English
Link zum LinkedIn Profil Link zum Youtube Channel Link zum Profil bei uTest (Login benötigt)
photo

Martin Fürholz

Senior Penetration Tester · Test Team Lead · AI Red-Teaming

Rostock, Deutschland

High-Performance Security Leadership & Agentic AI Development

Das technische Rückgrat moderner Sicherheitsarchitektur.
Von November 2018 bis Mai 2026 exklusiver Test Team Lead der Applause Security Practice. Ich agierte als Active Principal: nicht nur Strategien entwerfend, sondern durch technische Exzellenz an der Front führend. Pionier in der Entwicklung maßgeschneiderter agentischer KI-Sicherheitstools, die die Testeffizienz revolutionierten. Finale Eskalationsinstanz für High-Risk-Scopes: Host-/Infrastruktur (OSCP-Spektrum), IoT, DRM und AI Red-Teaming.

Letzte Rolle & Engagements:

Exklusiver Security Test Team Lead bei Applause (2018-2026, freiberuflicher Retainer seit 2022):
Das technische Sicherheitsnetz. Ich übernahm persönlich die tieftechnischen Analysen, an denen andere scheiterten. Aktuelle Benchmark: 28 Schwachstellen in einem einzigen AWS-Subnetz einer US-Online-Bank identifiziert (Dez 2025).

Entwickler agentischer KI-Systeme:
Entwicklung autonomer, maßgeschneiderter KI-Agenten (C#/Python) zur Automatisierung komplexer Aufklärungs- und Exploit-Aufgaben jenseits menschlicher Geschwindigkeit.

Kernkompetenzen & Innovation:

Deep-Dive Infrastruktur & Netzwerk-Pentesting: Meisterschaft in manueller Enumeration (Nmap/Wireshark), Protokollanalyse und der Kompromittierung komplexer Netzwerkumgebungen, weit jenseits automatisierter Scanner.

AI Red-Teaming & Jailbreaking: Definition der Standards für Sicherheit und Robustheit von LLMs der nächsten Generation.

Full-Spectrum Coverage: Von Low-Level IoT-Hardware & DRM-Reversing bis hin zu High-Level Web- & Mobile-App-Sicherheit.

Sprachen: Deutsch (Muttersprache), Englisch (Verhandlungssicher), Französisch (Konversationsniveau B1).

ISTQB CTFL Software Tester (2021) CompTIA Pentest+ Ethical Hacker (2021) ECDL Core (2007), ECDL Advanced Expert (2007)

ÜBER MICH

Persönliche Daten

NAME:

Martin Fürholz

WOHNORT:

Rostock, Deutschland (seit 2012)

EMAIL:

office@fuerholz.org

GEBOREN:

18. Juli 1980 in Wien, Österreich

BERUF:

Senior Penetration Tester, Test Team Lead,
Professioneller Trainer & Subject Matter Expert

FÜHRERSCHEIN:

Europäischer Typ B (eigenes Fahrzeug vorhanden)

Fachliche Kompetenzen

Exklusive Führungsverantwortung: Exklusiver Test Team Lead der Applause Security Practice (2018-2026).

Track Record: Über 1.500 verifizierte Schwachstellen mit 99,7 % Approval-Rate eigenhändig gemeldet; Autor der offiziellen uTest-Academy-Lehrpläne für API Testing und Security Testing (2021-2025).

Advanced Penetration Testing: Expertenstatus für Web, Mobile, API, Host-/Infrastruktur (OSCP-Spektrum), IoT, DRM, Cloud (AWS) und Desktop, plus AI Red-Teaming (LLM Jailbreaking & Robustness).

Entwicklung & Tooling: Tiefe Programmierkenntnisse in C#, C++, Java, Python und Wolfram Language zur Entwicklung eigener Security-Tools.

Technische Basis & Administration: ECDL Advanced Expert (seit 2007): Zertifizierte Beherrschung von Office-Suites, Datenbanken und Präsentationstechnik.

Interessen und Hobbys

Sport:

Wakeboarden (aktivster Fahrer am Cable Park Rostock seit 2023), Trailrunning, Ski/Snowboard.

Musik & Kunst:

Musikproduktion. Frühere Zusammenarbeiten mit internationalen Künstlern (z.B. London Community Gospel Choir). Fotografie-Ausbildung (Die Graphische, Wien).

Broadcasting & Medien:

Betreiber eines professionellen In-House-Content-Studios (eingerichtet Ende 2025) mit 4K-Kameratechnik, Teleprompter, Studiobeleuchtung und Schallisolierung. Bereits in aktiver Produktion: Security-Workshop-Videos und Musikaufnahmen; Aufbau eigener Kanäle in den Bereichen Security und Digital Business.

Wissenschaft & Geist:

Astronomie (Observatoriumszugang via iTelescope.net), Drohnenfotografie und tägliches Schachspiel.

Kurze Biografie

Martin Fürholz ist Senior Penetration Tester mit über zwölf Jahren Erfahrung in der Offensive Security, davon acht Jahre (2018-2026) als exklusiver Test Team Lead der Security Practice bei Applause, dem weltweit führenden Crowdtesting-Anbieter. In dieser Rolle diente er als technisches Rückgrat für globale Testoperationen und garantierte Lieferqualität in Hochrisikobereichen wie AI Red-Teaming, IoT-Ökosystemen und Bankeninfrastruktur. Jenseits seiner Führungsrolle ist Martin ein Hands-on-Experte mit über 1.500 eigenhändig gemeldeten Schwachstellen bei 99,7 % Approval-Rate und einem tiefen Hintergrund in der Softwareentwicklung (C#/C++/Python), der bis ins Jahr 2000 zurückreicht.

Er verbindet diese technische Tiefe mit pädagogischem Geschick, hat die offiziellen uTest-Academy-Lehrgänge für API Testing und Security Testing verfasst sowie den 60-seitigen AI-Red-Teaming Field Guide für Applause, und als professioneller ISTQB-Dozent gewirkt. Martin fundiert seine Security-Arbeit auf solider administrativer Exzellenz (ECDL Advanced Expert seit 2007) und vielfältigen kreativen Talenten. Aktuell absolviert er ein Bachelorstudium in Digital Business mit Schwerpunkt KI-Ökonomie, um die Brücke zwischen technischer Exekution und strategischem Management weiter zu festigen.

Fortbildung

B.A. Digital Business (Englisch)
IU Internationale Hochschule (seit September 2024, Schwerpunkt KI-Ökonomie, voraussichtlicher Abschluss 2027)

Offensive Security Zertifizierung (WEB-200)
Vorbereitung läuft, Prüfung geplant für Herbst 2026

BEDEUTENDE ERFOLGE & PROJEKTE

von

2025

BIS

Heute

(1 Jahr)

Critical Infrastructure

eID AI Security Scan: Agentic AI für die EUDI-Wallet

Die Brücke zwischen KI und Geheimschutz: Für die Absicherung von Android-basierten eID-Implementierungen und der europäischen EUDI-Wallet-Referenzarchitektur habe ich von Grund auf einen vollautomatisierten, agentischen KI-Pentest-Scanner entwickelt. Das System schließt die Lücke zwischen starrer deutscher Behörden-Compliance und modernster offensiver KI-Technologie.

Hybride Prüfmethodik & Exekution: Das System kombiniert tiefe Quellcodeanalyse (SAST) mit dynamischer Laufzeitanalyse (DAST) via Frida. Es prüft automatisiert kryptografische Hardware-Operationen (Secure Enclave, Hardware-backed Keystore) sowie komplexe Authentifizierungs-Flows (OIDC4VP, SIOPv2) und Certificate Pinning Bypasses auf absolute Ausnutzbarkeit (PoC-Validierung).

NDA-Konformität & Privacy-by-Design (Das Fundament für den öffentlichen Sektor): Der Einsatz von Cloud-KIs scheitert im Behördenumfeld meist an Datenschutzbedenken. Meine Architektur löst dies fundamental: Als Data-Sovereignty-Engine bleiben sensible eID-Infrastrukturdaten und Backend-Kommunikation strikt lokal. Externe LLM-APIs werden durch strenges Flag-Gating und automatisierte Secret-Redaction ausschließlich für bereinigte, atomare Entscheidungsbäume genutzt. Data Leakage ist architektonisch ausgeschlossen.

Behördenkonformes Compliance-Mapping: Jeder identifizierte Angriffsvektor wird deterministisch gegen die eIDAS 2.0 Architecture and Reference Frameworks (ARF), BSI TR-03124 (eID-Client), BSI TR-03110 und ISO/IEC 18013-5 (Proximity/mDL) gemappt. Das Ergebnis sind greifbare, unmittelbar auditierbare Reports für technische Entscheider und Projektmanager.

von

2023

BIS

Heute

(3 Jahre)

Agentic AI Development

GoingLLM: Das Rückgrat autonomer KI-Aufklärung

Visionäres Timing: Ich entwickelte und deployte GoingLLM Anfang 2023. Ich erkannte früh die Grenzen statischer Modelle und baute die Lösung, die der Markt nicht bot: Einen autonomen Agenten für intelligente Live-Recherche.

Der USP heute: Darknet & Deep Research: Während einfache Websuche heute Standard ist, bleibt GoingLLM mein proprietärer Vorteil für Tiefenaufklärung. Das System ist spezialisiert auf autonome Darknet-Recherche und komplexe Datenkorrelation.

Enterprise Impact: GoingLLM fungiert als Motor für sicherheitskritische Mandate. Konkretes Szenario: Ich nutze das Tool, um für die höchste DRM-Sicherheitsabteilung eines Top-5 Filmstudios weltweit kritische Reports zu Piraterie-Trends und neuen Bypass-Methoden zu liefern. Es beantwortet Fragen, die kommerzielle "Safe AI" Tools verweigern.

Heute dient GoingLLM als das "neuronale Rückgrat" für meine gesamte Suite an agentischen Test-Tools, kontinuierlich aktualisiert mit GPT-5, diversen Such-APIs und fortgeschrittener Crawling-Logik.

Zur Projekt-Webseite: goingllm.com

GoingLLM Architecture

von

2018

BIS

Heute

(8 Jahre)

Strategisches Leadership

Zukunft gestalten: AI Red-Teaming & Global Security Operations

Architekt der AI Red-Teaming Practice (2024-2026): Als sich die Industrie in Richtung Generative AI bewegte, habe ich das gesamte Red-Teaming-Framework bei Applause eigenständig von Grund auf neu entworfen.
Ich verantwortete den kompletten Lebenszyklus: Erstellung der Cycle Overviews, Verwaltung des Tester-Budgets und Entwicklung der fundamentalen Test Cases für Safety, Jailbreaking und Bias-Erkennung über multimodale Modelle hinweg (Text, Audio, Bild). Ich führte die ersten Engagements persönlich durch, übernahm die Triage und definierte die Reporting-Standards. Was als Einzelinitiative begann, ist heute der operative Standard.

Exklusiver Team Lead (Der technische Anker): Von 2018 bis 2026 diente ich als Test Team Lead der Applause Security Practice als operativer und technischer Anker. Ich verwaltete keine simplen Tickets, sondern verantwortete den gesamten Vulnerability-Lifecycle. Mit einer Historie von rund 10.000 Schwachstellenreports, jeder zweifach manuell durch meine Hände gegangen (initiale Triage und Bug-Fix-Verifikation), bildete ich den ultimativen Filter zwischen globalem Tester-Rauschen und validierten, auditierbaren Enterprise-Findings. Ich war die finale Eskalationsstufe für die komplexesten technischen Herausforderungen, von Hardware-Angriffen im IoT-Bereich bis hin zu komplexen DRM-Bypasses.

Skalierung durch Exzellenz (Das Playbook): Ich habe die Fähigkeiten des Teams durch High-Level-Workshops und die Erstellung der offiziellen uTest-Academy-Lehrpläne für API Testing und Security Testing (2021-2025, bis heute im Einsatz) transformiert. Dazu gehört insbesondere die Autorschaft des internen "AI Red-Teaming Field Guide" (60+ Seiten) für Applause, ein umfassendes Fachbuch, das als Standardwerk sowohl für die Ausbildung neuer Tester als auch für das Management dient, um LLM-Exploitation-Strategien in der gesamten globalen Practice zu vereinheitlichen. Außerdem habe ich das Web Application Security Training in Manhattan/NYC (10/2018) geleitet: drei zweitägige Sessions für insgesamt 70 IT-Mitarbeiter eines der größten internationalen Verlage. Meine Führung garantierte, dass trotz hoher Fluktuation in der Gig-Economy unsere Lieferqualität auf Elite-Niveau blieb.

Verifizierter Track Record (1500+ Schwachstellen):

General Testing Statistics Security Testing Rating

(Bilder anklicken zum Verifizieren: Offizielle Plattform-Metriken, Gold-Status & Report-Historie)

von

2025

BIS

Heute

(1 Jahr)

Advanced AI Research

IMMER: Organische KI-Architektur & Agentic Engineering

Das Projekt (Stable Research Artifact v3.8): Aktuell finalisiere ich "IMMER" (Intelligent Multi-scale Memory via Emergent Resonance), eine experimentelle Architektur, die das Problem statischer LLMs löst. Anders als simple RAG-Systeme implementiert IMMER Hebbsches Lernen, Test-Time Neurogenesis und Metabolisches Altern/Kristallisation. Das neuronale Netz wächst physisch und kristallisiert Wissen während der Interaktion, um "Catastrophic Forgetting" zu verhindern.

Die Innovation: Effiziente Plastizität: Inspiriert von Googles Titans/MIRAS-Architektur, habe ich IMMER so entworfen, dass es auf Consumer-Hardware (z.B. RTX 4080) läuft. Anstatt schwere Attention Heads zu modifizieren, speist mein System dynamische Speicherzustände via "Soft Tokens" in einen eingefrorenen Core (Qwen). Das Ergebnis: Ein System, das binnen weniger Turns intelligenter agiert als sein Kern.
(Veröffentlichung von Paper und Code für Ende 2026 geplant)

Die Engine: Agentic Training (MAKER): Um dieses organische System zuverlässig zu trainieren, setze ich auf das Cognizant Labs/UT Austin MAKER-Framework. Es löst das Halluzinations-Problem durch Prozess-Design: Zerlegung in Micro-Tasks, Multi-Agent Voting und strikte JSON-Schema-Validierung. Fehlerhafte Outputs werden automatisch verworfen und neu generiert. Dies garantiert nahezu null Fehlerraten.

von

2016

BIS

Heute

(10 Jahre)

Ausbildung & Exzellenz

Meisterschaft durch Lehre: Professionelles Training & Technische Exzellenz

Professioneller Dozent (Alfatraining GmbH, 2021-2022): Wahre Meisterschaft zeigt sich darin, Wissen vermitteln zu können. Als offizieller ISTQB-Trainer für Alfatraining leitete ich vierwöchige Intensivkurse in Vollzeit für Führungskräfte, Administratoren, IT-Forensiker und Researcher (5-18 Teilnehmende pro Kohorte).
Ich unterrichtete das volle Spektrum: Von ISTQB CTFL Grundlagen bis hin zur fortgeschrittenen CompTIA Pentest+ Zertifizierung. Mein Lehrplan umfasste Active-Directory-Angriffe, Privilege Escalation, Pivoting, Nmap-Strategien, Web-Application-Attacks, Threat Modeling und Compliance (BSI, NIST).

Pentesting Expertise: Dieser pädagogische Hintergrund fußt auf aktiver Fronterfahrung. Mein Track Record umfasst die Absicherung interner Bankeninfrastrukturen, das Reversing von IoT-Protokollen und das Aufdecken kritischer Logikfehler in DRM-Systemen. Ich bediene Tools nicht nur; ich verstehe die Mechanik tief genug, um sie einem Anfänger zu erklären, oder sie gegen ein gehärtetes Ziel einzusetzen.

von

2008

BIS

Heute

(18 Jahre)

Community Impact

Open Source & Community Leadership

Gast-Mentor an der Universität Rostock (2021-2024): Auf Einladung des Rostocker Hackspaces führte ich regelmäßig freiwillige Workshops im Rahmen der "Fachschaftswoche" für Informatikstudenten durch. Die Themen reichten von praktischer IT-Sicherheit bis zu Ethical Hacking, um die Brücke zwischen akademischer Theorie und Industrierealität zu schlagen.

Open Source Legacy: Mein Engagement für die Open-Source-Community besteht seit 2008.
Security Tools: Aktiver Contributor zu MobSF und laufende Zusammenarbeit mit PortSwigger (Bug-Reports und Feature-Requests zu Burp Suite via deren Third-Level-Support).
Entwickler-Wurzeln: Entwicklung weit verbreiteter Firefox-Add-ons und Code-Beiträge zu Second Life Viewern (inkl. JIRA Bug-Moderation) von 2009–2013.

Ob als Mentor für Studenten oder durch Pull Requests: Mein Ziel bleibt es, Wissen zu teilen, um ein sichereres und offeneres digitales Ökosystem zu schaffen.