Cybersecurity Internal Penetration Tester

Allgemeine Informationen

• Abteilung: Informationssicherheit & BCM
• Arbeitszeitanteil: 100%
• Standort: Genf (bevorzugt), Zürich oder Lugano

Stellenbeschreibung

Der Bereich Informationssicherheit & BCM, unter der Leitung des Group Chief Information Security Officer (CISO) und Teil der Organisation des Chief Operating Officer (COO), definiert, leitet und koordiniert die Informationssicherheitsmaßnahmen weltweit bei EFG International und seinen Tochtergesellschaften. Er umreißt die Informationssicherheitsstrategie, identifiziert und führt Sicherheitsinitiativen durch und legt Standards fest.

Zur Unterstützung des ICT-Risikomanagementrahmens, in Übereinstimmung mit den regulatorischen Anforderungen (FINMA, DORA und relevanten Vorschriften des Finanzsektors), suchen wir einen Cybersecurity Internal Penetration Tester. Der erfolgreiche Kandidat wird verantwortlich sein für die Durchführung fortlaufender, interner Sicherheitsbewertungen der Infrastruktur, Anwendungen und Kontrollen der Bank.

Diese Rolle kombiniert praktische technische Erfahrung in der Durchführung von Penetrationstests und der Simulation von realistischen Angriffsszenarien in Unternehmensumgebungen, mit enger Zusammenarbeit mit Sicherheits-, IT-, Entwicklungs- und Risikoteams, um proaktiv Schwachstellen in kritischen Banksystemen zu identifizieren, auszunutzen und Empfehlungen zur Behebung zu geben.

Hauptverantwortlichkeiten

• Planung, Umfang und Durchführung interner Penetrationstests auf Kernbankplattformen und Geschäftsanwendungen, mit starkem Fokus auf Dienstleistungen, die kritische und wichtige Funktionen unterstützen
• Entwicklung von Testszenarien, die mit realistischen Bedrohungsmodellen im Bankwesen (Betrug, Datenexfiltration, Privilegieneskalation, laterale Bewegungen zu kritischen Systemen) und internen Risikoanalysen übereinstimmen
• Durchführung praktischer Tests gegen interne Netzwerke, Server, Endpunkte, Webanwendungen, APIs, Cloud-Workloads, AD und andere Kerninfrastruktursysteme
• Dokumentation der Ergebnisse in klaren, risikobasierten Berichten mit Nachweisen und umsetzbaren Empfehlungen zur Behebung für technische und nicht-technische Zielgruppen
• Enge Zusammenarbeit mit Infrastruktur-, Entwicklungs-, DevOps- und Risikoteams zur Unterstützung von Behebungsplänen und Nachtests, um sicherzustellen, dass kritische Ergebnisse innerhalb der ICT-Risiko- und Governance-Prozesse bis zur Schließung verfolgt werden
• Entwicklung und Pflege interner Testmethoden, Handbücher und Werkzeuge zur Unterstützung wiederholbarer und effizienter Bewertungen
• Zusammenarbeit mit SOC bei Übungen im Stil eines Purple Teams, um die Erkennungs- und Reaktionsfähigkeiten zu testen und zu verbessern
• Aktuell bleiben zu neuen Bedrohungen, Schwachstellen, TTPs usw. und diese in interne Tests einfließen lassen

Fähigkeiten und Erfahrungen

• Hintergrund in der Cybersicherheit, Informatik oder verwandten Bereichen
• 3-5 Jahre praktische Erfahrung in Penetrationstests oder Red-Team-Aktivitäten, mit nachweislicher Arbeit an internen Netzwerken, Webanwendungen und APIs; Erfahrung im Bank- oder Finanzdienstleistungssektor ist ein großer Vorteil
• Starkes Verständnis von Netzwerkprotokollen, Betriebssystemen (Windows, Linux), Web- und Cloud-Technologien; Vertrautheit mit Kernbankarchitekturen ist ein Plus
• Beherrschung gängiger offensiver Werkzeuge und Techniken (z.B. Burp Suite, Metasploit, Cobalt Strike-ähnliche Frameworks, Kali-basierte Werkzeuge) und die Fähigkeit, manuelle Tests über Werkzeuge hinaus durchzuführen
• Solides Wissen über sichere Programmierkonzepte und häufige Anwendungsanfälligkeiten (z.B. OWASP Top 10), um Web- und API-Ziele zu bewerten
• Berufliche Zertifizierungen wie OSCP, GXPN oder ähnliche offensive Sicherheitsqualifikationen in gutem Ansehen
• Starke Kommunikationsfähigkeiten und die Fähigkeit, komplexe technische Ergebnisse sowohl technischen als auch nicht-technischen Zielgruppen zu erklären