Stellenbeschreibung
* Sie leiten das Product Security Programm: Sie integrieren Security in den SDLC, Sie führen Threat Modeling durch und Sie leiten Sicherheitsanforderungen für Features und Architekturänderungen ab.
* Sie führen Risikoanalysen durch und priorisieren produktbezogene Risiken (Design, Abhängigkeiten, Compliance).
* Sie arbeiten eng mit Product Managern zusammen, um Sicherheit in Produkt Roadmaps und Planungen zu integrieren.
* Sie übernehmen eine Vermittlerrolle zwischen Governance und technischer Umsetzung: Sie definieren nicht nur Sicherheitsrichtlinien, sondern wirken auch aktiv bei deren Implementierung und Durchsetzung in verschiedenen Produkten mit.
* Sie entwickeln und implementieren sicheres Tooling und Automatisierungsprozesse in CI/CD Pipelines (SCA, SAST/DAST, Secret Scanning).
* Sie managen Vulnerability Triage und Remediation SLAs sowie Sie nehmen an Incident Response bei produktsicherheitsrelevanten Vorfällen teil (Root Cause Analysen, Kundenkommunikation, langfristige Maßnahmen).
* Sie überwachen neue regulatorische Anforderungen (z.B. EU Cyber Resilience Act, NIS2, Cybersecurity Labeling) und stellen die Compliance sicher.
* Sie erstellen und führen Sicherheitsschulungen, Leitfäden und Enablement Initiativen für Engineering und Produktteams durch.
* Sie berichten relevante Security Metriken und den Programmstatus an das Management.
Qualifikationen
Berufserfahrung
* 5–10 Jahre Erfahrung in Product Security, Application Security oder in Rollen mit Schwerpunkt Secure SDLC
Technisches Know-how
* Fundierter technischer Hintergrund (Softwareentwicklung, Security Engineering oder Architektur)
* Umfassendes Wissen über Bedrohungen und Schutzmaßnahmen (OWASP, Secure Design Patterns, Authentifizierungsmodelle, Supply Chain Risiken)
* Erfahrungen mit Cloud Security oder relevanten Standards/Regelwerken (z.B. NIST SSDF, ISO 21434)
* Praxis im Threat Modeling (STRIDE oder vergleichbar) sowie im Umgang mit Risikobewertungsframeworks
* Sicherer Umgang mit Entwicklungstools sowie mit agilen und DevOps Umgebungen
Fähigkeiten
* Starke Stakeholder-Kommunikation über alle Ebenen hinweg, um klare Abstimmung und effektive Zusammenarbeit sicherzustellen
Persönliche Merkmale
* Hohe Eigenmotivation und Selbstständigkeit
* Starkes Verantwortungsbewusstsein
* Proaktive Arbeitsweise
Zertifizierungen
* CISM oder CISSP von Vorteil, aber nicht zwingend erforderlich
Sprachen
* Fließende Deutsch- und Englischkenntnisse in Wort und Schrift
Zusätzliche Informationen
Ihre Ansprechpartner bei Fragen zum Bewerbungsprozess:
Fachbereich: Hr. Andreas Thiele
Personalabteilung: Frau Simone Hotz