T.ZANDER
QBasic GORILLAS.BASREADY.
1982 · LEVEL 44 ·

An angle, a velocity, and the wind.

My first lines of code ran on an Amiga 500. Not long after, on a beige PC, a hidden QBasic game called GORILLAS.BAS became my first real playground: set the angle, set the velocity, read the wind, and let the banana fly. The game shipped as plain BASIC source, so my first hack followed quickly: wilder wind, bigger explosions, a faster banana.

Three and a half decades later the instinct hasn't changed. Give a system the right angle, account for the wind, let it go. Then watch where it lands and adjust. And when the wind itself is the problem, I open the source and change it.

Hacking since school, engineering professionally since 2001, AI-productive since 2017. I build multi-agent systems inside my own companies, write about them on LinkedIn, and founded the AI Meetup Frankfurt.

FIRST MACHINE: AMIGA 500 FIRST HACK: GORILLAS.BAS CODING SINCE: SCHOOL STILL SHIPPING: 2026
◤ HIGH SCORES ◢RHEIN-MAIN ARCADE
  1. 1UP

    Tobias Zander

    HACKER · ENGINEER · FOUNDER
  2. 2ND CLAUDE reasoning and tool use
  3. 3RD GPT the workhorse, broadest tooling
  4. 4TH GEMINI for the long context
  5. 5TH OLLAMA runs local, data stays home

Good players, every one. I don't bet on a single horse: I route between them and keep the local one for when data can't leave the building. Putting them to work is the easy part. Reading the wind is still my job.

◤ 01 · CASES & LAB ◢

Select level.

Seven levels from my own companies and private labs, oldest first. My own data, my own responsibility, my own oversight.

BEERPLORERL1 · 2015 · LEAN

A craft beer subscription, launched lean.

My 2015 startup experiment: a website that sold craft beer as a subscription. I ran it end to end myself, marketing and fulfilment both, minimum product first and real customers early. The method got written up in t3n as "Lean Launch".

READ IN T3N →
SAVEDROID AGL2 · 2016 · FINTECH

Production AI before the LLM wave.

The savedroid app launched in 2016 and passed 100,000 downloads, connected to customers' bank accounts through a PSD2-compliant banking integration. In 2017 a production AI liquidity forecast went live on top of it: classic machine learning on account movements, running in a consumer app years before large language models arrived.

SAVEDROID AGL3 · 2017/18 · BLOCKCHAIN

An ICO at full load.

As savedroid's CTO I owned the blockchain handling behind the token sale. The interactive ICO website I built held five-figure concurrent viewers at peak load.

PRIVATE · LABL4 · SINCE 2018 · SMART HOME NOW PLAYING

A smart home as a distributed state machine.

Running since 2018, with Home Assistant added in 2020 as just one layer of many: around 500 devices, 2,000 entities and 150 hand-written automations, with Gemini as the model layer for the harder decisions. Lived daily operation, not a whiteboard sketch.

PRIVATE · LABL5 · SINCE 2025 · SPORT NOW PLAYING

360° Data Athlete.

I have finished multiple Ironman races, and I coach myself with a system I keep rebuilding. Four generations, from a plain ChatGPT prompt to a Claude-based multi-agent setup, with specialist agents for run and workout analysis, exercise-video review, shoe management and muscle mapping.

ABPAY GMBHL6 · 2026 · MICAR · DORA NOW PLAYING

MiCAR licence application, agent-audited.

The full MiCAR application, including the DORA operational-resilience requirements running alongside it, was moved into a knowledge base and checked by AI agents for consistency, gaps and regulatory risk.

SAVEDROID AGL7 · 2026 · MULTI-AGENT NOW PLAYING

Eight years of litigation, multi-agent review.

An eight-year dispute with tens of millions of euros at stake, spanning hundreds of briefs, exhibits and letters, worked through with a multi-agent system that surfaced contradictions and breaks in reasoning.

IN-HOUSE CASEABPAY GMBH2026MICAR · DORA

The full MiCAR licence application, including the DORA requirements on digital operational resilience running alongside it, was moved into a knowledge base and checked by AI agents for consistency, gaps and regulatory risk. In parallel, agents analysed the legacy codebase and the hosting architecture and set refactoring priorities for operation under a licence. The result is an application meant to stand up to supervisory review, plus a tech base that can carry that operation.

IN-HOUSE CASESAVEDROID AG2026MULTI-AGENT

A dispute that ran from 2018 to 2026, with up to around 29 million euros at stake and hundreds of briefs, exhibits and letters, was worked through with a multi-agent system. Across roughly 5,000 data points, some 130 people and 19 core registers (chronology, evidence, deadlines and more), specialised agents indexed the file, matched statements against one another and systematically surfaced contradictions and breaks in reasoning. The outcome is a structured line of argument that a conventional manual review could not have produced at this depth on any reasonable budget.

READ ON LINKEDIN →
LAB PROJECTPRIVATESINCE 2025MULTI-AGENT · WEARABLES · VISION
360 Data Athlete: dashboard with base data, heart-rate zones, muscle analysis with fatigue status, personal bests and injuries

With multiple Ironman finishes behind me, I coach myself with a system I have been evolving since 2025 to test new agent setups. Four generations, from a plain ChatGPT prompt via n8n and opencode to the current Claude-based multi-agent setup, with specialist agents for run and workout analysis, video review of single exercises, shoe management and muscle mapping with fatigue assessment. Data comes in from Garmin, Strava, intervals.icu and my own footage.

CODE ON GITHUB →
◤ 02 · VIEWS ◢

Recent observations.

26 MAY 2026 · LINKEDIN

AI estimates aren't estimates about the AI.

I asked Claude how long a refactor of an 800-line controller would take. Answer: half a day, a full day with tests. Same prompt, now with the mandate to actually do it: done in twelve to fifteen minutes, tests included. A factor of 30 between estimate and reality, on the same machine. The model estimates the way a 2023 senior engineer taught it to. Not the way it actually works.

MORE ON LINKEDIN →
19 MAY 2026 · LINKEDIN

Copilot goes usage-based. A licence becomes infrastructure.

Per-seat means you pay for the tool to be there. Usage-based means you pay for it to run. Teams who had Copilot bundled as a dev benefit now have to measure AI output: which tasks go to the model, which output ships untouched, where am I paying credits for results I then correct. Exactly the conversations still missing from many AI pilots.

MORE ON LINKEDIN →
28 APR 2026 · LINKEDIN

Sandbox-by-default is hygiene, not paranoia.

Three npm supply-chain incidents in five weeks. What's new is the speed at which a compromised package slips into the workflow: AI coding agents pull and install dependencies faster than a human can read package.json. Allowlist your registries, run your own proxy, don't wave through install hooks, don't keep auth tokens in the same environment as an agent running npm install.

MORE ON LINKEDIN →
◤ 03 · ABOUT ◢

Tobias Zander.

PLAYER 1TOBIAS ZANDER
Tobias Zander, portrait with sunglasses and a Brachiosaurus model in the background
BOARD & CTO · ADVANCED BITCOIN TECHNOLOGIES AG · SINCE 2019 CO-FOUNDER & CTO · SAVEDROID AG · SINCE 2015 MANAGING DIRECTOR · ABPAY GMBH · SINCE 2021 MANAGING DIRECTOR · ZANDUPS GMBH · SINCE 2015

The roles are in the player card. What connects them: I build with my own money and my own name on the line, whether in an AG listed on the Düsseldorf Stock Exchange or in a crypto payment platform applying for its MiCAR licence. Beyond my own companies, I founded the AI Meetup Frankfurt, which at one point grew into the largest AI community in Europe.

Coding and self-employment both since school; my mother had to co-sign the first company registration at the town hall. At the Frankfurt e-commerce agency Sitewards I was CTO and partner with my own stake in the business, leading an engineering team of around twenty. Since 2015 I have founded and led my own companies.

My first production AI system ran in 2017 in the savedroid app. Since then every company of mine has had at least one production AI use case, several with regulatory relevance. The rest of the story is in the levels above.

SIDE QUESTS · WHAT KEEPS ME CURIOUS
AI & AUTONOMY
AI runs through everything I build, and I give it extra scrutiny precisely because I know it sits in tension with my ethical and ecological principles. Around it I follow systems that act on their own, dark software factories included (agent pipelines that build, test and ship software with no human in the loop).
ROBOTICS & DRONES
Autonomous hardware is the part of AI you can bump into. I tinker with Arduino and Maker Pi RP2040 boards, and I fly FPV with my DJI Neo 2. The same drone films my training runs for the 360° Data Athlete.
IMMERSIVE COMPUTING
Virtual and augmented reality hold my attention as the next interface layer past the flat screen. VR for fully synthetic spaces, AR for digital information laid over the physical world.
SUSTAINABILITY
Lower emissions are a default I try to hold, not a badge to wear. It shows up in the unglamorous choices that actually add up: renewable power at home, a plant-based diet, leaving the car for the bike. That last one is where I push hardest, so I want more bike lanes, fewer cars, and alternative transport treated as real infrastructure.
SPORT
Endurance and extreme sport are where I test discipline and pacing on myself rather than on a project. Best times so far: Ironman in 9:34 and a 2:58 marathon.
ART
Art pulls me in, the applied and the eccentric more than the gallery kind. Things to look at, to live with, and to build myself, from generative and interactive work to objects that refuse to sit still. This website is one of those experiments.
ELECTRONIC MUSIC
I don't make it myself, but electronic music is a real obsession. I go deep into the subgenres and dig out the good stuff, and what I'm into lives on my SoundCloud. LISTEN ON SOUNDCLOUD →
◤ 04 · PRESS & COMMUNITY ◢

A tech voice for two decades.

TWO BOOKS

With entwickler.press: "Security im E-Commerce" and "OWASP Top 10".

Book cover: Security im E-Commerce by Tobias Zander, entwickler.press
Security im E-Commerce
Book cover: OWASP Top 10 by Tobias Zander, entwickler.press
OWASP Top 10
SPEAKER · NATIONAL & INTERNATIONAL
Will AI kill the developer's job? · code.talks Hamburg 2021
About Intelligence · AI Camp Frankfurt 2017
savedroid live demo · Finovate Silicon Valley 2016
Secrets of leading developers · Magento Imagine Las Vegas 2015
IT security · agile development · International PHP Conference Berlin & Munich 2013-2015
Introducing Magento 2 · PHP World Washington DC 2014
The web-security iceberg · O'Reilly OSCON Portland 2014
Turbo Boost Your Website (BigPipe) · Webinale Berlin 2014

More appearances at Developer Conference (Hamburg), eShop Summit (Berlin), Magento Live (Munich and London), Meet Magento (Leipzig), PHP Unconference (Hamburg), Take Off Conference (Lille) and Webmontag (Frankfurt).

SELECTED WRITING & PRESS
Crypto as a means of payment · IT Finanzmagazin 2020
Lean Launch · t3n 2015
Security patterns, three-part series · PHP Magazin 2014
From Dev to CTO · FAZ Sonntagszeitung 2014
Expert quote on staff motivation · Handelsblatt
E-commerce interview (video) · webmagazin, Webinale 2014

Former OWASP member.

AI MEETUP FRANKFURT

Founded and grown into what was, at times, the largest AI community in Europe. Host role since handed on; the meetup continues under new leadership.

TO THE MEETUP →
JUGEND HACKT

Mentor at Jugend hackt in Frankfurt: supporting young people who use code to improve the world.

TO JUGEND HACKT →
◤ 05 · CONTACT ◢

Let's talk.

Mail me at info@tobiaszander.de. Hacker, engineer and founder in Frankfurt Rhein-Main. If you're building something interesting, I want to hear about it.

Zandups GmbH
Egelsbacher Straße 79
63225 Langen (Hessen)
Deutschland

Tobias Zander

E-Mail: info@tobiaszander.de

Eintragung im Handelsregister
Registergericht: Amtsgericht Offenbach am Main
Registernummer: HRB 48730

Tobias Zander
Anschrift wie oben

Wir sind nicht bereit oder verpflichtet, an Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle teilzunehmen.

Als Diensteanbieter sind wir gemäß § 7 Abs. 1 DDG für eigene Inhalte auf diesen Seiten nach den allgemeinen Gesetzen verantwortlich. Nach §§ 8 bis 10 DDG sind wir als Diensteanbieter jedoch nicht verpflichtet, übermittelte oder gespeicherte fremde Informationen zu überwachen oder nach Umständen zu forschen, die auf eine rechtswidrige Tätigkeit hinweisen. Verpflichtungen zur Entfernung oder Sperrung der Nutzung von Informationen nach den allgemeinen Gesetzen bleiben hiervon unberührt.

Unser Angebot enthält Links zu externen Websites Dritter, auf deren Inhalte wir keinen Einfluss haben. Deshalb können wir für diese fremden Inhalte auch keine Gewähr übernehmen. Für die Inhalte der verlinkten Seiten ist stets der jeweilige Anbieter oder Betreiber der Seiten verantwortlich. Die verlinkten Seiten wurden zum Zeitpunkt der Verlinkung auf mögliche Rechtsverstöße überprüft. Rechtswidrige Inhalte waren zum Zeitpunkt der Verlinkung nicht erkennbar.

Die durch die Seitenbetreiber erstellten Inhalte und Werke auf diesen Seiten unterliegen dem deutschen Urheberrecht. Vervielfältigung, Bearbeitung, Verbreitung und jede Art der Verwertung außerhalb der Grenzen des Urheberrechtes bedürfen der schriftlichen Zustimmung des jeweiligen Autors bzw. Erstellers.

Verantwortlicher im Sinne des Art. 4 Abs. 7 DSGVO ist:
Zandups GmbH
Egelsbacher Straße 79
63225 Langen (Hessen)
Deutschland
E-Mail: info@tobiaszander.de

Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte erforderlich ist. Eine Verarbeitung personenbezogener Daten erfolgt regelmäßig nur nach Einwilligung des Nutzers oder in den Fällen, in denen eine vorherige Einholung einer Einwilligung aus tatsächlichen Gründen nicht möglich ist und die Verarbeitung der Daten durch gesetzliche Vorschriften gestattet ist.

Diese Website wird auf der Cloud-Infrastruktur von Amazon Web Services gehostet. Vertragspartner für Kunden im Europäischen Wirtschaftsraum ist die Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxemburg. Beim Aufruf der Website werden automatisch Informationen und Daten erfasst und in einer Logdatei gespeichert:

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht in der technischen Bereitstellung und Sicherheit der Website. Die Daten werden nach spätestens 14 Tagen gelöscht, sofern sie nicht aus Sicherheitsgründen länger benötigt werden. Mit Amazon Web Services besteht ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO. Eine Datenverarbeitung erfolgt vorrangig innerhalb der EU; im Rahmen der AWS-Dienste kann nicht ausgeschlossen werden, dass Daten an Amazon Web Services Inc. in die USA übermittelt werden. AWS ist nach dem EU-US Data Privacy Framework zertifiziert. Weitere Informationen: https://aws.amazon.com/de/compliance/eu-data-protection/.

Wenn Sie uns per E-Mail kontaktieren, werden Ihre Angaben (E-Mail-Adresse, Name, Inhalt der Nachricht) zur Bearbeitung der Anfrage und für den Fall von Anschlussfragen verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Anbahnung oder Erfüllung eines Vertrags) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung). Die Daten werden gelöscht, sobald sie für den Zweck ihrer Erhebung nicht mehr erforderlich sind, spätestens nach Ablauf etwaiger gesetzlicher Aufbewahrungsfristen.

Alle auf dieser Website eingesetzten Schriftarten („Press Start 2P", „VT323" und „IBM Plex Mono") werden lokal vom Server dieser Website ausgeliefert. Es findet keine Verbindung zu Google-Servern oder anderen Drittanbietern statt, um die Schriftarten zu laden.

Die Website enthält Links zu externen Diensten (u. a. LinkedIn, GitHub, Meetup, SoundCloud, t3n). Erst beim Klick auf einen dieser Links wird eine Verbindung zum jeweiligen Anbieter hergestellt und können personenbezogene Daten (z. B. IP-Adresse) an diesen übermittelt werden. Für die Datenverarbeitung durch diese Dritten gelten deren eigene Datenschutzerklärungen.

Diese Website setzt keine Cookies, verwendet keine Analyse- oder Tracking-Dienste und bindet keine Werbenetzwerke ein.

Eine Weitergabe Ihrer personenbezogenen Daten an Dritte findet ausschließlich im Rahmen der gesetzlichen Vorgaben statt. Mit dem Hosting-Anbieter besteht ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO.

Sie haben gegenüber dem Verantwortlichen folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

Sie haben gemäß Art. 77 DSGVO das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI)
Postfach 3163, 65021 Wiesbaden
https://datenschutz.hessen.de

Diese Datenschutzerklärung hat den Stand Juli 2026. Durch Weiterentwicklung der Website oder geänderte gesetzliche bzw. behördliche Vorgaben kann eine Anpassung dieser Datenschutzerklärung erforderlich werden.