4. Stadler Anlagenbau GmbH

    IT-Leiter

    • Aufbau der internen IT-Abteilung inklusive Datacenter (IT-Service-Insourcing)
    • Planung, Projektleitung und Aufbau eines Rechenzentrums
    • Betrieb des Rechenzentrums zur weltweiten Bereitstellung von Software und Diensten
    • Betriebswirtschaftliche und personelle Führung der IT-Abteilungen an allen Standorten
    • Schulung und Ausbildung von IT-Fachkräften
    • Endpoint-Security mit Sophos EDR – Policies, Detection, Incident Response
    • Planung und Administration von IT-Security-Software, Telefonielösungen, Switches und Routern
    • Konzepte zur Datensicherung und Hochverfügbarkeit
    • Sicherung der Wirtschaftlichkeit und Optimierung digitaler Prozesse
    • Sicherstellen der IT-Compliance
    • Linux-Administration, Backup mit Veeam, Überführung von Diensten in Docker-Umgebungen

  5. ics it-systems GmbH

    Geschäftsführer / Consultant

    • Unternehmensführung mit Personalverantwortung
    • Planung und Administration von IT-Security-Lösungen
    • Planung und Administration von Netzwerk- und Telefonielösungen für Enterprise-Kunden
    • Linux-Administration

  6. Wehrle & Johnson IT-Systemhaus

    Consultant Netzwerktechnik / IT-Security

    • IT-Projektleitung mit Personalverantwortung
    • Aufbau und Leitung der Serviceabteilung
    • Planung und Administration von IT-Security-Software, Telefonielösungen, Switches und Routern
    • Mitarbeiterschulung in Netzwerktechnik und IT-Security
    • Consulting und Pre-Sales-Unterstützung
    • Linux-Administration

  7. Bechtle IT-Systemhaus Friedrichshafen

    Systems Engineer

    • Planung und Administration von Netzwerk- und Security-Infrastrukturen für Enterprise-Kunden
    • Implementierung von Switching-, Routing- und Firewall-Lösungen
    • Service- und Support-Tätigkeiten im Enterprise-Umfeld

Skills

Security & NAC

Endpoint-, Netzwerk- und Perimeter-Security mit Fokus auf Network Access Control, EDR/XDR und Zero-Trust-Architekturen. Konzeption und Betrieb von Sicherheitsrichtlinien sowie Detection-Lösungen im Enterprise-Umfeld.

  • Sophos EDR
  • Aruba ClearPass
  • PacketFence
  • Macmon
  • Barracuda
  • Sophos Firewall
  • IDS/IPS
  • EDR/XDR
  • NAC
  • Sicherheitsrichtlinien
  • Zero-Trust-Architektur

Details anzeigen →

Wo ich das einsetze

NAC mit Aruba ClearPass und PacketFence im aktuellen Stiftungsbetrieb produktiv aufgebaut — 802.1X-Authentifizierung über kabelgebundene Ports und WLAN-Clients, Captive Portal für Gäste, MAC-Authentication-Bypass für Drucker. Sophos EDR bei Stadler über mehrere Standorte ausgerollt — Policies, Detection-Tuning, Incident-Response-Workflows. Firewall-Policies in Barracuda mit Site-to-Site-VPN und Segmentierung pro Standort.

Architekturansatz

Als Lenkungskreis-Mitglied auf Stiftungsebene konzipiere ich den schrittweisen Übergang vom klassischen Perimetermodell zur Zero-Trust-Architektur — Identity-First, Mikrosegmentierung, kontinuierliche Verifikation. Im eigenen CloudManager-Projekt vertieft: mTLS-Mesh zwischen allen Komponenten, dynamische Trust-Score-basierte Zugriffsentscheidungen.

Vulnerability Management

Schwachstellen-Scans, CVE-Triage und Supply-Chain-Security inklusive SBOM-Management. Eigene Trust-Score-Engine im CloudManager (Agent-basiert, Posture-Reports).

  • OpenVAS
  • Trivy
  • Schwachstellen-Scans
  • CVE-Triage
  • SBOM
  • Supply-Chain-Security

Details anzeigen →

Wo ich das einsetze

OpenVAS für regelmäßige authenticated und unauthenticated Scans im Stiftungsnetz inklusive Auswertung und Priorisierung nach CVSS und Exploitability. Trivy für Container-Image-Scans und SBOM-Generierung in CI-Pipelines des CloudManagers.

Eigene Trust-Score-Engine

Im CloudManager habe ich eine Agent-basierte Posture-Reporting-Engine gebaut: lokale Agents auf jedem Host erfassen CVE-Status, Cosign-Signatur-Verifikation, Konfigurationsdrift und Mesh-Konnektivität. Daraus wird ein dynamischer Trust-Score pro Host berechnet, der für Routing- und Access-Entscheidungen herangezogen wird. Supply-Chain-Security via durchgängige Image-Signatur (Cosign), SBOM-Tracking und Build-Reproducibility.

Netzwerk & WAN

Switching, Routing und WLAN im Enterprise-Umfeld sowie WAN-Konzepte mit MPLS und SD-WAN. Netzsegmentierung als Basis für Zero-Trust-Architekturen.

  • HPE/Aruba
  • Cisco
  • H3C
  • Ruckus
  • Switching
  • Routing
  • WLAN-Controller
  • MPLS
  • SD-WAN
  • Segmentierung

Details anzeigen →

Wo ich das einsetze

HPE/Aruba Switching mit AOS-CX im Stiftungsstandort. Cisco Catalyst und H3C in vorherigen Umgebungen (Bechtle, ics, Stadler) — Switching, Routing, VLAN-Design. Aruba Controller für campusweites WLAN inklusive VLAN-Pooling, Rogue-AP-Detection und Captive Portal.

WAN-Konzeption

Konzeption dezentraler WAN-Anbindungen mit MPLS und Zero-Trust-Optimierung des Stiftungsnetzes — schrittweise Migration vom MPLS-Vollvermaschten zum SD-WAN-Modell mit Identity-basierten Pfadentscheidungen. Segmentierung über VRFs auf Provider-Ebene, Mikrosegmentierung über NAC-Policies auf Endpoint-Ebene.

Virtualisierung

Multi-Hypervisor-Umgebungen mit Open-Source- und Enterprise-Lösungen. Konzeption, Betrieb und Migration zwischen Plattformen.

  • Proxmox
  • KVM
  • CloudStack
  • OpenNebula
  • VMware

Details anzeigen →

Wo ich das einsetze

Multi-Hypervisor-Erfahrung quer durch die Stationen: Proxmox im Eigen-Lab und CloudManager, KVM im Cluster-Betrieb bei TeleData, CloudStack und OpenNebula in TeleData-Datacenter-Umgebungen, VMware vSphere beim Stadler-RZ-Aufbau.

Cluster-Architektur

Cluster-Setup mit Live-Migration, HA-Konzepten und shared Storage via Ceph oder NetApp — Fail-Over im Sekundenbereich. Im CloudManager nutze ich Proxmox als Hypervisor-Adapter: Plattform abstrahiert die Cluster-Operationen über alle Provider hinweg in einer einheitlichen API. Backup-Integration via Veeam und Restic.

Container & Cloud-Native

CNCF-Ökosystem als Lernprojekt und Zertifizierungspfad. Docker Swarm produktiv im Einsatz, Kubernetes mit GitOps-Toolchain im Aufbau.

  • Docker
  • Docker Swarm (produktiv)
  • Kubernetes (im Aufbau)
  • GitOps
  • ArgoCD
  • Helm
  • Traefik

Details anzeigen →

Wo ich das einsetze

Docker Swarm produktiv bei TeleData für ausfallsichere Container-Plattform — 50+ Services über mehrere Worker-Nodes mit automatischem Reconciliation. Im aktuellen Stiftungsbetrieb für Workload-Hosting weiter im Einsatz.

Kubernetes-Lernpfad

Parallel intensiver Kubernetes-Lernpfad mit K3s (CloudManager) und Rancher — laufende CKA → CKAD → CKS-Vorbereitung. GitOps-Workflows mit ArgoCD als Architekturprinzip, Helm für Deployments, Traefik als Ingress mit automatischem Let’s Encrypt. CNCF-Toolstack als Leitfaden für Adapter-Auswahl im CloudManager — Prometheus, Loki, Cosign, Trivy alle Teil derselben Familie.

Automation & IaC

Infrastructure as Code, CI/CD-Pipelines und Konfigurationsmanagement. Secrets-Management mit OpenBao sowie Signaturen und Supply-Chain-Hardening mit Cosign.

  • GitLab CI/CD
  • Puppet
  • Ansible
  • Terraform
  • OpenTofu
  • Cosign
  • OpenBao

Details anzeigen →

Wo ich das einsetze

GitLab CI/CD für Build-Pipelines mit Multi-Stage-Templates, im Stiftungsbetrieb als zentrale Lösung administriert. Puppet bei TeleData für klassische Konfigurationsverwaltung, Ansible für Ad-hoc-Provisionierung und Rollouts, Terraform/OpenTofu für Cloud-Provider-IaC im CloudManager.

Secrets-Management

OpenBao (HashiCorp Vault Fork) als Self-Hosted Secrets-Backend — alle Secrets der eigenen Plattform liegen verschlüsselt mit Auto-Unsealing über Shamir-Split. Cosign signiert alle eigenen Container-Images — Runtime verifiziert vor Start, kein Image ohne gültige Signatur startet. Komplett IaC-getriebener Workflow: jede Infrastruktur-Änderung ist ein Pull Request.

KI & Agenten

KI-Hersteller-übergreifender, deklarativer Multi-Agenten-Ansatz mit Skills und MCP-Schnittstellen. Lokale LLMs und Vibe Coding für Prozessautomatisierung.

  • Multi-Agenten-Orchestrierung
  • deklarativer Ansatz mit Skills und MCP-Schnittstellen
  • lokale LLMs
  • Vibe Coding für Prozessautomatisierung

Details anzeigen →

Wo ich das einsetze

Multi-Agenten-Orchestrierung verschiedener KI-Hersteller — Anthropic Claude, Mistral, OpenAI, lokale Ollama-Modelle. Deklarativer Ansatz über das Claude Agent SDK mit Skills und MCP-Schnittstellen: Spezialisierte Agents (Frontend, Backend, Security, Tests, Review) werden bei Bedarf orchestriert, nicht hardcoded.

Vibe Coding mit Reviewer-im-Loop

KI-gestütztes Vibe Coding für Infrastruktur-Automatisierung — Agents lesen Architecture-Docs, generieren Code, validieren ihn gegen Schemas, ich reviewe und kuratierte. Die Plattform CloudManager und auch diese CV-Site sind so entstanden. Lokale LLMs für sensiblen Kontext, Cloud-LLMs für komplexe Reasoning-Aufgaben — DSGVO-bewusste Routing-Entscheidung pro Use-Case.

SIEM & Observability

Zentrales Log-Management, Metriken und Dashboards. KI-gestützte Log-Analyse zur schnelleren Auswertung und Korrelation.

  • Graylog (Log-Management)
  • Grafana
  • Prometheus
  • Loki
  • KI-gestützte Log-Analyse

Details anzeigen →

Wo ich das einsetze

Graylog als Log-Aggregator im Stiftungsbetrieb mit indexbasierter Volltextsuche, Pipeline-Rules für Strukturierung und Alert-Routing zu Pushover und Email. Grafana-Dashboards für Netzwerk- und Anwendungsmetriken, Prometheus als Time-Series-Backend, Loki für strukturierte Log-Speicherung im CloudManager.

KI-gestützte Log-Analyse

Anomalie-Detection und Pattern-Erkennung quer über Quellen — typische Use-Cases: Brute-Force-Pattern in Auth-Logs, ungewöhnliche egress-Verbindungen, Container-Restart-Häufungen. KI klassifiziert vorab, Ops-Team entscheidet final. Reduziert False-Positives signifikant gegenüber regelbasierten SIEMs.

Datacenter & Storage

Aufbau und Betrieb von Datacenter-Infrastrukturen mit Multisite-Konzepten und Hochverfügbarkeit. Storage-, Backup- und IPAM/DCIM-Lösungen für Enterprise-Umgebungen.

  • NetApp
  • Ceph
  • MinIO
  • SAN/NAS-Strukturen
  • Backup mit Veeam
  • NetBox (IPAM/DCIM)

Details anzeigen →

Wo ich das einsetze

Komplett-Aufbau eines Rechenzentrums bei Stadler Anlagenbau (IT-Service-Insourcing) inklusive 24/7-Verfügbarkeit für globale Software- und Dienste-Bereitstellung — Konzeption, Projektleitung, Inbetriebnahme. Multisite-Datacenter-Konzept als technischer Berater bei TeleData.

Storage-Architekturen

NetApp als enterprise-Block/File-Storage, Ceph als verteiltes Storage-Cluster im CloudManager, MinIO als S3-kompatible Self-Hosted-Lösung. SAN-/NAS-Architekturen mit Fiber Channel und 10/25-GbE-Fabrics. Veeam für Backup mit Application-Aware-Snapshots, Restic für Container-Backups. NetBox als Source-of-Truth für IPAM und DCIM.

Operations & Methodik

Betrieb von NOC-Strukturen mit 24/7-Monitoring, Alerting und Incident Response. Methodische Projektleitung, IT-Strategie und GitOps-Praktiken im Tagesgeschäft.

  • NOC-Strukturen
  • 24/7-Monitoring
  • Alerting
  • Incident Response
  • Change Management
  • ITSM
  • Proof-of-Concepts
  • IT-Strategie
  • Projektleitung
  • GitOps-Praktiken

Details anzeigen →

Wo ich das einsetze

Aufbau und Leitung von NOC-Strukturen mit 24/7-Monitoring inklusive Incident-Response-Workflows — bei TeleData als Datacenter-Leiter, bei Stadler im Insourcing-Aufbau, aktuell als technischer Berater. Change-Management nach ITIL-Prozessen mit klar definierten Approval-Gates für Production.

Methodik

Proof-of-Concept-Methodik für strategische Tool-Auswahl — z.B. NAC-System (PacketFence vs. ClearPass vs. Macmon), EDR (Sophos vs. CrowdStrike), Container-Plattform (Swarm vs. Kubernetes). Multi-Projekt-Leitung in der Datacenter-Rolle mit parallelen Infrastruktur-Projekten. GitOps als operatives Paradigma — alles versioniert, alles reviewbar, alles rollback-fähig.

Compliance

Anwendung gängiger Sicherheits- und Prozess-Standards in Infrastruktur- und Betriebsumgebungen. Fokus auf Informationssicherheit, Datenschutz und Service-Management.

  • ISO 27001
  • BSI IT-Grundschutz
  • GDPR
  • ITIL

Details anzeigen →

Wo ich das einsetze

ISO 27001-Awareness in der Datacenter-Führung bei TeleData — Maßnahmen, Dokumentation, interne Audits. BSI IT-Grundschutz-Praktiker-Zertifizierung, anwendung der BSI-Bausteine in der Stiftungsumgebung — Modellierung des IT-Verbunds, Risikoanalyse, Maßnahmenkatalog.

Compliance als Architektur-Treiber

DSGVO/GDPR-Compliance bei Tool-Auswahl und Architektur — z.B. EU-Provider-First-Strategie im CloudManager mit strukturierten Compliance-Metadaten pro Integration (Datenstandort, AVV, Zertifizierungen). UI-Filter blendet nicht-konforme Integrationen aus. ITIL für Service-Management-Prozesse. Compliance ist bei mir Architektur-Treiber, nicht Nachgedanke.

Zertifikate

Abgeschlossen

  • BSI IT-Grundschutz-Praktiker BSI
  • AEVO / Ausbildereignung IHK
  • CCNA – Cisco Certified Network Associate Cisco
  • LPIC – Linux Professional Institute Certification Linux Professional Institute
  • Kubernetes-Schulung (Schulungsanbieter) 2024

In Vorbereitung

  • CKA – Certified Kubernetes Administrator CNCF / Linux Foundation In Vorbereitung
  • CKAD – Certified Kubernetes Application Developer CNCF / Linux Foundation In Vorbereitung
  • CKS – Certified Kubernetes Security Specialist CNCF / Linux Foundation In Vorbereitung

Ausbildung

  • Staatlich geprüfter Techniker für Informationstechnik · Elektronikschule Tettnang
  • Berufsausbildung Mechatroniker (zuvor)

Eigenprojekt

CloudManager

Eigenes Lernprojekt zu moderner Infrastruktur und sicherer Vernetzung im Zeitalter der KI. Multi-Cloud-Management-Plattform mit deklarativem Produkt-Manifest, mTLS-Mesh und Trust-Score-Engine — komplett mit Open Source und KI-gestütztem Vibe Coding aufgebaut.

Zero-Trust-Zwiebelmodell
Technologie-Stack
Mesh-Netzwerk

Was ist CloudManager?

CloudManager ist eine Self-Hosted Cloud-Management-Plattform für europäische SaaS-Anbieter — Multi-Cloud, DSGVO-konform, ohne Vendor Lock-in. Produkte werden als deklarative Manifeste (cloudmanager.yml) im Repo definiert; Release-Ablauf reduziert sich auf git push.

Architektonisch nach dem Drei-Schichten-Prinzip: Schicht 0 (Core) ist immer verfügbar — lokales Backup, DNS, Firewall, SSL, Monitoring. Schicht 1 sind modulare Adapter (Storage, Backup, AI, …). Schicht 2 sind aus Adaptern zusammengebaute Produkte (“Backup as a Service”, “AI as a Service”). Kernregel: Schicht 0 funktioniert auch wenn alle Adapter ausfallen.

Multi-Cloud auf 9 Provider

Ein einheitliches API für Hetzner, IONOS, Netcup, Exoscale, OVHcloud, Proxmox, DigitalOcean, Vultr und Bare-Metal — Server erstellen, löschen, skalieren, Snapshots, Volumes, Floating IPs unabhängig vom Anbieter. EU-First-Strategie für DSGVO-Compliance, US-Provider als Option mit explizitem Consent.

13 Integrationskategorien

Modulare Adapter für jede Infrastruktur-Domäne: VPN (Tailscale, Headscale) · DNS (Hetzner, Cloudflare, Route 53) · Firewall (Hetzner, OPNsense, pfSense, UFW) · Storage (S3, MinIO, Wasabi, NetApp, B2, GCS, Azure) · Backup (Restic) · Monitoring (Prometheus, Uptime Kuma) · Logging (Loki, Elasticsearch) · E-Mail (SMTP, Mailgun, SendGrid) · Zertifikate (Let’s Encrypt, ZeroSSL) · CI/CD (GitLab CI) · Git (Forgejo, Gitea, Codeberg, GitLab) · Notifications (Pushover, Slack, Discord, Telegram, ntfy) · AI/LLM (Mistral, OpenAI, Aleph Alpha, Ollama, vLLM).

Universeller OpenAiCompatibleAdapter spricht mit jedem OpenAI-kompatiblen Endpoint — Cloud-API oder Self-Hosted GPU-Server gleich.

Zero-Trust-Sicherheitsstack

  • mTLS-Mesh auf Hosts via CloudManager-Agent — keine plaintext-Kommunikation im internen Netz
  • OpenBao als Self-Hosted Secrets-Backend (HashiCorp Vault Fork) mit Auto-Unsealing
  • Trust-Score-Engine — Agent-basierte Posture-Reports erfassen CVE-Status, Cosign-Signatur-Verifikation und Konfigurationsdrift, kombinieren sie zu einem dynamischen Trust-Score pro Host
  • Cosign signiert alle eigenen Container-Images, Runtime verifiziert vor Start
  • Trivy scanned Images im CI auf Schwachstellen, SBOM-Generation als Build-Artefakt
  • Headscale für Mesh-VPN über alle Standorte und Cloud-Provider hinweg

DSGVO-Compliance eingebaut

Jeder der ~50 Integrationstypen trägt strukturierte Compliance-Metadaten: DSGVO-konform (ja/nein), Datenstandorte, Firmensitz, EU-Rechenzentrum, AVV-Verfügbarkeit, Zertifizierungen (ISO 27001, SOC 2, BSI C5, HDS). UI zeigt Compliance-Badges auf jeder Integrations-Karte; Toggle-Filter blendet nicht-konforme aus.

Tech-Stack

Backend: TypeScript · Express.js · PostgreSQL 16 · pg-boss (Job-Queue, crash-safe via PostgreSQL). Frontend: React 18 · Vite · Tailwind · TanStack Query · Lucide Icons. Infra: Docker · Traefik · OpenTofu · Cloud-Init · GitLab CI/CD.

Zahlen (Stand v5.20.0)

334+ REST-Endpoints · 21 Frontend-Seiten · 129 Integrationstypen · 50 Datenbankmigrationen · 530+ Backend-Tests · 0 TypeScript-Fehler.

Warum als Bewerbungs-Referenz

CloudManager ist mein praktischer Lernpfad für die Themen, die ich im aktuellen Job konzipiere — Zero-Trust-Architektur, Multi-Cloud, GitOps, Container-Orchestrierung, Vulnerability-Management. Es ist mit KI-gestütztem Vibe Coding entstanden: deklarative Skill-/MCP-Definitionen, Multi-Agenten-Orchestrierung und ein menschlicher Reviewer-im-Loop. Die Plattform betreibt unter anderem auch diese CV-Website.

Schichtendiagramm des Zero-Trust-Sicherheitsmodells im CloudManager
Zero-Trust-Zwiebelmodell
Übersicht des CloudManager-Technologie-Stacks mit CNCF-Komponenten
Technologie-Stack
Topologie des Headscale-Mesh-VPN über mehrere Cloud-Provider
Mesh-Netzwerk

Weitere Projekte

DevForge

Lernender Multi-Vendor-AI-Orchestrator als CloudManager-Modul mit Zero-Trust-Sicherheitsmodell.

In Entwicklung
  • TypeScript strict
  • Express
  • React 18
  • PostgreSQL 16
  • TimescaleDB
  • pg-boss
  • OpenBao
  • Headscale
  • Socket.IO
  • Keycloak (Phase 2)

Details anzeigen →

Zweck

DevForge ist mein Multi-Vendor-AI-Orchestrator als integriertes Modul im CloudManager. Aufgaben lassen sich über eine einheitliche Chat-UI, eine CLI oder direkt über GitLab-Issues an AI-Agents (Anthropic Claude, Google Gemini, OpenAI Codex, Mammoth, lokale Ollama) delegieren. Der Orchestrator verteilt Tasks intelligent auf den passenden Provider, lernt aus Ergebnissen (Erfolgsquote, Kosten, Latenz) und überwacht Kosten in Echtzeit.

Sicherheitsmodell

Zero-Trust-Sicherheitsmodell über vier unabhängige Enforcement-Schichten:

  1. Identity & Auth — Keycloak SSO mit OIDC (Phase 2), Service-to-Service via mTLS über Headscale-Mesh
  2. Network — kein direkter Internet-Zugang für Agents, alle Outbound-Calls über Egress-Proxy mit Allowlist
  3. Process Isolation — jeder Task läuft im eigenen ephemeren Container mit ressourcenlimitierter cgroup
  4. Audit & Anomaly Detection — alle Provider-Calls werden in TimescaleDB mit Provenienz protokolliert; bei Anomalie automatische Isolation

Technische Highlights

  • Cost Tracker in TimescaleDB als Hypertable — Sub-Sekunden-Abfragen über Millionen Token-Usage-Events
  • pg-boss Job-Queue (PostgreSQL-basiert, crash-safe) für asynchrone Task-Verteilung mit Retry und Dead-Letter
  • OpenBao für API-Key-Storage aller Provider — Keys werden niemals im Klartext geloggt oder ans Frontend ausgeliefert
  • Real-Time-Updates via Socket.IO mit Reverse-Proxy über Traefik
  • Reaktiver UI-Stack mit React 18 + TanStack Query

Bewerbungs-Bezug

DevForge zeigt mehrschichtige Sicherheits-Architektur in Kombination mit moderner Cloud-Native-Praxis. Es ist meine Antwort auf “Wie integriere ich KI in ein Enterprise-Umfeld, ohne die Compliance-Position zu kompromittieren?” — und zugleich das Werkzeug, mit dem ich CloudManager und diese CV-Site selbst weiterentwickle.

TrustCompass

Self-Hosted Zero-Trust- und Compliance-Assessment-Plattform als Multi-Tenant-SaaS.

In Entwicklung
  • TypeScript strict
  • Express API
  • React + Vite (PWA)
  • PostgreSQL
  • Redis
  • Docker Compose
  • Mailpit (dev)

Details anzeigen →

Zweck

TrustCompass ist eine Self-Hosted-Plattform für Zero-Trust- und Compliance-Assessments. Multi-Tenant-SaaS, ausgeliefert als Docker-Compose-Stack — eine Instanz, viele Mandanten, klare Datentrennung. Adressiert konkret die Frage: “Wie weit ist meine Organisation auf dem Weg zur Zero-Trust-Architektur, und wo steht sie gegenüber den Pflichten aus DSGVO, BSI IT-Grundschutz und ISO 27001?”

Funktionsumfang

  • Assessment-Engine — strukturierte Fragebögen (modular nach Framework) mit gewichteter Auswertung
  • Maturity-Scoring — quantitative Einordnung pro Domäne (Identity, Network, Endpoint, Data, Application, Visibility, Automation)
  • Gap-Analyse — automatisierte Identifikation von Maßnahmen-Lücken mit Priorisierung nach Risiko und Aufwand
  • Multi-Tenant-Isolation — Datentrennung auf Datenbankebene, Auth via JWT + Tenant-Claim, kein Tenant-Crossing möglich

Technische Highlights

  • PWA für Offline-Assessment in Audit-Situationen ohne stabile Konnektivität
  • Docker-Compose-Stack als All-in-One-Deployment — Postgres, Redis, API, Frontend, Mailpit (dev) hochfahren mit einem Befehl
  • Port-Offset-Strategie in der Dev-Umgebung, damit der Stack parallel zu anderen Projekten auf demselben Host laufen kann
  • Strikt typisierter API-Layer mit gemeinsamen Typen zwischen Backend und Frontend

Bewerbungs-Bezug

TrustCompass ist die direkte Verbindung zwischen meiner BSI-IT-Grundschutz-Praktiker-Zertifizierung und meiner aktuellen Lenkungskreis-Tätigkeit zur Zero-Trust-Migration. Es übersetzt theoretische Frameworks in messbare, periodisch wiederholbare Assessments — mit dem Anspruch, ehrliches Feedback statt Compliance-Theater zu liefern.

Levit (ehemals Gemeinde-Manager)

Self-Hosted Church-Management-System als kostenlose Alternative zu ChurchTools — produktiv für die CG Ravensburg.

Produktion
  • React 18
  • TypeScript
  • Tailwind CSS
  • Node.js + Express
  • PostgreSQL 16
  • Traefik v3.6
  • Hetzner Cloud DNS API
  • GitLab CI/CD
  • web-push (VAPID)
  • Let's Encrypt (acme-client)

Details anzeigen →

Zweck

Levit ist mein produktiv betriebenes Church-Management-System für die Christliche Gemeinde Ravensburg — gestartet als persönlicher Beitrag an meine Gemeinde, gewachsen zu einer kostenlosen, selbstgehosteten Alternative zu ChurchTools. Aktuell in Version 11.x mit kontinuierlichen Releases.

Funktionsumfang (Auszug)

Mitglieder- und Familienverwaltung · Diensteplanung mit Konflikt-Detection · Veranstaltungsmanagement mit Anmeldung · Predigt- und Medien-Archiv · Finanzen und Spendenverwaltung · Kommunikation per E-Mail (SMTP-Smarthost) und Web-Push (VAPID) · DSGVO-konforme Auskunfts- und Löschfunktionen · rollenbasiertes Berechtigungssystem mit fein granularen Permissions.

Technische Highlights

  • Reverse-Proxy mit Wildcard-TLS — Traefik v3.6 mit *.levit-cloud.de über Let’s Encrypt, automatisierte Zertifikats-Rotation
  • DNS-Automatisierung — direkte Anbindung der Hetzner Cloud DNS API für automatische A-Record-Verwaltung pro Mandant
  • GitLab CI/CD auf eigener Instanz (gitlab.levit-cloud.de) — Build, Test, Image-Build, automatischer Deploy auf Stage und Production
  • Web-Push-Notifications mit VAPID — keine Drittanbieter wie OneSignal, alles im eigenen Stack
  • PostgreSQL 16 mit fachlich strukturierten Migrations und einem Schema, das über drei Major-Versionen rückwärtskompatibel gewachsen ist

Bewerbungs-Bezug

Levit ist mein produktiver End-to-End-Beweis über das gesamte Spektrum: Frontend, Backend, Datenbank, DevOps, CI/CD, DNS-Automatisierung, TLS-Management, Notifications, DSGVO. Es läuft seit Jahren stabil unter realer Last — und schult mich kontinuierlich in den Themen, die ich beruflich konzipiere.

InfoBoard

Persönliche Progressive Web App im Miro-Stil — Infinite-Canvas-Pinboard mit News-Aggregation, KI-Briefing und Spaced-Repetition-Lernkarten.

Produktion
  • Node.js 22 + TypeScript strict
  • Express
  • React 18 + Vite + Tailwind
  • PostgreSQL 16
  • IndexedDB (idb)
  • Service Worker / Workbox
  • pg-boss
  • Anthropic Claude · OpenAI TTS + Whisper
  • Restic (Backup-Sidecar)
  • Docker Compose

Details anzeigen →

Zweck

InfoBoard ist meine persönliche PWA für Wissensorganisation — ein endloses Pinboard im Miro-Stil, kombiniert mit News-Aggregation, KI-gestütztem Morgenbriefing (Text + Audio) und Spaced-Repetition-Lernkarten. Single-User, Offline-First, installierbar auf macOS, iPad und iPhone. Live unter infoboard.levit-cloud.de.

Funktionsumfang

  • Infinite Canvas mit Notizen, Bildern, Web-Clips und Lernkarten — alles auf einer endlos verschiebbaren Fläche
  • News-Aggregation über RSS/JSON-Feeds, periodisch via pg-boss-Jobs
  • KI-Morgenbriefing — Claude fasst News + Termine + Pinboard-Updates zu einem Text-Briefing zusammen, OpenAI TTS erzeugt die Audio-Version für den Spaziergang
  • Spaced-Repetition-Lernkarten mit FSRS-Algorithmus für persönliche Weiterbildung
  • Whisper-Transkription für Voice-Notes direkt ins Board

Technische Highlights

  • Offline-First mit IndexedDB-Persistenz und Service-Worker-Caching — Board funktioniert vollständig ohne Konnektivität, sync wenn online
  • Workbox für Cache-Strategien und Background-Sync
  • Restic-Sidecar-Container für verschlüsselte Backups in den eigenen S3-Bucket
  • Deployed als CloudManager-Tenant — die Plattform betreibt den InfoBoard-Stack als Produkt, beweist die Multi-Tenant-Fähigkeit von CloudManager unter realen Bedingungen

Bewerbungs-Bezug

InfoBoard validiert das Tenant-Modell des CloudManagers im Echtbetrieb — ein nicht-triviales Produkt mit DB, API, PWA und Backup-Sidecar, das vollständig über das CloudManager-Manifest beschrieben und deployt wird. Gleichzeitig demonstriert es Offline-First-Architektur, eine Disziplin, die viele klassische Web-Stacks vernachlässigen.

Lernwerk

Selbstgehostete PWA für mehrere parallele Lernpfade — Pentesting, Kubernetes-Zertifizierungen, Sprachen — über reines Headscale-Mesh erreichbar.

In Entwicklung
  • React 18 + Vite + Tailwind v3
  • shadcn/ui
  • Node.js 22 LTS + Fastify
  • Drizzle ORM
  • PostgreSQL 17
  • Redis 7 + BullMQ
  • pnpm Workspaces + Turborepo
  • Lucia Auth
  • Caddy (interne CA)
  • Headscale-only (kein öffentlicher DNS)
  • GitLab CI/CD

Details anzeigen →

Zweck

Lernwerk ist meine selbstgehostete PWA für lebenslanges Lernen — strukturierte Lernpfade für Pentesting, Kubernetes-Zertifizierungen (CKA/CKAD/CKS), Sprachen. Markdown-first für Inhalte, Spaced Repetition mit FSRS für Wiederholungen, Pomodoro-Timer für Sessions, Wiki für Querverweise, Lab-Inventar für die Verfolgung praktischer Übungen.

Funktionsumfang

  • Lernpfade als Markdown-Hierarchie mit verlinkten Modulen, Übungen und Notes
  • FSRS Spaced Repetition für Karteikarten — moderner Algorithmus, deutlich präziser als klassisches SM-2
  • Pomodoro-Timer mit Session-Tracking pro Lernpfad
  • Wiki-Modus für Querverweise und persönliche Glossare
  • Lab-Inventar — Verfolgung praktischer Pentesting-Übungen (HackTheBox, TryHackMe), Kubernetes-Cluster für Zertifizierung-Vorbereitung

Technische Highlights

  • Headscale-only-Deployment — Lernwerk ist nicht im öffentlichen Internet erreichbar, sondern ausschließlich über mein privates Mesh-VPN. Caddy mit interner Certificate Authority, kein Let’s Encrypt nötig
  • pnpm Workspaces + Turborepo — Monorepo mit separaten Packages für API, Web, Shared-Types
  • Drizzle ORM für typsichere Datenbankzugriffe ohne Code-Generierung
  • Eigener GitLab Runner im Mesh — kompletter CI/CD-Loop bleibt im privaten Netz
  • Lucia Auth für sichere Session-Verwaltung mit Argon2id-Hashing

Bewerbungs-Bezug

Lernwerk demonstriert mein Headscale-only-Deployment-Pattern — ein Komplett-Stack, der bewusst keine öffentliche Angriffsfläche hat. Die Architektur ist die direkte Antwort auf die Frage “Wie hostet man interne Tools sicher, ohne sich auf VPN-Konzentratoren oder Reverse-Proxies in der DMZ verlassen zu müssen?”. Gleichzeitig der praktische Lern-Loop für meine laufenden CKA/CKAD/CKS-Vorbereitung.

civolt

Lokales Energie-Betriebssystem für dezentrale Energiegemeinschaften — § 42c-EnWG-konformes Energy Sharing, KI-gesteuert, vollständig selbst gehostet.

In Entwicklung
  • Node.js + TypeScript
  • Docker Compose
  • n8n (Workflow-Engine)
  • Anthropic Claude API
  • Fronius (PV)
  • Tesla Powerwall (pypowerwall)
  • Loxone (Smart Home)
  • PostgreSQL

Details anzeigen →

Zweck

civolt ist mein lokales Energie-Betriebssystem für dezentrale Energiegemeinschaften. Verbindet PV-Anlagen, Batteriespeicher und Smart-Home-Systeme zu einer § 42c-EnWG-konformen Energy Sharing Community — gesteuert von KI, vollständig selbst gehostet. Direkter Anwendungsfall: meine eigene PV-Anlage und Powerwall, sowie das Potenzial, Nachbar-Anlagen ins gleiche Sharing-Modell einzubinden.

Integrationen

  • Fronius — direkter Pull von Wechselrichter-Daten (Erzeugung, Einspeisung, Eigenverbrauch)
  • Tesla Powerwall via pypowerwall — State-of-Energy, Lade-/Entlade-Steuerung, Ereignis-Abonnements
  • Loxone Miniserver — Smart-Home-Steuerung von Verbrauchern (Wärmepumpe, E-Auto-Wallbox, Pool-Pumpe)
  • Anthropic Claude API — KI-gestützte Lastprognose und Optimierung der Eigenverbrauchsquote auf Basis von Wetter, Tarif, Komfort-Constraints

Technische Highlights

  • n8n als Workflow-Engine — visuell editierbare Automatisierungs-Pipelines für Sensor-zu-Aktor-Logik, mit Versionierung und Rollback
  • § 42c-EnWG-Konformität — Mess- und Abrechnungslogik für Energy Sharing zwischen mehreren Teilnehmern, gesetzeskonforme Datenhaltung
  • Docker-Compose-Stack als Single-Host-Deployment auf einem energiearmen Mini-PC mit unterbrechungsfreier Stromversorgung
  • Self-Hosted-Architektur — keine Daten an Hersteller-Clouds, alle Steuerlogik bleibt im lokalen Netz

Bewerbungs-Bezug

civolt verbindet IoT-Integration, regulatorische Compliance und KI-gestützte Optimierung — alles in einem Self-Hosted-Stack. Demonstriert, dass ich auch außerhalb klassischer Enterprise-Infrastruktur denken und implementieren kann, mit klarem regulatorischem Rahmen und realer physischer Konsequenz (jede Fehlentscheidung schlägt sich in der nächsten Stromrechnung nieder).

Finanzportal

React-SPA für persönliche Finanzplanung mit KI-gestützter Marktanalyse über die Anthropic Claude API.

In Entwicklung
  • React 18 + Vite
  • TypeScript
  • Tailwind CSS
  • shadcn/ui
  • Anthropic Claude API
  • CSV-Import (Trade Republic)

Details anzeigen →

Zweck

Das Finanzportal ist meine persönliche React-SPA zur Finanzplanung mit KI-gestützter Marktanalyse. Portfolio-Verwaltung über mehrere Asset-Klassen (Edelmetalle, ETFs, Krypto), CSV-Import aus Trade Republic, Markt-Sentiment und Empfehlungen über die Anthropic Claude API.

Funktionsumfang

  • Portfolio-Verwaltung — Positionen über Edelmetalle, ETFs, Aktien und Krypto-Assets
  • Trade-Republic-CSV-Import — automatisiertes Einlesen der Brokerage-Exports mit Mapping auf das interne Schema
  • KI-gestützte Marktanalyse — Anthropic Claude liefert datenbasierte Empfehlungen, Sentiment-Analysen und Marktvorhersagen, immer mit transparenter Begründung
  • Visualisierung — Portfolio-Composition, Performance-Verlauf, Asset-Klassen-Diversifikation

Technische Highlights

  • shadcn/ui für die Komponenten-Bibliothek — kein externer CDN, alles eigene Komponenten auf Tailwind-Basis
  • Strict TypeScript über das gesamte Projekt
  • Anthropic Claude API-Integration mit Prompt-Caching zur Kostenkontrolle
  • Reine Client-Side-App — keine personenbezogenen Daten verlassen das Gerät außer für die explizit angeforderte KI-Analyse

Bewerbungs-Bezug

Finanzportal ist mein kleinster, fokussiertester KI-Use-Case: praktische Integration der Anthropic-API in einen alltäglichen Workflow, mit Privacy-Bewusstsein bei der Daten-Auslieferung an den LLM-Provider. Klein im Scope, klar in der Umsetzung — und nützlich genug, dass ich es täglich verwende.

Kontakt

E-Mail

Frühester Eintritt
1. Oktober 2026