Dokumentenverwaltung mit KI-gestützter Erfassung
Solution Architect & Lead Developer12/2025 - 06/2026
Multi-Tenant-SaaS-Produkt zur automatisierten Dokumentenerfassung und -verwaltung. KI-gestützte Pipeline aus OCR, Klassifikation, Datenextraktion und automatischem Tagging mithilfe von Amazon Bedrock. Sämtliche Infrastruktur wird mittels CDK über GitHub Actions deployed. Das Projekt ist rein Serverless auf AWS Lambda mit TypeScript entwickelt. Das Frontend basiert auf React mit TSX und nutzt shadcn/ui Komponenten mit eigenem Styling. User können über einen Self-Onboarding-Prozess gestützt auf Cognito Accounts erstellen und sich passwortlos via OTP anmelden oder ihr Microsoft-Konto als IdP nutzen. Authentifizierung und Föderation laufen über OAuth2/OIDC-Flows.
Amazon BedrockAWS LambdaAmazon API GatewayAmazon DynamoDBAmazon CognitoAWS CDKTypeScriptReact
RAG-Plattform für technische Dokumentation
Solution Architect & Lead Developer03/2026 - 05/2026
Experimentelles Frage-Antwort-System für Dokumente mit Quellenangabe. Durchgängig serverlose Codebasis (TypeScript auf AWS Lambda) mit austauschbarer Modellanbindung: AWS-managed, European Sovereign Cloud und lokale Modelle on-prem, für unterschiedliche Souveränitäts-Stufen. Eine rollenbasierte Autorisierungsschicht stellt sicher, dass nur Dokumente im Zugriffsbereich des Benutzers in den Retrieval-Kontext gelangen. Im Frontend kam React und ebenfalls TypeScript zum Einsatz.
Amazon Bedrock Knowledge BasesAmazon S3 VectorsAmazon TextractAmazon Titan EmbeddingsOllamaAWS LambdaAmazon SQSAmazon EventBridgeTypeScriptReact
SaaS Loyalty- & Couponing-Plattform
Solution Architect & Lead Developer02/2023 - 10/2025
Mandantenfähige Plattform für Kundenbindung im Retail, serverless und event-driven. Migration der bestehenden ECS-Lösung per Strangler Pattern auf Lambda im laufenden Betrieb. Datenhaltung und Queues pro Mandant getrennt, Events über Accountgrenzen verteilt, DynamoDB Single Table Design plus OpenSearch für komplexere Abfragen und die UI. Die Entwicklung folgte API-first mit OpenAPI und eigener Codegenerierungsschicht. Sowohl der Backend-Code auf Lambda als auch die Infrastruktur mit CDK wurden vollständig mit TypeScript entwickelt. Zum Monitoring kommt ein Mix aus CloudWatch und OpenSearch + Grafana zum Einsatz.
AWS LambdaAmazon API GatewayAmazon DynamoDBAmazon OpenSearchAmazon SQSAmazon EventBridgeTypeScriptAWS CDK
Modernisierung eines Stateful Messaging Services
Solution Architect09/2024 - 03/2025
Modernisierung eines Stateful Messaging Services, der aufgrund seines Architekturmusters nur über Überprovisionierung skalierte und in Low-Traffic-Zeiten unwirtschaftlich war. Schrittweiser Umbau auf Serverless, beginnend bei selten genutzten Features einzelner konsumierender Systeme bis hin zu zentralen Endpunkten mit hohem Traffic. Der zuvor in-memory gehaltene State wanderte dabei nach DynamoDB und EFS. Ergebnis: bessere Skalierbarkeit, geringere Betriebskosten, deutlich weniger Code.
AWS LambdaAmazon API GatewayAmazon DynamoDBAmazon VPCELBAWS Cloud MapAmazon EFSAmazon SQSAmazon EventBridgeTypeScriptAWS CDK
Multi-Account Landing Zone & Identity
Solution Architect03/2024 - 09/2024
Umstellung einer gewachsenen AWS-Organisation auf vollständig IaC-basierte Landing Zones (OrgFormation) als Ablösung von Control Tower. Zentrales Identity Management mit Identity Center und Azure Entra ID als IdP. Verschiedene Standard-Rollen können per IaC provisioniert werden und Member-Accounts und Regionen wurden durch OUs und passende SCPs abgesichert.
OrgFormationAWS IAM Identity CenterAzure Entra IDSCPsAWS CDKGitHub Actions
Multi-Mandanten Microfrontend-Plattform
Solution Architect & Lead Developer06/2024 - 08/2024
Multi-Mandanten Frontend-Plattform für verschiedene Services im Retail-Bereich, umgesetzt als Microfrontends unter einer zentralen App-Shell. Die App-Shell orchestriert die einzelnen Microfrontends und stellt gemeinsam genutzte Grundfunktionalitäten zur Verfügung. Die Microfrontends sind versioniert; die App-Shell verantwortet die Auflösung und Auslieferung der jeweils richtigen Version. Dies erfolgt über CloudFront mit Lambda@Edge und CloudFront Functions, wobei der passende Origin dynamisch aus dem CloudFront KeyValue Store aufgelöst wird. Die Umsetzung erfolgte mit React/TypeScript und dem Cloudscape Design System von AWS. Im Hintergrund sorgt ein Verwaltungssystem basierend auf AWS Lambda, DynamoDB und Cognito für die Möglichkeit, Mandantenworkspaces zu erstellen und Föderationen mit externen IdPs wie Microsoft Entra ID oder SAP Cloud Identity Services herzustellen. Ich war von der Konzeption bis zur fertigen Umsetzung maßgeblich beteiligt.
Amazon CloudFrontAWS LambdaAmazon DynamoDBAmazon CognitoReactTypeScriptCloudscape Design System
Hybrid Cloud - Data Center Integration
Solution Architect11/2023 - 03/2024
Anbindung eines lokalen Rechenzentrums an eine Multi-Account AWS-Umgebung in Hub/Spoke-Architektur. Bei RZ-Ausfall übernehmen Cloud-Dienste den Betrieb - Voraussetzung war saubere DNS- und Netzwerk-Konfiguration über alle Accounts hinweg.
Amazon VPCAWS VPNAWS RAMAmazon Route 53Amazon EC2AWS CDK
CDK Account Preparation System
Lead Developer03/2023 - 09/2023
Automatisiertes Account-Setup für Multi-Account- und Multi-Mandanten-Umgebungen. Jeder neu provisionierte Account erhält ein standardisiertes Basis-Setup aus IAM-Rollen und -Policies, Alarmen und grundlegender Infrastruktur, vollständig per AWS CDK deployed. Die CDK Constructs und Stacks sind modular aufgebaut und lassen sich je Konfiguration mandantenabhängig sowie pro Deployment-Stage anpassen. Verwaltung und Absicherung der Accounts erfolgen organisationsweit über AWS Organizations und AWS Control Tower; das Basis-Setup etabliert dabei eine einheitliche Sicherheits-Baseline für jeden Account. Über Amazon EventBridge wird auf relevante Events reagiert, sodass nachgelagerte Setup- und Steuerungsschritte automatisiert ausgelöst werden. Für Schritte außerhalb der nativen CloudFormation-Abdeckung kommen in TypeScript geschriebene CDK Custom Resources zum Einsatz.
AWS CDKCDK Custom ResourcesTypeScriptAWS LambdaAmazon EventBridgeAWS IAMAWS OrganizationsControl Tower
Self-Service API für SAP Customer Data Platform
Solution Architect08/2022 - 06/2023
Integrationsarchitektur für mehrere Produktteams in gewachsener Retail-IT. Entkoppelte REST API und Event-System als einheitlicher Zugang zur zentralen SAP Customer Data Platform - Produktteams bekommen kuratierte APIs und arbeiten unabhängig, ohne SAP-Fachwissen aufbauen zu müssen. Platform Events werden in einem Data-Lake gesammelt und für Auswertungen zur Verfügung gestellt.
Amazon API GatewayAWS LambdaAmazon SQSAmazon EventBridgeAmazon Data FirehoseAmazon S3TypeScript
Zentraler Cross-Account E-Mail-Versand
Lead Developer10/2022 - 12/2022
Shared Service für den Versand transaktionaler Mails aus Cognito, multi-tenant über Mandanten-Accounts hinweg. Realisierung mit Cognito Custom E-Mail Sender, OTP-Decryption mit KMS und pro Mandant individuell gestalteten E-Mails über SES Templates. Inkl. SES Sender Domains sowie Bounce- und Complaint-Management und Einsatz der SES account-level Suppression List.
AWS LambdaAWS IAMAmazon SESAmazon SQSAmazon CognitoAWS CDKTypeScript
CloudTrail-basierte Auditierung
Solution Architect & Developer08/2022 - 09/2022
Zentrale Auditierungslösung für Benutzeraktivitäten auf Basis von AWS CloudTrail über eine gesamte AWS Organization hinweg. Aktivitäten aus allen Member-Accounts werden organisationsweit erfasst und in einem dedizierten Audit-Account zusammengeführt. Kern ist ein CloudTrail-Lake-Event-Data-Store, der die Ereignisse zentral und revisionssicher vorhält. Für wiederkehrende Audit- und Compliance-Fragen (wer hat wann welche Aktion ausgeführt) stehen vorgefertigte Queries bereit, die ad hoc ausgewertet werden können. Der Zugriff erfolgt ausschließlich mit minimalen Berechtigungen über IAM Identity Center und entsprechende Permission Sets. Service Control Policies (SCPs) verhindern das Abschalten oder Manipulieren des Trails.
AWS CloudTrailAWS CloudTrail LakeAmazon CloudWatchAWS OrganizationsAWS IAM Identity Center
Datenmigration Loyalty- & Couponing-Plattform
Lead Developer06/2022 - 09/2022
Datenmigration in einem Loyalty- und Couponing-Projekt: Überführung von ~25 Millionen Datensätzen aus heterogenen Quellsystemen (SAP und historisch gewachsene Eigenentwicklungen) nach AWS. Extraktion, Aufbereitung und Validierung über eigenentwickelte Migrationstools mit AWS Glue, Amazon Athena und S3; Zieldatenhaltung in DynamoDB und Aurora Serverless (MySQL). Da Alt- und Zielsystem längere Zeit parallel liefen, kam eine laufende, event-getriebene Synchronisierung über Amazon EventBridge, SQS und Lambda hinzu, überwacht via CloudWatch. Schwerpunkt: verlustfreie und konsistente Übernahme zwischen altem und neuem System.
AWS GlueAmazon AthenaAmazon S3Amazon DynamoDBAmazon Aurora ServerlessAWS LambdaAmazon EventBridgeAmazon SQSAWS CDKTypeScript
Corporate VPN mit Kundennetz-Anbindung
Solution Architect & Developer03/2022 - 04/2022
Client VPN für Mitarbeiter plus Site-to-Site-Anbindung an Kundensysteme. Zugriffssteuerung über Identity Center und Azure Entra ID, site-spezifische hybride DNS-Auflösung (Split-Horizon) für VPN-basierten Direktzugriff unter Umgehung öffentlicher Endpunkte.
Amazon VPCAWS VPNAWS IAM Identity CenterAmazon Route 53Amazon EC2AWS CDKTerraform