1. Security-Strategie für Produkt und Corporate IT
Verantwortung für die Übersetzung von Risiken in Prioritäten, Roadmaps und messbare Outcomes unter enger Zusammenarbeit mit bestehenden Teams zur Vermeidung von Silos
2. Engineering-nahe Zusammenarbeit
Enge Kollaboration mit Infrastruktur-, Backend-, Frontend- und Mobile-Teams sowie Teilnahme an Architektur-Reviews, Threat Modeling und Design-Entscheidungen
3. Security-by-Design
Etablierung und Skalierung von Threat Modeling, Security Champions, sicheren Patterns/Guardrails und pragmatischen Secure-SDLC-Gates (CI/CD, IaC, Secrets, Dependencies, Logging)
4. ISO 27001 Compliance
Operative und strategische Verantwortung für Re-Audit, kontinuierliche Compliance, Evidence-Automation, Management Review, Finding-Management und Audit-Readiness ohne Feuerwehren – kontinuierliche und präventive Compliance-Überwachung
5. BSI C5 und BSI-TR 03161
Vorbereitung auf BSI:C5 und BSI-TR 03161, inklusive Control-Mapping, Gap-Plan, Evidenzen, Supplier-/Subprocessor-Management und Audit-Choreografie
6. Supplier- & Third-Party-Risk-Programm für medizinische Software & AI
Aufbau eines Risikomanagement-Programms mit Fokus auf Sicherheitsanforderungen, Vertragsnachweise, Change Notifications, Exit-/Fallback-Pläne sowie Change Control, Versionierung/Traceability (Model/Prompt/Policy), Validierung/Regression, Human Oversight und Post-Market Monitoring in enger Abstimmung mit Produkt, Clinical und QM
7. Incident & Vulnerability Management
Sicherstellung effizienter Prozesse für Incident-Management, klare Runbooks, On-Call/Eskalation, Tabletop-Übungen, Postmortems und nachhaltige Fixes
8. Security Observability
Stärkung der Observability durch sinnvolle Telemetrie, Detection/Response-Prozesse und Reporting an Management/Board, ohne Tool-Wildwuchs
9. Datenschutz und Sicherheit
Zusammenarbeit mit DPO, Legal und Quality Management zur Integration von Privacy und Security (DPIAs, Datenklassifizierung, Retention, Audit Trails, Traceability)
Your profile
10. Leadership in Security-Rollen
Du hast Erfahrung als Security-Leader (CISO, Head of Security) in einer Cloud-nativen Produktorganisation, idealerweise in stark regulierten Bereichen wie Gesundheit, MedTech, FinTech oder dem öffentlichen Sektor.
Das ist der einzige Punkt, der nicht ganz passt? Wir sind offen für hochqualifizierte Talente die sich entwickeln wollen!
11. Technische Expertise
Mit deinem Hintergrund als Security Engineer oder Platform Engineer verstehst du komplexe Themen wie IAM, Kubernetes und Cloud-Architekturen und kannst praxisorientierte Sicherheitslösungen entwickeln
12. Security-Maturity-Programme
Du hast erfolgreich Programme wie Threat Modeling, Secure-by-Design und CloudSec-Initiativen umgesetzt und weißt, wie man deren Erfolg mit klaren Metriken und Ergebnissen kommuniziert
13. ISO 27001-Audits und kontinuierliche Verbesserung
Dank deiner umfassende Erfahrung mit ISO 27001-Audits, führst du durch den gesamten Prozess von der Planung bis zur kontinuierlichen Verbesserung
14. Third-Party und Supplier Governance
Verhandlungen und Partnerschaften führst du erfolgreich, indem du technische Sicherheitsanforderungen umsetzt und dabei Erfahrung in der Governance von Drittanbietern und SaaS-Anbietern einbringst
15. Risk Management
Mit fundiertem Wissen in Risikomanagement-Methoden (z. B. ISO 27005, NIST) priorisierst du Sicherheitsrisiken effektiv und managst sie pragmatisch
16. Kommunikationsstärke & Sprachkenntnisse
Du bist klar und durchsetzungsstark auf Deutsch und Englisch, sowohl in technischen als auch in Management-Kontexten, und förderst so die vertrauensvolle Zusammenarbeit mit Teams