Product Security Engineer (m/f/x)

Scalable Capital ist eine führende digitale Investitions- und Banking-Plattform mit einer vollständigen Banklizenz, die Menschen in ganz Europa befähigt, ihre Finanzen selbst zu gestalten. Scalable Broker erleichtert es den Kunden, professionell in Aktien, ETFs, Kryptowährungen und Derivate zu investieren sowie Sparpläne einzurichten. Scalable Wealth, der digitale Vermögensverwaltungsdienst, bietet den Kunden professionelle Investitionen in ETF-Portfolios und wird auch als White-Label-Lösung von Banken und anderen B2B-Partnern genutzt. Die Angebote des Unternehmens werden durch attraktive Zinssätze, Kredite und Private Equity abgerundet. Mit der European Investor Exchange bietet Scalable Capital eine Börse speziell für Privatanleger. Über eine Million Kunden haben bereits mehr als 30 Milliarden Euro in die Plattform investiert. Gegründet im Jahr 2014 beschäftigt Scalable Capital nun über 700 Mitarbeiter in München, Berlin, Wien, Mailand und London.

Wir suchen einen Product Security Engineer, der unser Team verstärkt und die Sicherheit unserer Plattform fördert. Wir erwarten nicht, dass Sie am ersten Tag ein „Einhorn“ sind, das alles weiß; stattdessen suchen wir jemanden mit einem soliden Fundament in der Anwendungssicherheit, der bereit ist zu lernen und zu wachsen. In dieser Rolle fungieren Sie als Brücke zwischen Sicherheit und Technik. Sie beginnen mit praktischen Sicherheitstests und Code-Überprüfungen und erweitern mit Unterstützung von erfahrenen Teammitgliedern schrittweise Ihren Aufgabenbereich um Architekturüberprüfungen, automatisierte Werkzeuge und strategische Sicherheitsinitiativen.

Was Sie tun werden (und lernen werden):

• Anwendungssicherheitstests: Führen Sie Sicherheitsbewertungen und Code-Überprüfungen unserer Web-Apps, mobilen Apps und APIs durch. Sie kombinieren manuelle Tests mit automatisierten Werkzeugen, um Sicherheitskontrollen gemäß den Branchenstandards zu validieren.
• Schwachstellenoffenlegung & -management: Triage eingehender Berichte von Bug-Bounties, Schwachstellenoffenlegungen und externen Penetrationstests. Sie helfen, den Aufnahmeprozess zu verwalten und arbeiten darauf hin, in Zukunft ein formelles Bug-Bounty-Programm einzurichten.
• Sichere Softwareentwicklungslebenszyklus (SSDLC): Unterstützen Sie die Integration von Sicherheitswerkzeugen (SAST, DAST, SCA) in unsere CI/CD-Pipelines (AWS/GitHub). Sie helfen, diese Werkzeuge so anzupassen, dass sie hochpräzise Warnungen für unsere Entwickler liefern.
• Bedrohungsmodellierungsunterstützung: Arbeiten Sie mit erfahrenen Sicherheitsingenieuren und Produktteams zusammen, um an Bedrohungsmodellierungssitzungen teilzunehmen. Sie lernen, architektonische Mängel und logische Schwachstellen in der Entwurfsphase zu identifizieren.
• Entwicklerförderung: Arbeiten Sie mit Engineering-Teams zusammen, um sichere Programmierpraktiken zu fördern. Sie helfen, „gepflasterte Straßen“ – sichere Voreinstellungen und Bibliotheken – zu schaffen, die es Entwicklern erleichtern, sicheren Code in Kotlin und Python zu schreiben.
• Cloud-Sicherheitsgrundlagen: Erhalten Sie Einblicke in die Sicherung von Infrastruktur-als-Code und AWS-Umgebungen, um sicherzustellen, dass unsere Microservices-Architektur widerstandsfähig bleibt.

Qualifikationen:

• Abschluss in Informatik, Informationssicherheit oder einem verwandten Bereich (oder gleichwertige praktische Erfahrung).
• Tiefgehende Erfahrung in Anwendungssicherheit, Produktsicherheit oder Softwareentwicklung mit einem Sicherheitsfokus.
• Starkes Verständnis der OWASP Top 10 und Vertrautheit mit Verifizierungsstandards wie OWASP ASVS/MASVS.
• Erfahrung im Lesen und Überprüfen von Code. Vertrautheit mit Kotlin, Java, Python oder TypeScript ist sehr wünschenswert.
• Erfahrung mit Burp Suite oder ähnlichen Testwerkzeugen. Vertrautheit mit CI/CD-Konzepten (GitHub Actions) ist von Vorteil.
• Zertifizierungen sind wünschenswert, aber nicht erforderlich (z.B. OSCP, GWAPT, GCPN, CSSLP oder AWS Security Specialty).
• Sie haben ein hohes Einfühlungsvermögen für Entwickler und können technische Erkenntnisse klar erklären.
• Sie glauben, dass Sicherheit ein Teamsport ist und bevorzugen Zusammenarbeit über Konfrontation.

Zusätzliche Informationen:

• Seien Sie Teil eines der am schnellsten wachsenden und sichtbarsten Fintech-Startups in Europa, das innovative Dienstleistungen schafft, die einen erheblichen Einfluss auf das Leben unserer Kunden haben.
• Arbeiten Sie mit einem internationalen, vielfältigen, integrativen und ständig wachsenden Team, das es liebt, die besten Produkte für unsere Kunden zu schaffen.
• Arbeiten Sie in unseren zentral gelegenen Büros in München oder Berlin, eingebettet in lebhafte Stadtteile mit lebhaften Restaurants, gemütlichen Cafés und praktischen Annehmlichkeiten.
• Seien Sie produktiv mit der neuesten Hardware und den neuesten Werkzeugen.
• Lernen und wachsen Sie, indem Sie an internen Wissensaustausch- oder Karriereentwicklungssitzungen teilnehmen und Ihr individuelles Bildungsbudget nutzen.
• Lernen und erleben Sie die deutsche Kultur hautnah, indem Sie an unseren kostenlosen Deutschkursen teilnehmen.
• Internationale Umzugshilfe wird bei Bedarf bereitgestellt.
• Gelegenheit, aus dem Ausland zu arbeiten.
• Profitieren Sie von einem attraktiven Vergütungspaket und einer betrieblichen Altersvorsorge.
• Monatlicher Beitrag von 50% für das 'Deutschland Jobticket'.
• Genießen Sie flexible und vergünstigte Sportaktivitäten mit dem Urban Sports Club.