Stellenbeschreibung

Für unseren Kunden suchen wir einen Security Engineer Cloud Plattformen (w/m/d)

Beginn: 18.08.2025
Dauer: 31.12.2025 (langfristiges Engagement (2026))
Kapazität: 100% wenn möglich
Ort: 75% Remote, 25% Berlin (1 Woche Berlin / 3 Wochen Remote im Wechsel), bis zu 50% onsite in Spitzenzeiten
Sprache: Englisch, Deutsch ist ein Plus

Role:
- Arbeitet eng mit dem Team für Sicherheit und Compliance und den Entwicklungsteams zusammen
- fungiert als Berater bei der Einführung sicherheitsorientierter Verfahren und Lösungen
- Arbeitet funktionsübergreifend, um die Sicherheit in die Entwicklungs- und Betriebsprozesse einzubinden

Aufgaben:
- Design und Implementierung zentraler, automatisierter Sicherheitstest-Tools für Code, Abhängigkeiten, Workloads, Infrastructure-as-Code und Cloud-Deployments
- Etablierung und Wartung automatisierter Sicherheitstestlösungen wie SAST und DAST unter Berücksichtigung von Compliance-Vorgaben und Kontrollrahmen
- Entwicklung und Förderung von DevSecOps-Praktiken über die gesamte Plattform zur Integration von Sicherheit in den Softwareentwicklungszyklus und CI/CD-Pipelines
- Entwicklung und Steuerung von Prozessen zum Schwachstellenmanagement, um eine sichere und konforme Plattform- und Produktsoftware sicherzustellen
- Durchführung sicherer Code-Reviews, Bedrohungsmodellierungen auf Anwendungsebene sowie Bereitstellung von Handlungsempfehlungen zur Behebung von Schwachstellen
- Identifikation, Bewertung und Empfehlung von Verbesserungen im Hinblick auf Schwachstellen innerhalb der Plattform und Softwareprodukte

Skills (must-have):
- Mindestens 5 Jahre Projekterfahrung im Bereich Security Engineering, Secure Supply Chain und Cloud-Plattformen, insbesondere in der Umsetzung von DevSecOps-Praktiken
- Erfahrung im Design und in der Implementierung von Lösungen für Secure Software Development und Secure Delivery
- Fundierte Kenntnisse in Security-Architektur, Secure Design Patterns und relevanten Frameworks
- Erfahrung in sicherer Code-Analyse und Anwendung von Standards wie OWASP (inkl. OWASP Top 10, Secure Coding Standards)
- Praktische Erfahrung mit SAST (Static Application Security Testing), DAST (Dynamic Application Security Testing) sowie der Integration von Security-Tools in CI/CD-Pipelines (z. B. SonarQube, Snyk, Trivy, Aqua)
- Erfahrung im Vulnerability Management sowie im Umgang mit entsprechenden Tools und Prozessen
- Vertrautheit mit Private-Cloud- und Sovereign-Cloud-Plattformen sowie Cloud Security Posture Management (CSPM, KSP, Workload Protection)
- Erfahrung mit Threat Modeling (z. B. nach OWASP, STRIDE) und Kubernetes Security (z. B. CKS oder CNCF-Zertifizierungen)
- Kenntnisse in Security- und Compliance-Standards (ISO/IEC 27001, CSA CCM, BSI Grundschutz, CSI, NIST CSF, NIST OSCAL etc.) sowie branchenspezifischen Regularien (z. B. NIS2, CRA, KRITIS, BSI C5)
- Fließende Englischkenntnisse in Wort und Schrift (mindestens C1), Deutschkenntnisse sind von Vorteil