Für unseren Kunden suchen wir zum weiteren Ausbau der IT-Sicherheitsorganisation einen Senior Vulnerability & Attack Surface Management Experten (m/w/d). In dieser verantwortungsvollen Schlüsselrolle übernehmen Sie die strategische sowie operative Steuerung des unternehmensweiten Schwachstellen- und Angriffsflächenmanagements.
Sie verfügen über ein tiefes technisches Verständnis von Vulnerability Scanning auf Betriebssystem-, Netzwerk- und Protokollebene und sind in der Lage, Sicherheitsrisiken nicht nur anhand von Tool-Ergebnissen, sondern im realen technischen und geschäftlichen Kontext zu bewerten. Dabei betrachten Sie insbesondere Linux- und Windows-Umgebungen sowie moderne hybride IT-Landschaften.
Ihre Aufgaben
* Verantwortung für die fachliche Weiterentwicklung des Vulnerability Managements und Attack Surface Managements
* Steuerung, Analyse und Qualitätssicherung von Schwachstellenscans in komplexen IT-Umgebungen
* Technische Bewertung von Linux- und Windows-Systemen hinsichtlich:
* Patch- und Konfigurationsständen
* Services, Berechtigungen und Systemhärtung
* Registry-, Active-Directory- und Kernel-bezogenen Sicherheitsaspekten
* Sicherstellung der Qualität von Scan-Ergebnissen, inklusive Bewertung von False Positives, False Negatives und Scan-Abdeckung
* Entwicklung und Optimierung risikobasierter Scan-Strategien und Scan-Konzepte (intern/extern, authentifiziert, agentenbasiert oder netzwerkbasiert)
* Identifikation, Bewertung und kontinuierliche Überwachung interner und externer Angriffsflächen
* Analyse neuer Bedrohungs- und Angriffsvektoren im Zusammenhang mit Cloud-Technologien, Remote Access, Third Parties und neuen Services
* Risikoorientierte Bewertung von Schwachstellen unter Berücksichtigung von Exploit-Reife, Angriffsszenarien und Kritikalität der betroffenen Assets
* Beratung von IT-Betrieb, Architektur, Security, Management und Revision in allen relevanten Fragestellungen
* Unterstützung und Vertretung in internen sowie externen Audits
* Umsetzung regulatorischer Anforderungen und Sicherheitsstandards, insbesondere im KRITIS- und BNetzA-Umfeld
* Erstellung von Management-Reports, KPIs und Entscheidungsgrundlagen
* Fachliches Coaching und Mentoring innerhalb der Security-Organisation
Ihr Profil
* Mehrjährige praktische Erfahrung im Vulnerability Management und Attack Surface Management in komplexen Unternehmensumgebungen
* Sehr tiefgehendes technisches Verständnis von Schwachstellenscans und deren Funktionsweise auf Betriebssystemebene
* Fundierte Kenntnisse in:
* Linux- und Windows-Scanning
* Authentifizierten Scans, Credentials, Agenten und API-basierten Verfahren
* Technischen Limitationen und Auswirkungen von Schwachstellenscans
* Erfahrung in der qualitativen und risikobasierten Bewertung von Schwachstellen über klassische CVSS-Bewertungen hinaus
* Sehr gutes Verständnis regulatorischer Anforderungen und Audit-Prozesse
* Kenntnisse im Umfeld des IT-Sicherheitskatalogs der Bundesnetzagentur (BNetzA)
* Erfahrung im Betrieb und in der Governance von Vulnerability-Management-Plattformen
* Kommunikationsstärke sowie sicheres Auftreten auf Stakeholder- und Management-Ebene
* Strukturierte, analytische und verantwortungsbewusste Arbeitsweise
* Verhandlungssichere Deutschkenntnisse sowie gute Englischkenntnisse
Wünschenswerte Qualifikationen
* Zertifizierungen wie CISSP, CISM, CRISC, OSCP oder ISO 27001 Lead Auditor/Implementer
* Erfahrung in KRITIS-, Energie-, Behörden- oder regulierten Umfeldern
* Kenntnisse im Bereich Cloud Attack Surface Management und Exposure Management