09.10.2025 aktualisiert

**** ******** ****
Premiumkunde
100 % verfügbar

Penetrationstester, Fullstack-Entwickler und Spezialist für Cloud Security

Oldenburg, Deutschland
Nur Remote
Master of Science (M.Sc.) Wirtschaftsinformatik
Oldenburg, Deutschland
Nur Remote
Master of Science (M.Sc.) Wirtschaftsinformatik

Profilanlagen

CV_Marcell_Stosun.pdf

Skills

Clean CodeKubernetes-SicherheitJavaJavaScript.Net FrameworkAPIsAgile FührungKünstliche IntelligenzAmazon Web ServicesWeb Application FirewallPenetration TestingAnwendungssicherheitArchitekturAtlassian ConfluenceAtlassian JiraMicrosoft AzureBlackbox-TestBootstrapC#Certificate of Cloud Security KnowledgeCertified Ethical HackerCloud ComputingCloud-SicherheitCloud-EngineeringInformationssicherheitBeratungDevOpsWeb EntwicklungDNSElektrizitätsversorgungsunternehmenFinanzenEthical HackingWhite Box TestingSmart HomeIdentitätsmanagementIt-RisikomanagementJob SchedulingjQueryPythonKali LinuxNetwork SecurityLua ScriptingMongoDBNmapNode.jsNoSQLOpensslOWASPScrumSoftware ArchitectureForschung & EntwicklungRedisSystemmigrationElastic LogstashPenetration ToolsSicherheit von WebanwendungenSicherheitsanalyseSicherheitsanforderungenSiemSoftwareentwicklungSQLTypeScriptUMLVulnerabilitätSchwachstellenanalyseWeb ApplikationenWeb Application DevelopmentAWS CDKProzess ManagementSicherheitsauditsPyTorchOffice365React.jsFlaskIT-ArchitekturIt-sicherheitsstandardsAWS LambdaCyber Threat AnalysisInfrastructure as Code (IaC)BackendAWS ECSGitLabGitMatplotlibContainerisierungAngularJSKubernetesInfrastrukturautomatisierungs-FrameworksIt-sicherheitslösungenFull Stack EntwicklungNessusLebensmittelAtlassian BitbucketGraphQLFront EndDomain Driven DevelopmentCIS-BenchmarksAppscanRestful ApisBurp SuiteDomain Driven DesignSchwachstellen-ScannerDevSecOpsServerless ComputingDockerIT-ProjektmanagementMicroservices
IT-Sicherheitsspezialist und Full-Stack-Softwareentwickler mit über 15 Jahren Erfahrung in der Entwicklung und Umsetzung von komplexen Anwendungen und IT-Umgebungen. Besonderer Fokus in der Cloud-nativen Softwareentwicklung und in der Beratung zu den Themen Architektur, Migration und IT-Sicherheit im Cloud-Umfeld. Im Bereich IT-Sicherheit spezialisiert auf das Aufdecken und Beheben von Schwachstellen in komplexen Cloud-Umgebungen.

Hard Skills
  1. Pentesting, Sicherheitsanalysen, Cloud Security, Web Application Security, Netzwerksicherheit, IAM
  2. Backend Development, Frontend Development, Domain Driven Design, Clean Architecture, Clean Code, Microservices
  3. AWS, Azure, Kubernetes, Docker, Serverless
  4. DevOps, DevSecOps, Infrastructure as Code
Soft Skills
  1. Ausgeprägte analytische Fähigkeiten
  2. Teamfähigkeit und Kommunikationsstärke
  3. Problemlösungsorientiertes Arbeiten
  4. Fähigkeit, komplexe technische Themen verständlich zu erklären
Branchenerfahrung
  1. Energieversorger
  2. Finanzsektor
  3. Öffentlicher Sektor/ Militär
  4. Forschung und Entwicklung
  5. Smart Home
  6. Medienbranche
  7. Lebensmittelindustrie
  8. Prozessmanagement
  9. IT-Consulting

Sprachen

DeutschMutterspracheEnglischverhandlungssicher

Projekthistorie

IT-Sicherheitsberatung mit Schwerpunkt Cloud Security

Gründer und Geschäftsführer
Bei element76 unterstützen wir unsere Kunden mit individuellen Penetrationstests und zielgerichteter Beratung zum Thema IT-Sicherheit. Da Cloud Computing zunehmend klassische Betriebsmodelle ablöst und immer mehr geschäftskritische Systeme dort betrieben werden, liegt unser besonderer Fokus auf diesem Gebiet. Neben der Beratung unserer Kunden engagieren wir uns auch in der Forschung und Entwicklung, um neue Bedrohungsszenarien frühzeitig zu erkennen und innovative Sicherheitslösungen für komplexe Cloud-Umgebungen zu entwickeln.

Grey-Box Penetrationstest

Penetrationstester
Bei einer App zur Unterstützung und Automatisierung von Geschäftsprozessen wurde ein Grey-Box Pentest durchgeführt. Ziel des Tests war die Identifikation von Schwachstellen in der zugrunde liegenden IT-Infrastruktur.
  • Planung, Koordination und Durchführung des Penetrationstests
  • Auswahl geeigneter Tools und Testmethoden basierend auf dem zu prüfenden System
  • Analyse und Identifizierung von Schwachstellen in der IT-Infrastruktur der App inkl. Risikobewertung
  • Erstellung einer Dokumentation der Ergebnisse mit Handlungsempfehlungen und Zusammenfassung für das Management
  • Präsentation der Ergebnisse gegenüber dem Kunden

White-Box Penetrationstest

Penetrationstester
Für einen großen Anbieter für Finanz- und Personalmanagementlösungen wurde ein White-Box Pentest für eine zentralisierte Anwendung durchgeführt, die zur Authentifizierung und Autorisierung von Benutzern für verschiedene Apps des Anbieters verwendet wird. Ziel des Tests war die Identifikation von Schwachstellen in der zugrunde liegenden Cloud-Infrastruktur.
  • Planung, Koordination und Durchführung des Penetrationstests
  • Auswahl geeigneter Tools und Testmethoden basierend auf dem zu prüfenden System
  • Durchführung automatisierter und manueller Sicherheitstests
  • Analyse und Identifizierung von Schwachstellen in der Cloud-Umgebung der App inkl. Risikobewertung
  • Überprüfung der eingesetzten Cloud-Services auf sichere Konfiguration nach Best-Practices und anerkannten Standards wie CIS-Benchmark
  • Sicherheitsanalyse des Identity Access Managements (IAM)
  • Sicherheitsanalyse der bereitgestellten Application Programming Interfaces (APIs)
  • Sicherheitsanalyse der DevOps-Prozesse
  • Erstellung einer Dokumentation der Ergebnisse mit Handlungsempfehlungen und Zusammenfassung für das Management
  • Präsentation der Ergebnisse gegenüber dem Kunden

Forschungsprojekt zur automatisierten Ermittlung von Angriffsvektoren in Cloud-Umgebungen

Projektleiter und Entwickler
In einem durch Bundesministerium für Wirtschaft und Klimaschutz (BMWK) geförderten Forschungsprojekts wurde untersucht, wie automatisiert mögliche Angriffswege in Cloud-Umgebungen ermittelt werden können. Ziel des Projekts war es, generische Verfahren und Methoden mit Hilfe von KI zu entwickeln, die Ausnutzwahrscheinlichkeiten für Angriffsmöglichkeiten in Cloud-Umgebungen vorhersagen können.
  • Planung und Koordination des Projekts
  • Evaluierung aktuell verfügbarer Tools zum Scannen von Cloud-Infrastrukturen
  • Analyse des Markts und aktueller Forschungsartikel zu Möglichkeiten der Identifikation kombinierter Schwachstellen in Cloud-Umgebungen zur Bestimmung komplexer Angriffswege
  • Entwicklung automatisierter Sicherheitsanalysen für Cloud-Umgebungen
  • Anfertigen von Dokumentationen und Forschungsberichte

Black-Box Penetrationstest

Penetrationstester
Bei einer Marketingplattform eines namenhaften deutschen Unternehmens aus der Lebensmittelindustrie wurde ein Black-Box Pentest durchgeführt. Ziel des Tests war die Identifikation von Schwachstellen im Bereich Web- und Infrastruktur.
  • Planung, Koordination und Durchführung des Penetrationstests
  • Auswahl geeigneter Tools und Testmethoden basierend auf dem zu prüfenden System
  • Durchführung automatisierter und manueller Sicherheitstests
  • Analyse und Identifizierung von Schwachstellen der Webanwendung und der zugrundeliegenden IT-Infrastruktur inkl. Risikobewertung
  • Erstellung einer Dokumentation der Ergebnisse mit technischen Details, Handlungsempfehlungen und Zusammenfassung für das Management
  • Präsentation der Ergebnisse gegenüber dem Kunden

White-Box Penetrationstest

Penetrationstester
Für einen bekannten Anbieter für digitale Medien wurde ein White-Box Pentest seiner App durchgeführt. Ziel des Tests war die Identifikation von Schwachstellen in der zugrunde liegenden Cloud-Infrastruktur.
  • Planung, Koordination und Durchführung des Penetrationstests
  • Auswahl geeigneter Tools und Testmethoden basierend auf dem zu prüfenden System
  • Durchführung automatisierter und manueller Sicherheitstests
  • Analyse und Identifizierung von Schwachstellen in der Cloud-Umgebung der App inkl. Risikobewertung
  • Überprüfung der eingesetzten Cloud-Services auf sichere Konfiguration nach Best-Practices und anerkannten Standards wie CIS-Benchmark
  • Sicherheitsanalyse des Identity Access Managements (IAM)
  • Sicherheitsanalyse der DevOps-Prozesse
  • Erstellung einer Dokumentation der Ergebnisse mit Handlungsempfehlungen und Zusammenfassung für das Management
  • Präsentation der Ergebnisse gegenüber dem Kunden

Grey-Box Penetrationstest

Penetrationstester
Bei einem Smart-Home-System eines namenhaften deutschen Unternehmens aus der Smart-Home-Branche wurde ein Grey-Box Pentest durchgeführt. Ziel des Tests war die Identifikation von Schwachstellen in einer bereitgestellten Smart-Home-Umgebung inklusive der Geräte und Benutzeroberflächen zur lokalen und fernen Verwaltung.
  • Planung, Koordination und Durchführung des Penetrationstests
  • Auswahl geeigneter Tools und Testmethoden basierend auf dem zu prüfenden System
  • Durchführung automatisierter und manueller Sicherheitstests
  • Analyse und Identifizierung von Schwachstellen in zentralen Webanwendungen und den zugrunde liegenden IT-Infrastrukturen inkl. Risikobewertung
  • Analyse und Identifizierung von Schwachstellen in lokalen Gerätekonfigurationen und Weboberflächen inkl. Risikobewertung
  • Sicherheitsanalyse von Authentifizierungs- und Autorisierungsdiensten
  • Sicherheitsanalyse von End-to-End-Verschlüsselung
  • Sicherheitsanalyse von Geräteschnittstellen und APIs
  • Erstellung einer Dokumentation der Ergebnisse mit Handlungsempfehlungen und Zusammenfassung für das Management
  • Präsentation der Ergebnisse gegenüber dem Kunden

Weiterentwicklung einer Anwendung zur Konfiguration von Heizungen für Unternehmens- und Endkunden

Secure Software Developer
Weiterentwicklung der Webanwendung eines Energiekonzerns, die zur Konfiguration von Heizungen für Unternehmens- und Endkunden bereitgestellt wird. Ziele der Weiterentwicklung waren es, die Anwendung mit neuen Funktionen nach Anforderungen der Stakeholder zu erweitern, Anpassungen zur Einhaltung regulatorischer Vorgaben umzusetzen und die Entwicklung einer Whitelabel-Lösung für Unternehmenskunden.
  • Fullstack-Softwareentwicklung in Cloud-Umgebungen
  • Durchführung von Code Reviews und Sicherheitsanalysen
  • Bewertung und Umsetzung von Pentest-Ergebnissen
  • Planung und Umsetzung von DevOps-Prozessen
  • Integration automatisierter Sicherheits-Scans in DevOps-Prozessen
  • Durchführung von Unit- und Integrationstests
  • Unterstützung bei der risikokritischen Bewertung von Public Cloud Services
  • Anfertigung von Dokumentationen der Software-Architektur

Entwicklung einer FinOps-Anwendung für die AWS-Cloud

Backend-Entwickler
Es wurde eine Webanwendung entwickelt, mit der Unternehmenskunden eines AWS-Managed-Service-Providers visuell aufbereitete Informationen über ihre Cloud-Umgebungen abrufen können. Ziel des Projekts war die transparente Offenlegung anfallender Kosten der verwendeten Cloud-Services und die Visualisierung der Ergebnisse automatisierter AWS-Compliance-Checks.
  • Backend-Softwareentwicklung in Cloud-Umgebungen
  • Definition und Bereitstellung von APIs in Absprache mit Frontend-Entwickler
  • Durchführung von Code Reviews
  • Durchführung von Unit- und Integrationstests
  • Planung und Umsetzung von DevOps-Prozessen
  • Planung und Abstimmung mit Stakeholdern
  • Anfertigung von Dokumentationen der Software-Architektur

Web Application Security Service

Penetrationstester
Im Rahmen des Web Application Security Services wurden regelmäßige Penetrationstests der Webanwendungen eines Energiekonzerns durchgeführt. Ziel des Projekts war das sicherheitskritische Monitoring der Anwendungen und die frühzeitige Identifikation von Schwachstellen im Bereich Web und IT-Infrastruktur.
  • Unterstützung des Kunden beim Anfertigen von Schutzbedarfsanalysen
  • Koordination und Durchführung von Penetrationstests
  • Durchführung automatisierter und manueller Sicherheitstests
  • Analyse und Identifizierung von Schwachstellen in Webanwendungen und in den zugrundeliegenden IT-Infrastrukturen inkl. Risikobewertungen
  • Erstellung von Dokumentationen und Präsentationen der Ergebnisse mit Handlungsempfehlungen
  • Durchführung zielgerichteter Nachtests

Entwicklung eines Portals für automatisierte Schwachstellentests

Softwarearchitekt und Fullstack-Entwickler
Es wurde eine App zur automatisierten Überprüfung von Webanwendungen auf Schwachstellen entwickelt. Ziel des Projekts war die Entwicklung eines Webportals für Unternehmenskunden, mit dem diese ihre eigenen Anwendungen automatisiert auf Schwachstellen in den Bereichen Web, Infrastruktur, Verschlüsselung und JavaScript-Dependencies überprüfen können. Ein weiteres Ziel war die Möglichkeit, regelmäßige Schwachstellen-Scans zeitlich planen und automatisch ausführen zu können. Die Ergebnisse der Scans werden dem Kunden in einem Dashboard visuell aufbereitet dargestellt.
  • Abstimmung mit Stakeholder
  • Entwurf und Dokumentation der Software- und Systemarchitektur
  • Aufstellung, Priorisierung und Koordination der Entwicklungstätigkeiten
  • Backend-Softwareentwicklung
  • Frontend-Softwareentwicklung
  • Planung und Durchführung von Deployments
  • Planung und Durchführung von Softwaretests
  • Präsentation der Ergebnisse gegenüber Stakeholder

Aufbau und Sicherung von militärischen und zivilen IT-Infrastrukturen

IT-Unteroffizier
Während meiner achtjährigen Dienstzeit als IT-Soldat im Heer bei der Fernmeldetruppe wurde ich zunächst als Truppführer, später als Gruppenführer und stellvertretender Zugführer eingesetzt. In dieser Funktion habe ich den Aufbau, Betrieb und die Sicherung militärischer IT- und Kommunikationsinfrastrukturen verantwortet. Mein Schwerpunkt lag dabei auf der Planung und Umsetzung sicherer Netzwerke unter besonderen Einsatzbedingungen.

Zertifikate

Certificate of Cloud Security Knowledge (CCSK)

Cloud Security Alliance

2025

Certificate of Competence in Zero Trust (CCZT)

Cloud Security Alliance

2025

AWS Certified Cloud Practitioner

Amazon Web Services (AWS)

2023

AWS Certified DevOps Engineer – Professional

Amazon Web Services (AWS)

2023

CompTIA PenTest+ ce

CompTIA

2022

CompTIA CySA+ ce

CompTIA

2021

Certified Professional for Software Architecture Foundation Level

iSAQB® – International Software Architecture Qualification Board

2021

AWS Certified Developer – Associate

Amazon Web Services (AWS)

2020

AWS Certified Security – Specialty

Amazon Web Services (AWS)

2020

Certified Ethical Hacker (CEH)

EC-Council

2016

SAP Certified Application Associate – Business Foundation & Integration with SAP ERP 6.0 EHP5

SAP

2014

CompTIA A+ ce

CompTIA

2013

CompTIA Network+ ce

CompTIA

2013

CompTIA Security+ ce

CompTIA

2013

Microsoft Certified Solutions Associate: Windows Server 2012

Microsoft

2013

Microsoft Certified Solutions Associate: Windows Server 2008

Microsoft

2013

Microsoft Certified Technology Specialist: Windows Server 2008 Active Directory, Configuration

Microsoft

2013

Microsoft Certified Technology Specialist: Windows Server 2008 R2, Server Virtualization

Microsoft

2013

Microsoft Certified Technology Specialist: Windows Server 2008 Network Infrastructure, Configuration

Microsoft

2013

Kontaktanfrage

Einloggen & anfragen.

Das Kontaktformular ist nur für eingeloggte Nutzer verfügbar.

RegistrierenAnmelden