Staff Security Engineer, Product Security team

Staff Security Engineer, Product Security team

Berlin Vollzeit 60000 - 80000 € / Jahr (geschätzt) Kein Homeoffice möglich
Delivery Hero

Auf einen Blick

  • Aufgaben: Leite die Sicherheitsstrategie und entwickle innovative Sicherheitslösungen für unsere Produkte.
  • Unternehmen: Ein dynamisches Unternehmen, das Sicherheit und Innovation vereint.
  • Vorteile: 27 Tage Urlaub, Weiterbildungsmöglichkeiten und flexible Arbeitsmodelle.
  • Weitere Informationen: Wachstumsmöglichkeiten und ein unterstützendes Team warten auf dich.
  • Warum dieser Job: Gestalte die Zukunft der Produktsicherheit und arbeite mit modernster Technologie.
  • Qualifikationen: Erfahrung in Anwendungssicherheit und DevSecOps ist erforderlich.

Das prognostizierte Gehalt liegt zwischen 60000 - 80000 € pro Jahr.

Wir suchen einen Staff Security Engineer (alle Geschlechter), der unser Product Security Team auf unserer Reise begleitet, um immer erstaunliche Erfahrungen zu liefern. Wir suchen eine pragmatische, wirkungsvolle Einzelperson, die als Staff Product Security Engineer (IC4) unserem Team beitritt. In dieser entscheidenden Rolle werden Sie die übergreifende technische Strategie für Anwendungssicherheit vorantreiben und sicherstellen, dass wir das reale Risiko in unserer gesamten Produktlandschaft reduzieren, ohne die Ingenieurgeschwindigkeit zu verlangsamen.

Sie werden eine "Secure by Design"-Philosophie vertreten und sich von reaktiven Audits und Sicherheitskontrollen abwenden. Stattdessen betrachten Sie Sicherheit als eine kollaborative Ingenieursherausforderung, indem Sie automatisierte Schutzmaßnahmen, Entwicklerwerkzeuge und technische Rahmenbedingungen entwerfen, die es unseren Ingenieurteams ermöglichen, schnell und sicher zu skalieren. Ihre Führungsrolle wird über die unmittelbaren Produktgrenzen hinausgehen, und Sie werden einen domänenweiten Einfluss erzielen, indem Sie die Lücke zwischen Anwendungssicherheit, KI/ML-Sicherheit, Infrastruktur-Sicherheit und Sicherheitsoperationen nahtlos überbrücken.

Ihre Mission:

  • Produkt-Sicherheitsreife vorantreiben: Führen Sie die strategische technische Roadmap für das Product Security Team und stellen Sie sicher, dass Bedrohungsmodellierungsmethoden und sichere Programmierpraktiken effizient in unserem globalen Web- und Mobile-Anwendungssystem skaliert werden.
  • Bedrohungsmodellierung und Sicherheitsarchitektur-Überprüfungen leiten: Wenden Sie Ihr Fachwissen an, um komplexe Sicherheitsdesignfehler früh im Softwareentwicklungszyklus (SDLC) zu identifizieren, indem Sie Rahmenwerke und Automatisierungstools verwenden und architektonische Blaupausen co-autorisieren, die standardmäßig sicher sind.
  • Schwachstellenmanagement und Governance skalieren: Architektieren und betreiben Sie unser Schwachstellenmanagementprogramm in großem Maßstab. Sie werden Eingaben aus internen Tests, automatisierten Werkzeugen und externen Bug-Bounty-/Schwachmeldungsprogrammen aufnehmen und systematisch Schwachstellen validieren und nach tatsächlichem Geschäftsrisiko bewerten.
  • Stakeholder-Management meistern: Übersetzen Sie komplexe Software- und KI-bezogene Schwachstellen in klare, umsetzbare Geschäftsrisiken und arbeiten Sie eng mit der technischen Leitung und den Produktbereichen zusammen, um zeitnahe Behebungen ohne Reibungsverluste voranzutreiben.
  • DevSecOps und CI/CD-Pipelines automatisieren: Ersetzen Sie manuelle Kontrollen durch nahtlose DevSecOps-Workflows, indem Sie automatisierte Sicherheitstestwerkzeuge (SAST, DAST, SCA) direkt in die Entwickler-Pipelines einbetten, um hochriskante Fehler frühzeitig zu erkennen.
  • Künstliche Intelligenz für Sicherheitsautomatisierung nutzen: Fördern Sie die Einführung von künstlicher Intelligenz und LLMs, um unsere Sicherheitsabläufe zu revolutionieren. Sie werden fortschrittliche KI-gesteuerte Sicherheitsautomatisierung entwerfen und implementieren, KI für automatisierte Schwachstelleneinstufung nutzen und intelligente Sicherheitsautomatisierungsrichtlinien erstellen, die die Produktivität der Ingenieure steigern.
  • Domänenübergreifende Zusammenarbeit und CSPM-Management: Treiben Sie den domänenweiten Einfluss voran, indem Sie mit der Infrastruktur-Sicherheit zusammenarbeiten, um Cloud Security Posture Management (CSPM)-Plattformen zu nutzen und sicherzustellen, dass Anwendungsschwachstellen im Kontext des Cloud-Risikos betrachtet werden.
  • Mentor und Inspirator sein: Agieren Sie als technisches Vorbild innerhalb der Sicherheits- und Ingenieurorganisationen. Definieren Sie wichtige Sicherheitskennzahlen, fördern Sie eine starke Sicherheitskultur und betreuen Sie Junior- und Senior-Ingenieure, um eine erstklassige Gemeinschaft von Sicherheitschampions zu schaffen.

Qualifikationen:

  • Nachgewiesene Ingenieurführung: Eine starke Erfolgsbilanz bei der Umsetzung komplexer Anwendungssicherheits- und DevSecOps-Initiativen als Mitarbeiter auf Staff-Ebene in großen, globalen Softwareumgebungen.
  • Umfassende Web- und Mobile-Sicherheit: Tiefes, grundlegendes Verständnis moderner Themen der Web- und Mobile-Anwendungssicherheit, einschließlich praktischer Erfahrung in der Verwaltung externer Bug-Bounty- und Schwachmeldungsprogramme.
  • KI-Sicherheitsexpertise: Starke Kenntnisse der branchenüblichen Sicherheitsrahmen für künstliche Intelligenz, wie z.B. OWASP Top 10 für LLM-Anwendungen, MITRE ATLAS und NIST AI RMF.
  • Praktische Erfahrung mit KI- und Sicherheitsautomatisierung: Praktisches Verständnis der Nutzung von künstlicher Intelligenz (einschließlich LLMs/Generative AI) für Sicherheitsingenieuranwendungen, wie z.B. automatisierte Schwachstellenanalyse, Skripterstellung, Triage-Optimierung und Code-Sicherheitsbehebung.
  • Datenschutz, Ethik und Vorschriften: Solides Verständnis globaler Datenschutzgesetze (z.B. DSGVO), ethische Überlegungen zur KI und die regulatorischen Auswirkungen des EU AI Act auf die Anwendungsarchitektur.
  • Risikobasiertes Schwachstellenmanagement: Starke Expertise in der Validierung und Triage von Schwachstellen, mit der Fähigkeit, über rohe CVSS-Werte hinauszuschauen, um die tatsächlichen geschäftlichen Auswirkungen zu berechnen, gepaart mit hervorragenden Fähigkeiten im Stakeholder-Management, um Ingenieurteams bei der Behebung abzustimmen.
  • Sichere Programmierung und Behebungsfähigkeiten: Tiefgehende praktische Kenntnisse in mehreren modernen Programmiersprachen (z.B. Java, Python, Go) und die Fähigkeit, komplexe Schwachstellen (wie die OWASP Top 10) direkt in Anwendungsrepositories zu codieren, zu überprüfen und zu beheben.
  • Cloud- und CSPM-Vertrautheit: Starke Kenntnisse in der Cloud-Sicherheit (AWS, GCP oder Azure) und containerisierten Ökosystemen (Kubernetes, Docker) sowie ein Verständnis dafür, wie Anwendungssicherheitszeichen mit Cloud Security Posture Management (CSPM)-Plattformen in Einklang gebracht werden können.
  • Identitäts- und Zugriffsmanagement (IAM): Tiefes Verständnis moderner Authentifizierungs- und Autorisierungsprotokolle (OAuth, OIDC, SAML) und wie man Zero Trust-Architekturen in großem Maßstab entwirft und durchsetzt.
  • Cross-Funktionale Sicherheitsoperationen: Grundkenntnisse in Sicherheitsoperationen, Bedrohungserkennung und Incident Response, um sicherzustellen, dass Produktarchitekturen so gestaltet sind, dass sie prüfbar, beobachtbar und widerstandsfähig gegen Live-Angriffe sind.

Zusätzliche Informationen:

  • Wir bieten 27 Tage Urlaub mit einem zusätzlichen Tag im 2. und 3. Jahr der Betriebszugehörigkeit.
  • Wir unterstützen Sie bei der Entwicklung Ihrer Karriere: 1.000 € Bildungsbudget, Sprachkurse, Elternunterstützung und Zugang zur Udemy Business-Plattform.
  • Gesundheitschecks, Meditation, Yoga, Fitnessstudio und Fahrradsubventionen.
  • Mitarbeiteraktienplan, Sabbatical-Bank, Rabatte auf öffentliche Verkehrstickets, Lebens- und Unfallversicherung, betriebliche Altersvorsorge.
  • Digitale Essensgutscheine, Essensgutscheine, Unternehmensrabatte.

Wir glauben, dass Vielfalt und Inklusion der Schlüssel zur Schaffung eines aufregenden Produkts sowie einer großartigen Kunden- und Mitarbeitererfahrung sind. Daher diskriminieren wir nicht aufgrund von Rassenidentitäten, religiösen Überzeugungen, Hautfarbe, nationaler Herkunft, Geschlechtsidentitäten oder -ausdrücken, sexuellen Orientierungen, Alter, Familienstand oder Behinderungen. Wir ermutigen Sie, uns mitzuteilen, ob Sie besondere Unterstützung benötigen, um ein reibungsloses Vorstellungsgespräch zu gewährleisten.

Staff Security Engineer, Product Security team Arbeitgeber: Delivery Hero

Als Arbeitgeber in Berlin bieten wir Ihnen die Möglichkeit, Teil eines dynamischen und innovativen Teams zu werden, das sich leidenschaftlich für Produktsicherheit einsetzt. Unsere Unternehmenskultur fördert Zusammenarbeit und persönliche Entwicklung, unterstützt durch ein umfangreiches Weiterbildungsbudget und flexible Arbeitsmodelle. Darüber hinaus profitieren Sie von attraktiven Zusatzleistungen wie Gesundheitsförderung, Mitarbeiteraktienprogrammen und einem starken Fokus auf Diversität und Inklusion, was uns zu einem herausragenden Arbeitgeber macht.

Delivery Hero

Kontaktdaten:

Delivery Hero Recruiting-Team

Wir glauben, dass du diese Fähigkeiten brauchst, um Staff Security Engineer, Product Security team mit Bravour zu bestehen

Anwendungssicherheit
DevSecOps
Bedrohungsmodellierung
Sicherheitsarchitektur
Schwachstellenmanagement
Stakeholder-Management
Automatisierung von Sicherheitsprozessen