Ich baue KI. Und sichere sie ab.

Ich bin Nick Falshaw. Ich habe 20+ produktive KI-Systeme ausgeliefert, Agenten, RAG-Pipelines und Dokumenten-Automatisierung, und über 17 Jahre Unternehmensnetze in Banken, Automotive, Fertigung und regulierten Umgebungen abgesichert. KI bauen und KI absichern sind normalerweise zwei Rollen. Hier sind sie eine.

LIVE 17 Jahre, verdichtet
nick@falshaw: ~/security
$ whoami
Nick Falshaw, KI-Engineer & KI-Security-Berater
$ cat fokus.txt
KI-Systementwicklung
KI-Security-Engineering
Firewall-Automatisierung im großen Maßstab
Cloud, Zero Trust & ISO 27001
$ cat zertifikate.txt
AI-102 · AZ-500 · ISO 27001 LI · CEH · TOGAF 9 · CCIE Sec (schriftlich)
$ _

System bauen, Stack absichern, im Audit belegen.

Ein KI-System bauen lassen oder ein bestehendes absichern? Ich mache beides: Agenten und Pipelines, die produktiv gehen, Kontrollen, die Produktionsdruck aushalten, und die Nachweise dazu. Firewall-Automatisierung und ISO 27001 bleiben im Werkzeugkasten.

KI-Systementwicklung

Agenten, RAG-Pipelines, LLM-Integrationen und Dokumenten-Automatisierung, von der Idee bis in die Produktion. 20+ Systeme end-to-end ausgeliefert: selbst gehostet, dockerisiert und für den täglichen Betrieb gebaut, nicht für eine einmalige Demo.

KI-Security-Engineering

Agenten handeln, RAG-Pipelines geben Kontext preis, und MCP-Server vergrößern die Angriffsfläche. Ich modelliere Bedrohungen für agentische Systeme, sichere Ingestion ab und härte selbst gehostete LLM-Stacks vor dem Produktivbetrieb.

Firewall-Automatisierung

Herstellerunabhängige Change-Automatisierung, gestützt auf 280+ reale Migrationen über Palo Alto, Check Point, Cisco, Fortinet und F5. Regelwerke, die ein Audit überstehen, Segmentierung, die hält, und Automatisierung, die den menschlichen Engpass beseitigt.

Cloud & Zero Trust

Identitätszentrierte Security für Azure- und Hybrid-Umgebungen: Conditional Access, Segmentierung und Least Privilege, priorisiert nach dem Risiko, das jede Kontrolle wirklich beseitigt, nicht nach dem Logo auf der Box.

ISO 27001 & Compliance

ISO 27001 von der Gap-Analyse bis zur Zertifizierung, plus NIS2- und DORA-Readiness für regulierte Branchen. Das bestandene Audit ist der einfache Teil, das Ziel ist ein Programm, das auch dann hält, wenn etwas bricht.

Belegt, kein Foliensatz

Jede Aussage hier ist durch Lieferung gedeckt: produktive Systeme, echte Migrationen und Audit-Nachweise aus regulierten Umgebungen. Eine Bilanz, die Sie vor einem Gespräch prüfen können.

20+produktive KI-Systeme ausgeliefert
17+Jahre Enterprise-Security
280+Firewall-Migrationen umgesetzt

Siebzehn Jahre nah an Produktion.

Produktive Firewalls, regulierte Audits und KI-Systeme, end-to-end ausgeliefert, die Bilanz, kein Verkaufsgespräch.

  1. 2025, heute

    Unabhängiger KI-Engineer & KI-Security-Berater

    KI-Systeme bauen und absichern: Agenten, RAG-Pipelines und Dokumenten-Automatisierung auf der Bauseite, agentische Bedrohungsmodellierung und Self-Hosted-LLM-Härtung auf der Verteidigungsseite. Dazu Firewall-Automatisierung und ISO 27001-Programme für regulierte Umgebungen.

    • KI-Systementwicklung
    • KI-Workload-Security
    • Firewall-Automatisierung / ISO 27001
  2. 2010, 2025

    Senior / Lead Network Security Contractor

    Fünfzehn Jahre Contracting in DAX-30- und Enterprise-Umgebungen, Banken, Automotive, Fertigung, Payments und der öffentliche Sektor. 280+ Firewall-Migrationen und die zugehörige Sicherheitsarchitektur geliefert, multi-vendor und auditreif.

    • Palo Alto (Panorama / Cortex / Prisma)
    • Check Point (VSX / Gaia / MDS / ClusterXL)
    • Cisco Firepower / ASA / ACI
    • Fortinet
    • F5 BIG-IP
  3. früher

    Netzwerk- & Security-Engineering

    Enterprise-Routing, -Switching und Perimeter-Security, das Fundament, auf dem siebzehn Jahre Firewall-, Compliance- und jetzt KI-Security-Arbeit aufbauen.

Zertifizierungen

AI-102, Azure AI Engineer AZ-500, Azure Security Engineer AI-900, Azure AI Fundamentals ISO 27001 Lead Implementer CEH, Certified Ethical Hacker TOGAF 9 CCSP CCIE Security (schriftlich) CCNP CCDP CCSA · CCSE (Check Point) JNCIA-FWV · JNCIS-FWV (Juniper) Palo Alto EDU-201/205/311/121 F5 BIG-IP LTM ITIL v3 Foundation

Drei Wege, mich einzubinden.

Die meisten Engagements starten als eines davon und wachsen von dort. Fester Umfang, wo er hilft, retained, wo die Arbeit fortlaufend ist.

Absichern

KI- & Security-Review

Ein KI-System bedrohungsmodellieren oder eine Netzwerkumgebung auditieren: Agenten, RAG-Pipelines, MCP-Server, Firewalls und Identität. Sie erhalten einen priorisierten Befundbericht mit Fixes, gereiht nach dem Risiko, das jeder beseitigt, keine Checkliste.

Bauen

Das System bauen

Den KI-Workload end-to-end entwerfen und ausliefern: Agenten, Retrieval und Dokumenten-Automatisierung, selbst gehostet und gehärtet, bevor er in Produktion geht. Für den täglichen Betrieb gebaut, mit eingebauter statt nachgerüsteter Sicherheit.

Migrieren

Firewall & Segmentierung

Herstellerunabhängige Firewall-Automatisierung und -Migration, gestützt auf 280+ reale Projekte über Palo Alto, Check Point, Cisco, Fortinet und F5. Regelwerke, die ein Audit überstehen, und Segmentierung, die wirklich hält.

Feldnotizen.

Praktische Artikel über Firewalls, Compliance und KI-Systeme, die echte Nutzer überstehen.

Dein KI-Coding-Tool hat dich profiliert. Die wahre Lektion heißt Vertrauen.

Ein Forscher fand, dass Claude Code Nutzer heimlich fingerabdruckte und Marker nach Hause funkte. Der Skandal ist nicht Anthropic. Es ist, dass du einem Vendor-Agenten Root gabst und das Vertrauen nie geprüft hast.

Lesen

Sicherheitskontrollen, die das Audit bestehen und nichts bewirken

Das ungelesene Access Review, die Log-only-WAF, die Phishing-Abschlussquote, das Firewall-Review per Stempel, der Regex-„Guardrail“. Kontrollen, die das Audit bestehen und nichts stoppen, und wie man Wirksamkeit statt Existenz prüft.

Lesen

Zugangsdaten sind tot. Es lebe die kontinuierliche Verifizierung.

16 Milliarden Zugangsdaten geleakt, gestohlene Sessions spazieren an MFA vorbei. Besitz beweist keine Identität mehr. Die Antwort ist kontinuierliche Verifizierung.

Lesen

KI-Agenten sind die Service-Accounts, die denken gelernt haben

KI-Agenten sind nicht-menschliche Identitäten mit stehendem Zugriff. Nach 17 Jahren Aufräumen verwaister Firewall-Regeln wirkt der Wildwuchs vertraut.

Lesen

Der autonome KI-Angreifer ist da. Er gewann in unter einer Stunde.

Ein KI-Agent führte eine echte Intrusion von A bis Z aus, in unter einer Stunde ohne Mensch. Was das für Verteidiger bricht.

Lesen

Zwei Authentifizierungsumgehungen, eine Fehlerklasse: VPN-Rand und KI-Stack

Ein Check-Point-VPN-Zero-Day und der BadHost-Fehler in Starlette sind derselbe CWE-287-Fehler, eine Schicht versetzt: angreifergesteuerten Eingaben vertrauen.

Lesen

Von CVSS zu ASR: dem KI-Agenten-Risiko eine Zahl geben

17 Jahre habe ich Risiko in CVSS bewertet. Anthropic gab KI-Agenten ihre eigene Zahl: 31,5 % Prompt-Injection-Hijack-Rate. Die Risiko-Disziplin überträgt sich.

Lesen

Prompt Injection ist ein längst gelöstes Confused-Deputy-Problem

Prompt Injection ist ein Confused-Deputy-Angriff: Der Agent gibt seine eigene Autorität für einen Angreifer aus. Netzwerksicherheit löste das mit Vertrauensgrenzen.

Lesen

Firewall-CVE und KI-Agenten-Breach sind derselbe Fehler

Eine Root-RCE-Firewall-CVE und ein vergifteter KI-Skill-Marktplatz haben eine gemeinsame Ursache: keine Provenienz, kein Least Privilege, keine Change-Control.

Lesen

OWASP LLM Top 10: 5 kritische KI-Schwachstellen für 2026

Wo produktive LLM-Systeme zuerst brechen, abgeleitet aus echten Codebasen und der OWASP LLM Top 10.

Lesen

Zero Trust im Mittelstand: Ein pragmatischer 90-Tage-Plan

Zero Trust für den Mittelstand, nicht für die Fortune 500: Identität, Segmentierung und kontinuierliche Verifikation ohne Komplettumbau.

Lesen

Mittelstand & NIS2: Warum der deutsche Mittelstand gefährlich unvorbereitet ist

Das Rückgrat der europäischen Wirtschaft baute seinen Vorsprung auf Engineering, nicht auf Security. Hier steht, was die BSI-Fristen verlangen und wie man die Lücke schließt.

Lesen

Was mich 15 Jahre Enterprise-Security-Compliance gelehrt haben

Hunderte Assessments über TISAX, PCI DSS, ISO 27001 und NIS2, plus die Lektionen, die in keinem Framework stehen.

Lesen

KI-Bedrohungserkennung: 7 Strategien für CISOs 2026

Wie man Alert-Lärm senkt, neuartiges Angreiferverhalten findet und Detection-Reife in Nachweise verwandelt, die das Board versteht.

Lesen

So läuft ein Projekt.

Die Methode bleibt gleich, ob ich ein KI-System baue oder absichere: erst Evidenz, dann Architektur, dann Umsetzung, immer Verifikation.

01

Erfassen

Abbilden, was wirklich im Einsatz ist, Topologie, KI-Workloads, Identität, Bedrohungsfläche, regulatorischer Scope. Fakten, keine Annahmen.

02

Architektur

Den Zielzustand und den Weg dorthin entwerfen. KI-Kontrollen und Netzwerkverteidigung auf einem Blueprint, priorisiert nach Risiko und Aufwand.

03

Umsetzen

Bauen: Firewall-Automatisierung, RAG-Kontrollen, Identität und Segmentierung, gehärtet gegen die Vektoren, die wirklich treffen.

04

Verifizieren

Unter echter Last beweisen. Nützliches Alerting, eigene Runbooks und Audit-Nachweise als Teil der Lieferung.

KI ausliefern, hinter der
Sie stehen können.

Sie bauen ein KI-System? Sie betreiben eines, das noch nie bedrohungsmodelliert wurde? Oder es geht um Firewalls und ISO 27001? Sagen Sie mir, was gebaut oder geschützt werden muss und welche Frist zählt. Ich antworte innerhalb eines Werktags.

Lieber kein Formular? Finden Sie mich auf LinkedIn.

Remote in der gesamten EU & weltweit