Siegfried-Thor Bolz
15+ years building secure enterprise content platforms on Adobe Experience Manager — now auditing the AI inside them against the EU AI Act, NIST AI RMF and ISO/IEC 42001.
Tap a topic to see how I help
Adobe Experience Manager & AEMaaCS
Adobe Experience Manager has been my home CMS for 15+ years — and it is still the core of what I do. I architect, optimise and migrate enterprise AEM platforms end to end, from AEM 6.5 OnPrem to AEM as a Cloud Service (AEMaaCS), staying deep in the parts that make a CMS genuinely hard: the JCR content repository, Sling Models, Core Components, Editable Templates, Experience Fragments, Context-Aware Configurations and complex authoring workflows.
My current flagship is an AI-first enterprise CMS on AEMaaCS — migrating tens of thousands of pages and large media archives out of heterogeneous legacy systems into one unified cloud platform, with an intelligent DAM, an in-editor AI co-pilot, agentic content workflows and automatic multilingual translation. I have also led CoreMedia → AEMaaCS migrations for a leading European telecommunications provider, designing complex B2C, B2B and B2P customer journeys.
When AEM is the wrong fit, I map AEM Exit strategies toward composable, headless architectures (Storyblok, Next.js / Nuxt, microservices on Google Cloud Run). And because I have hardened AEM for government and telecommunications clients, I now extend that platform depth into AI risk auditing and cybersecurity — the red thread of my offer: from a rock-solid CMS to a governed, secure, end-to-end AI integration.
AI Governance, Compliance & Risk Management
Modern content platforms increasingly embed AI — personalisation, automated content generation, semantic search and conversational assistants. Every one of those features is now a governance and compliance question, and answering it is where my career is heading: external AI Risk Auditor for organisations adopting AI.
On my current AI-first CMS, AI risk governance is baked in, not bolted on — designed for compliance with the NIST AI RMF and the EU AI Act, with me acting as AI Auditor for AI Risk Governance and Compliance across the platform. I assess each use case against the frameworks that matter — EU AI Act, NIST AI RMF, ISO/IEC 42001 and ISO/IEC 27001 — and produce real evidence: risk classification, model cards, an AI-SBOM, and a living risk register rather than a one-off checklist.
Because I come from hands-on CMS engineering and security, I review the actual implementation — data flows, prompts, integrations and access paths — not just the paperwork. Most compliance auditors do not read code. I do. In May 2026 I completed two specialised programmes that sharpen exactly this lens: the University of Oxford’s Managing Enterprise AI Risks and the Generative AI & Agentic AI for Finance certification (final score 100%).
AI Engineering & RAG on Content Platforms
Content is the perfect fuel for Retrieval-Augmented Generation (RAG) — and a CMS is where that content already lives, structured and governed. I design and review GenAI and RAG systems on top of content platforms: LLM integration, vector search over CMS content, semantic retrieval and agentic workflows that turn a repository into an answer engine.
As an AI Backend Engineer & RAG Architect I have built production pipelines on Google Cloud: LangChain and FastAPI microservices on Cloud Run, embeddings on Vertex AI (Matching Engine, Pinecone), Gemini 2.5 Pro, Redis (Memorystore) caching and BigQuery analytics. Real deliverables include a RAG-powered intranet chatbot, an in-editor AI co-pilot, and AI product recommendations linking AEM to a SAP PIM system via semantic search.
Building these systems is exactly what lets me audit them. I test third-party RAG and agentic stacks against the threats the Oxford and Packt programmes put front and centre — prompt injection, data and model poisoning, PoisonedRAG, confused-deputy, memory poisoning and tool misuse — mapped to the OWASP Top 10 for LLM Applications, the OWASP Agentic Top 10 (T1–T15) and MITRE ATLAS.
Cybersecurity & Adversarial AI
Enterprise CMS platforms are high-value attack surfaces — public-facing, content-rich and heavily integrated — and AI only widens that surface. I build security in from the architecture stage: OWASP Top 10 coverage, hardened content and headless APIs, secure authoring and publishing flows, threat modelling and secure-by-design patterns instead of fixes bolted on after launch.
This comes from 15+ years of secure enterprise Java and AEM for government and telecommunications clients — integrating security code scanners, remediating real vulnerabilities (for example HTTP Method Override), keeping Maven dependencies patched, and securing API routing with FastAPI gateway validation and IAM. My working toolchain: Burp Suite, OWASP ZAP, Snyk and SonarQube.
As AI moves into the content stack, I extend the same rigour to adversarial AI and LLM security: AI red teaming, agentic threat modelling and AI-generated-code risks (the Stanford confidence-competence gap, slopsquatting, supply-chain exposure). Cybersecurity is the backbone that lets me give clients one end-to-end path — from a solid CMS to a governed, secure and audited AI integration.
AI Governance Watch
My public, continuously-watched reference library of the AI governance standards an external AI risk auditor must keep current — each with an audit-oriented summary, the clauses you would cite, and a PR-gated provenance trail for every change. It is a live demonstration of the discipline I bring to client work: keeping a regulatory map current against a fast-moving target, with a defensible, evidence-backed trail.
Optimize AEM, exit it — or audit the AI inside it
A hands-on Adobe Experience Manager (AEMaaCS) expert now moving into external AI Risk Auditing — sharpened by the University of Oxford "Managing Enterprise AI Risks" programme and Packt's "Generative AI & Agentic AI for Finance" certification. Three engagement paths:
AEM & AEMaaCS
Optimise robust AEM OnPrem infrastructures or migrate to AEM as a Cloud Service (AEMaaCS) — semantic, lossless migration of JCR, Sling Models and complex workflows.
The AEM Exit
When AEM is the wrong fit, transition to agile, composable architectures — headless CMS, modern front-ends and microservices on the cloud. Escape lock-in without losing your content.
AI Governance & Audit
AI embedded in CMS and web stacks needs auditor controls: EU AI Act, NIST AI RMF, ISO/IEC 42001, model cards, AI-SBOM and a living risk register.
"Most compliance auditors don't read code. I do."
How I run a CMS AI audit →Need AEM support, an AEM exit, or an AI audit?
I deliver the architecture, the code and the security. Available for projects in German 🇩🇪 and English 🇺🇸.
Imprint / Impressum
Angaben gemäß § 5 TMG
Eigentümer dieser Seite:
Siegfried-Thor Bolz
Am Elzengraben 44
89584 Ehingen
Vertreten durch:
Siegfried-Thor Bolz
Kontakt
Telefon: 0171/1480373
E-Mail: info@siegfried-bolz.de
Haftungsausschluss
Haftung für Inhalte
Die Inhalte unserer Seiten wurden mit größter Sorgfalt erstellt. Für die Richtigkeit, Vollständigkeit und Aktualität der Inhalte können wir jedoch keine Gewähr übernehmen. Als Diensteanbieter sind wir gemäß § 7 Abs. 1 TMG für eigene Inhalte auf diesen Seiten nach den allgemeinen Gesetzen verantwortlich. Nach §§ 8 bis 10 TMG sind wir als Diensteanbieter jedoch nicht verpflichtet, übermittelte oder gespeicherte fremde Informationen zu überwachen oder nach Umständen zu forschen, die auf eine rechtswidrige Tätigkeit hinweisen. Verpflichtungen zur Entfernung oder Sperrung der Nutzung von Informationen nach den allgemeinen Gesetzen bleiben hiervon unberührt. Eine diesbezügliche Haftung ist jedoch erst ab dem Zeitpunkt der Kenntnis einer konkreten Rechtsverletzung möglich. Bei Bekanntwerden von entsprechenden Rechtsverletzungen werden wir diese Inhalte umgehend entfernen.
Berufsbezeichnung und berufsrechtliche Regelungen
Berufsbezeichnung: IT-Consultant / Software-Entwickler
Zuständige Kammer: Nicht kammerpflichtig
Verliehen durch: Deutschland
Redaktionell verantwortlich
Siegfried-Thor Bolz
Am Elzengraben 44
89584 Ehingen
EU-Streitschlichtung
Die Europäische Kommission stellt eine Plattform zur Online-Streitbeilegung (OS) bereit: https://ec.europa.eu/consumers/odr/. Unsere E-Mail-Adresse finden Sie oben im Impressum.
Verbraucherstreitbeilegung / Universalschlichtungsstelle
Wir sind nicht bereit oder verpflichtet, an Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle teilzunehmen.
Haftung für Inhalte
Als Diensteanbieter sind wir gemäß § 7 Abs. 1 TMG für eigene Inhalte auf diesen Seiten nach den allgemeinen Gesetzen verantwortlich. Nach §§ 8 bis 10 TMG sind wir als Diensteanbieter jedoch nicht unter der Verpflichtung, übermittelte oder gespeicherte fremde Informationen zu überwachen oder nach Umständen zu forschen, die auf eine rechtswidrige Tätigkeit hinweisen.
Haftung für Links
Unser Angebot enthält Links zu externen Websites Dritter, auf deren Inhalte wir keinen Einfluss haben. Deshalb können wir für diese fremden Inhalte auch keine Gewähr übernehmen. Für die Inhalte der verlinkten Seiten ist stets der jeweilige Anbieter oder Betreiber der Seiten verantwortlich.
Urheberrecht
Die durch die Seitenbetreiber erstellten Inhalte und Werke auf diesen Seiten unterliegen dem deutschen Urheberrecht. Die Vervielfältigung, Bearbeitung, Verbreitung und jede Art der Verwertung außerhalb der Grenzen des Urheberrechtes bedürfen der schriftlichen Zustimmung des jeweiligen Autors bzw. Erstellers.
Privacy policy / Datenschutzerklärung
1. Datenschutz auf einen Blick
Diese Website ist eine statische Seite. Sie setzt keine Cookies, betreibt kein Tracking und keine Analyse, bindet keine Drittanbieter-Schriften, -Karten oder -Social-Widgets ein und lädt keine externen Ressourcen. Personenbezogene Daten werden nur in dem technisch notwendigen Umfang verarbeitet, der für den sicheren Betrieb der Website erforderlich ist; über Formulare werden keine Daten erhoben.
2. Verantwortlicher
Verantwortlich für die Datenverarbeitung auf dieser Website im Sinne der DSGVO ist:
Siegfried-Thor Bolz
Am Elzengraben 44
89584 Ehingen
Deutschland
Telefon: 0171/1480373
E-Mail: info@siegfried-bolz.de
3. Hosting (STRATO)
Diese Website wird bei der STRATO AG, Otto-Ostrowski-Straße 7, 10249 Berlin, Deutschland („STRATO“) gehostet. Wenn Sie die Website aufrufen, erfasst STRATO als von uns beauftragter Dienstleister verschiedene technische Daten (insbesondere die unter „Server-Logfiles“ genannten). Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO; wir haben ein berechtigtes Interesse an einer zuverlässigen und sicheren Bereitstellung unserer Website. Mit STRATO besteht ein Vertrag über Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO, der die datenschutzkonforme Verarbeitung der Daten gewährleistet. Weitere Informationen entnehmen Sie der Datenschutzerklärung von STRATO: https://www.strato.de/datenschutz/.
4. Server-Logfiles
Der Provider der Seiten (STRATO) erhebt und speichert automatisch Informationen in sogenannten Server-Logfiles, die Ihr Browser automatisch übermittelt. Dies sind insbesondere: Browsertyp und Browserversion, verwendetes Betriebssystem, Referrer-URL, Hostname des zugreifenden Rechners, Uhrzeit der Serveranfrage und die IP-Adresse. Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO; der Websitebetreiber hat ein berechtigtes Interesse an der technisch fehlerfreien Darstellung und der Sicherheit seiner Website. Die Logdaten werden gelöscht, sobald sie für den genannten Zweck nicht mehr erforderlich sind.
5. SSL- bzw. TLS-Verschlüsselung
Diese Seite nutzt aus Sicherheitsgründen eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von „http://“ auf „https://“ wechselt.
6. Kontaktaufnahme per E-Mail
Wenn Sie mir per E-Mail (info@siegfried-bolz.de) schreiben, werden Ihre Angaben einschließlich der von Ihnen mitgeteilten Kontaktdaten zwecks Bearbeitung der Anfrage und für den Fall von Anschlussfragen gespeichert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Anbahnung bzw. Erfüllung eines Vertrags) bzw. lit. f DSGVO (berechtigtes Interesse an der Beantwortung Ihrer Anfrage). Diese Daten gebe ich nicht ohne Ihre Einwilligung weiter und lösche sie, sobald sie für den Zweck nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
7. Ihre Rechte
Sie haben jederzeit das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) sowie ein Widerspruchsrecht (Art. 21 DSGVO). Eine erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen. Unabhängig davon haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren.
8. Zuständige Aufsichtsbehörde
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, Lautenschlagerstraße 20, 70173 Stuttgart — www.baden-wuerttemberg.datenschutz.de.
Stand: Juni 2026.