Incident Response & Digital Forensics Analyst

Wir suchen einen Incident Response & Digital Forensics Analyst, um das lokale CSIRT-Team in der Schweiz zu verstärken. Diese Rolle ist für einen erfahrenen Fachmann mit umfangreicher Erfahrung in der Incident Response (und digitaler Forensik) konzipiert, der die Lücke zwischen tiefgehender technischer Analyse und Krisenmanagement überbrückt, um sicherzustellen, dass unsere Erkenntnisse in klare und umsetzbare Geschäftsinformationen übersetzt werden.

In dieser vielseitigen Rolle wird von Ihnen erwartet, dass Sie selbstständig Incident Response und forensische Untersuchungen durchführen, aber auch die Arbeit anderer Analysten koordinieren. Dies umfasst die Steuerung des technischen Task-Trackings, die Überwachung der Qualität der technischen Lieferung des Teams (von der ersten Analyse bis zur Behebung) und die Sicherstellung, dass alle Ergebnisse den höchsten Standards professioneller Exzellenz entsprechen.

Als erfahrenes Mitglied des Teams spielen Sie auch eine entscheidende Rolle bei der Skalierung und Weiterentwicklung unserer lokalen CSIRT-Fähigkeiten und helfen dabei, unsere Methoden und den Service in der Schweiz zu gestalten. Obwohl dies nicht einen großen Teil der Arbeit ausmacht, erfordert die Rolle eine kleine Menge an Mentoring und Lehre, um sicherzustellen, dass die jüngeren Mitglieder des Teams mit ihrer Arbeitslast zurechtkommen.

Die Rolle wird ausschließlich im lokalen CSIRT arbeiten, hat jedoch Verbindungen zu den SOC- und Threat Intelligence-Diensten für den Informationsaustausch.

• IR-Expertise: Durchführung von End-to-End-Incident-Response, manchmal für Kunden in Krisensituationen, und Gewährleistung einer qualitativ hochwertigen Lieferung bei gleichzeitiger Aufrechterhaltung einer ruhigen und stabilen Präsenz.
• On-Call-Rotation: Teilnahme am 24/7-Notrufdienst, um eine Notfallabdeckung außerhalb der regulären Arbeitszeiten sicherzustellen.
• Incident-Koordination: Überwachung des Task-Trackings und der technischen Analysen, die von anderen Analysten während koordinierter Reaktionen durchgeführt werden.
• Digitale Forensik: Durchführung eingehender forensischer Untersuchungen auf verschiedenen Medien und Plattformen, einschließlich eigenständiger digitaler forensischer Einsätze außerhalb der Live-Incident-Response.
• Berichterstattung & Qualitätskontrolle: Schreiben und Überprüfen detaillierter Incident-Berichte in Französisch und Englisch (mit einem scharfen Auge für die rechtlichen und strategischen Implikationen jedes Wortes) und Sicherstellung, dass alle kundenorientierten Dokumente den höchsten Standards entsprechen.
• Proaktive Beratung: Unterstützung der Kunden in den Phasen vor dem Vorfall zur Stärkung ihrer Resilienz (z.B. Verbesserung des Loggings, Verfeinerung von Incident-Response-Plänen und -Playbooks, Durchführung technischer und exekutiver Tischübungen, Implementierung von Strategien zur Reduzierung von MTTD/MTTR usw.).
• Serviceentwicklung: Beitrag zum Wachstum des lokalen CSIRT-Services durch technische Innovation, Methodologieverbesserungen und Tool-Entwicklung.
• Pre-Sales & Mentoring: Teilnahme an Pre-Sales-Aktivitäten (z.B. Vorschläge und Präsentationen) und aktives Training/Weiterbildung von Junior- und Mid-Level-Analysten.

• Bildung: Abschluss in IT, Informatik oder einem verwandten Bereich der Cybersicherheit.
• Erfahrung: Idealerweise 4+ Jahre in DFIR. Wir sind jedoch offen für talentierte Profile mit weniger Seniorität, die starke technische Autonomie und praktische Expertise im Feld nachweisen können.
• Zertifizierungen: GIAC-Zertifizierungen (wie GCFA, GCFR oder GNFA) sind ein deutlicher Vorteil.
• Kommunikation: Starke Kommunikationsfähigkeiten und ein hohes Maß an Berichtswesen in Französisch und Englisch (C1/C2-Niveau). Deutsch ist ein erheblicher Vorteil.
• Krisenmanagement: Nachgewiesene Fähigkeit, hochdrucksituationen produktiv und professionell zu bewältigen und sowohl operative als auch projektbezogene Anforderungen zu priorisieren und umzusetzen.
• Geschäftsverständnis: Tiefes Verständnis von Unternehmens-IT-Ökosystemen, deren Lebenszyklen und budgetären Einschränkungen.

• Tiefes Verständnis der Taktiken und Angriffs-Methodologien (TTPs), die die Grundlage jeder effektiven Verteidigungsstrategie bilden.
• Nachgewiesene Erfahrung in der Ursachenanalyse und komplexen Incident-Response-Szenarien.
• Starkes Verständnis der Netzwerkprinzipien und -protokolle (TCP/IP, DNS, SMTP, HTTP usw.).
• Kompetenz in der Untersuchung von Umgebungen in Google Cloud, AWS und Azure. Erfahrung mit Kubernetes und OpenStack wäre von Vorteil.
• Fähigkeit zur Überprüfung und Korrelation von Rohprotokolldateien (Firewall, Netflow, IDS, Systemprotokolle).
• Malware-Triage-Fähigkeiten zur Bestimmung böswilliger Absichten und Auswirkungen.
• Erfahrung mit Netzwerk-Analysetools wäre von Vorteil (wie Wireshark, tcpdump, Zeek oder RITA).
• Solides Wissen über die Anforderungen an rechtlich verteidigbare Untersuchungen und die Beweiskette.
• Kompetenz in der Extraktion und Analyse forensischer Artefakte über verschiedene Betriebssysteme hinweg.

• Praktische Erfahrung mit EDR/XDR-Lösungen (wie Cortex XDR oder CrowdStrike), einschließlich Bedrohungssuche und Eindämmungsmaßnahmen.
• Kompetenz mit modernen Akquisitions- und Triage-Tools (wie KAPE, Velociraptor oder RedLine).
• Fähigkeit zur Automatisierung repetitiver Aufgaben, Optimierung von Workflows und Datenanalyse mit mindestens einer Skriptsprache (wie Python und PowerShell).