Bereits 1998 schrieb er Software bei einer Firma, die ihren Fokus schon früh auf die Entwicklung von sicheren Webanwendungen legte. Dort spezialisierte er sich ab 2002 auf die Überprüfung der Sicherheit von Webanwendungen. So hat er zwischenzeitlich mehrere hundert Webanwendungen getestet und auditiert (Penetrationstests, Code Reviews, usw.). Er hält Seminare und Workshops zu den Themen "Web Application Security: Testing" und "Web Application Security: Maßnahmen und Best Pratices". Dadurch konnte er bereits zahlreiche Entwickler und Verantwortliche in diesem Bereich nachhaltig und erfolgreich schulen.
Dieses gesammelte Spezialwissen ist vielfach in Veröffentlichungen eingeflossen, wie z.B. Sicherheit von Webanwendungen: Maßnahmenkatalog und Best Practices des BSI (Bundesamt für Sicherheit in der Informationstechnik), Best Practice: Projektierung der Sicherheitsprüfung von Webanwendungen und Best Practices: Einsatz von Web Application Firewalls des Open Web Application Security Project (OWASP). Seit mehreren Jahren ist Achim Hoffmann aktives Mitglied der OWASP und beteiligt sich dabei an Veröffentlichungen und Software-Projekten, die in internationalen Arbeitsgruppen erstellt werden.
Seit 2010 ist er Board Member des OWASP German Chapter. In diesem Jahr gründete er auch zusammen mit seinem langjährigen Kollegen Ralf Reinhardt die sic[!]sec Gesellschaft für IT-Sicherheit, Prozessoptimierung und Datenschutz mbH in Gröbenzell bei München. Dort ist er heute als Principal Consultant und Geschäftsführer angestellt.
Weiter: Ralf Reinhardt