Security Engineer
Just Software AG
Dortmund, Germany
yesterday
Role details
Contract type
Permanent contract Employment type
Full-time (> 32 hours) Working hours
Shift work Languages
English, GermanJob location
Dortmund, Germany
Tech stack
Software System Penetration Testing
Cloud Computing
Continuous Integration
Open Source Technology
Open Web Application Security
Software Engineering
Kubernetes
Docker
Static Application Security Testing
Dynamic Application Security Testing
Job description
- Du definierst, etablierst und misst die sSDLC-Practices verbindlich über alle Entwicklungsteams der GEM-Produktentwicklung hinweg.
- Du legst Security-Gates in der CI/CD-Pipeline fest und verantwortest deren inhaltliche Ausgestaltung sowie die Einhaltung.
Security-Champions-Programm:
- Du baust ein Netzwerk benannter Security Champions in den agilen Teams auf und führst dieses fachlich.
- Du entwickelst Schulungen und Playbooks und befähigst die Champions zur eigenständigen Arbeit in ihren Teams.
Threat Modeling & Security-Governance:
- Du stellst Methodik, Templates und Schulungen für Threat Modeling bereit und reviewst sicherheitskritische Modelle gemeinsam mit unserem Solution Architect.
- Du berätst Solution Architects und Product Management bei sicherheitsrelevanten Architektur- und Roadmap-Entscheidungen.
Vulnerability & SBOM Management:
- Du verantwortest den Prozess für Produkt-Schwachstellenmanagement einschließlich CVE-Triage und Priorisierung von Mitigationsmaßnahmen.
- Du definierst Policy und Schwellenwerte für die SBOM-Erstellung sowie die Bewertung von Open-Source- und Drittanbieter-Komponenten.
- Du stellst die Prozessfähigkeit für die regulatorischen Meldepflichten des CRA sicher.
Regulatorische Nachweisführung:
- Du verantwortest die sicherheitsbezogenen Nachweise für die Zertifizierung nach IEC 62443-4-1 und die CRA-konforme technische Dokumentation.
- Du unterstützt Kundenaudits auf Seiten der Produktentwicklung.
Steuerung von Security-Testing:
- Du definierst die Tooling-Strategie für SAST, DAST und Dependency Scanning und steuerst deren Einführung.
- Du beauftragst und steuerst externe Penetrationstests und verantwortest die Nachverfolgung der Findings.
Schnittstellen:
- Du arbeitest eng mit Solution Architects, Product Management, Operations & Support sowie der unternehmensweiten Security-Governance (CISO) zusammen und wirkst bei Security Incidents mit Produktbezug beratend mit., * Entwicklung & Training
- Flexible Arbeitszeit
- Mobiles Arbeiten
- Team Events
- Unfallversicherung
Requirements
- Berufserfahrung: Du verfügst über mehrjährige Berufserfahrung im Bereich Product Security, Application Security oder Security Engineering, davon nachweislich Erfahrung in einer übergreifenden, teamunabhängigen Rolle.
- Secure by Design: Du hast fundierte Kenntnisse in Secure-by-Design-Prinzipien und sicheren Softwareentwicklungsprozessen (sSDLC).yse43
- Threat Modeling: Praktische Erfahrung mit Threat Modeling (z. B. STRIDE) und Risikobewertungsmethoden ist für dich selbstverständlich. ·
- Security-Champions-Programms: Idealerweise bringst du Erfahrung im Aufbau eines Security-Champions-Programms oder eines vergleichbaren Multiplikatorenmodells mit.
- Schwachstellenmanagement: Du bringst Erfahrung im Schwachstellenmanagement mit: CVE-Bewertung, SBOM (CycloneDX/ SPDX).
- Security-Testing: Du verfügst über fundiertes Verständnis von Security-Testing-Werkzeugen (SAST, DAST, SCA) und ihrer Integration in CI/CD-Pipelines und kannst darauf aufbauend eine Tooling-Strategie definieren.
- Standards & Compliance: Du bringst ein fundiertes Verständnis relevanter Standards und Regularien, insbesondere IEC 62443, Cyber Resilience Act, ISO 27001, OWASP Top 10 mit. ·
- Überzeugungskraft: Du verstehst es ohne disziplinarische Weisungsbefugnis zu überzeugen und Teams für Sicherheit zu gewinnen.
- Kommunikation: Du bringst eine sehr gute Kommunikationsfähigkeit mit, um komplexe Security-Themen für Nicht-Security-Fachleute verständlich zu machen. ·
- Sprachkenntnisse: Du hast verhandlungssichere Englischkenntnisse; Deutschkenntnisse von Vorteil.
- Branchenerfahrung: Idealerweise hast Du Erfahrung im KRITIS-Umfeld, in der Energiewirtschaft oder in vergleichbar regulierten Branchen.
- Multiplikatorenmodelle: Kenntnisse im Aufbau eines Security-Champions-Programms oder vergleichbarer Multiplikatorenmodelle sind von Vorteil.
- Audits & Zertifizierungen: Du hast idealerweise Erfahrung in der Begleitung von Zertifizierungs- oder Auditprozessen (IEC 62443-4-1, ISO 27001).
- Cloud & Container Security: Kenntnisse in Cloud- und Container-Security (Kubernetes, Docker, Härtungsbaselines) sind wünschenswert.
- Zertifizierungen: Relevante Zertifizierungen (z. B. CSSLP, GIAC, OSCP) sind willkommen, aber kein Ausschlusskriterium.
About the company
Just is an enterprise social network that makes teamwork easier and more joyful. It enables teamwork across projects, locations and departments. Just gives you everything you need for productive social collaboration: from social streams to documents to workflows – you name it. Working together has never been simpler.