Application Security Expert (DevSecOps)

Der Application Security Expert (DevSecOps) definiert die globalen Sicherheitsanforderungen für die Entwicklung, den Betrieb und die Wartung von Anwendungen, die entweder Teil eines GEA-Standardprodukts sind, spezifisch für ein individuelles Kundenprojekt oder als Dienstleistung für unsere Kunden angeboten werden. Der Application Security Expert (DevSecOps) ist Teil des Product and Operational Technology Security Teams innerhalb der CISO-Organisation und der erste Ansprechpartner für Anwendungsteams zu allen Themen der sicheren Entwicklung.

Verantwortlichkeiten / Aufgaben

• Definiert und regelt globale Sicherheitsanforderungen, Verfahren und Prozesse für die Softwareentwicklung, um eine konsistente Ausrichtung an den Unternehmenssicherheitsstandards zu gewährleisten.
• Leitet die globale Implementierung von Sicherheitstools und -plattformen über den sicheren Entwicklungslebenszyklus (SDLC), um eine skalierbare und automatisierte Sicherheitsintegration in Entwicklungsabläufe zu ermöglichen.
• Bewertet und stellt die Einhaltung der Sicherheitsanforderungen in allen Softwareentwicklungsteams, Abteilungen, globalen Standorten und externen Entwicklungspartnern sicher.
• Führt strategische Sicherheitsüberprüfungen und Audits durch, um die Effektivität der sicheren Entwicklungspraktiken zu überwachen und kontinuierliche Verbesserungen voranzutreiben.
• Definiert und implementiert Sicherheitskontrollen für KI-gestützte Produkte und Anwendungen, um den Schutz von Daten, Modellen, APIs und Laufzeitumgebungen sicherzustellen.
• Identifiziert und interpretiert rechtliche, vertragliche und kundenspezifische Sicherheitsanforderungen, um sicherzustellen, dass die Anwendungsentwicklungsprozesse konform und zukunftssicher bleiben.
• Leitet die Einführung und Reife des SDLC und unterstützt die Entwicklungsstandorte beim Aufbau robuster, wiederholbarer und sicherer Ingenieurprozesse.
• Agiert als primärer Sicherheitsberater für Anwendungsteams und bietet fachkundige Beratung zu Architektur, Risikominderung und sicheren Ingenieurmethoden.
• Definiert und überwacht wichtige Sicherheits-KPIs, um aussagekräftige Berichterstattung und Transparenz in der gesamten Organisation zu gewährleisten.
• Implementiert einen risikobasierten Ansatz zur Bewertung der Anwendungssicherheit, einschließlich Codeanalyse, Tests, Bedrohungsmodellierung und kontinuierlicher Risikoüberwachung.
• Unterstützt die Analyse von Sicherheitsvorfällen und Forensik bei anwendungsbezogenen Verstößen, um organisatorisches Lernen und Resilienz zu fördern.
• Überwacht kontinuierlich Branchentrends und Best Practices im Bereich DevSecOps, um sicherzustellen, dass Sicherheitsanforderungen, Prozesse und Tools mit modernen Standards weiterentwickelt werden.

Ihr Profil / Qualifikationen

• Bachelor- oder Masterabschluss in Informationstechnologie, Informatik, Cybersicherheit oder einem verwandten technischen Fachgebiet.
• DevSecOps-Zertifizierungen von Vorteil.
• Sicherheitszertifikate wie CISSP, CCSP, GIAC Certified Intrusion Analyst (GCIA), GIAC Certified Incident Handler (GCIH) sind von Vorteil.
• 3 Jahre kombinierte Erfahrung in Software Engineering, DevOps und/oder Informationssicherheit.
• 3+ Jahre Erfahrung in der Softwareentwicklung.
• Sehr gute Kenntnisse in (Cyber-)Sicherheitstechnologien und -methoden (Bedrohungslandschaften, Modelle, Standards).
• Kenntnisse und Erfahrungen mit typischen DevOps- und DevSecOps-Tools (CI/CD-Tools, GitHub, Kubernetes, Docker, Linux usw.).
• Erfahrung mit Anwendungssicherheitstools wie SAST, DAST, SBOM-Tools, SCA, Container- und IaC-Scanning.
• Verständnis der Risiken im Quellcode, die durch KI generiert oder unterstützt werden, einschließlich Lizenzkonformität und versteckter Schwachstellen.
• Kenntnisse in Managementsystemen, Audits und im Umgang mit Audit-Ergebnissen.
• Kenntnisse über sichere Nutzungsmuster für generative KI-Tools in der Softwareentwicklung.
• Kenntnisse über Compliance-Standards wie CIS, NIST und DISA.
• Kenntnisse über Sicherheitsstandards wie ISO, PCI, HIPAA und SOX von Vorteil.
• Erfahrung in System- und Netzwerkdesign.
• Erfahrung in O365 und Azure-Sicherheit.
• Erfahrung im Multivendor-Management und im Umgang mit mehreren Lieferanten.
• Kenntnisse in einer der Zielbranchen von GEA von Vorteil.
• Starke zwischenmenschliche Fähigkeiten in Kommunikation und Zusammenarbeit.
• Verhandlungsgeschick auf verschiedenen Ebenen (Kunden, Lieferanten).
• Starke Kommunikationsfähigkeiten in Englisch, lokale Sprache von Vorteil.
• Starke analytische Fähigkeiten, Geschäftssinn und Problemlösungsfähigkeiten.
• Fähigkeit, erfolgreich im Team zu arbeiten.

Hat unser Angebot Ihr Interesse geweckt? Dann klicken Sie bitte oben auf Bewerben, um auf unseren geführten Bewerbungsprozess zuzugreifen.