Product Security Engineer (m/f/x)

Scalable Capital ist eine führende digitale Investitions- und Banking-Plattform mit einer vollständigen Banklizenz, die Menschen in ganz Europa befähigt, ihre Finanzen selbst zu gestalten. Scalable Broker erleichtert es den Kunden, professionell in Aktien, ETFs, Kryptowährungen und Derivate zu investieren sowie Sparpläne einzurichten. Scalable Wealth, der digitale Vermögensverwaltungsdienst, bietet den Kunden professionelle Investitionen in ETF-Portfolios und wird auch als White-Label-Lösung von Banken und anderen B2B-Partnern genutzt. Die Angebote des Unternehmens werden durch attraktive Zinssätze, Kredite und Private Equity abgerundet. Mit der European Investor Exchange bietet Scalable Capital eine Börse speziell für Privatanleger. Über eine Million Kunden haben bereits mehr als 30 Milliarden Euro der Plattform anvertraut. Gegründet im Jahr 2014 beschäftigt Scalable Capital nun über 700 Mitarbeiter in München, Berlin, Wien, Mailand und London. Gemeinsam mit dem Gründungs- und Managementteam, einschließlich Erik Podzuweit und Florian Prucker, arbeiten sie an einer neuen Generation von Finanzdienstleistungen.

Wir suchen einen Product Security Engineer, der unser Team verstärkt und die Sicherheit unserer Plattform fördert. Wir erwarten nicht, dass Sie am ersten Tag ein "Unicorn" sind, das alles weiß; stattdessen suchen wir jemanden mit einem soliden Fundament in der Anwendungssicherheit, der bereit ist zu lernen und zu wachsen. In dieser Rolle fungieren Sie als Brücke zwischen Sicherheit und Technik. Sie beginnen mit praktischen Sicherheitstests und Code-Überprüfungen, und mit der Unterstützung von erfahrenen Teammitgliedern werden Sie schrittweise Ihren Aufgabenbereich auf Architekturüberprüfungen, automatisierte Werkzeuge und strategische Sicherheitsinitiativen erweitern.

Was Sie tun werden (und lernen werden):

• Anwendungssicherheitstests: Führen Sie Sicherheitsbewertungen und Code-Überprüfungen unserer Web-Apps, mobilen Apps und APIs durch. Sie kombinieren manuelle Tests mit automatisierten Werkzeugen, um Sicherheitskontrollen gemäß den Branchenstandards zu validieren.
• Schwachstellenoffenlegung & -management: Triage eingehender Berichte von Bug-Bounties, Schwachstellenoffenlegungen und externen Penetrationstests. Sie helfen, den Aufnahmeprozess zu verwalten und arbeiten darauf hin, in Zukunft ein formelles Bug-Bounty-Programm einzurichten.
• Sichere Softwareentwicklungslebenszyklus (SSDLC): Unterstützen Sie die Integration von Sicherheitstools (SAST, DAST, SCA) in unsere CI/CD-Pipelines (AWS/GitHub). Sie helfen, diese Tools so anzupassen, dass sie hochpräzise Warnungen für unsere Entwickler liefern.
• Bedrohungsmodellierungsunterstützung: Arbeiten Sie mit erfahrenen Sicherheitsingenieuren und Produktteams zusammen, um an Bedrohungsmodellierungssitzungen teilzunehmen. Sie lernen, architektonische Mängel und logische Schwachstellen in der Entwurfsphase zu identifizieren.
• Entwicklerförderung: Arbeiten Sie mit Engineering-Teams zusammen, um sichere Programmierpraktiken zu fördern. Sie helfen, "asphaltierte Straßen" zu schaffen – sichere Standards und Bibliotheken, die es Entwicklern erleichtern, sicheren Code in Kotlin und Python zu schreiben.
• Cloud-Sicherheitsgrundlagen: Erhalten Sie Einblicke in die Sicherung von Infrastruktur-als-Code und AWS-Umgebungen, um sicherzustellen, dass unsere Microservices-Architektur widerstandsfähig bleibt.

Qualifikationen:

• Abschluss in Informatik, Informationssicherheit oder einem verwandten Bereich (oder gleichwertige praktische Erfahrung).
• Fundierte Erfahrung in Anwendungssicherheit, Produktsicherheit oder Softwareentwicklung mit einem Sicherheitsfokus. Wir suchen Potenzial und grundlegende Fähigkeiten über eine perfekte Checkliste hinaus.
• Starkes Verständnis der OWASP Top 10 und Vertrautheit mit Verifizierungsstandards wie OWASP ASVS/MASVS. Sie wissen, wie "gut" aussieht und wie man es überprüft.
• Sie können Code lesen und überprüfen. Vertrautheit mit Kotlin, Java, Python oder TypeScript ist sehr wünschenswert. Sie sollten sich wohlfühlen, Code-Logik mit Entwicklern zu besprechen.
• Erfahrung mit Burp Suite oder ähnlichen Testwerkzeugen. Vertrautheit mit CI/CD-Konzepten (GitHub Actions) ist ein Plus.
• Zertifizierungen sind schön zu haben, aber nicht erforderlich. Beispiele sind OSCP, GWAPT, GCPN, CSSLP oder AWS Security Specialty.
• Sie haben hohe Empathie für Entwickler. Sie können technische Erkenntnisse klar erklären und arbeiten gerne in einem kollaborativen Umfeld.
• Sie glauben, dass Sicherheit ein Teamsport ist. Sie bevorzugen Zusammenarbeit über Konfrontation und haben eine starke Teamorientierung.

Zusätzliche Informationen:

• Seien Sie Teil eines der am schnellsten wachsenden und sichtbarsten Fintech-Startups in Europa, das innovative Dienstleistungen schafft, die einen erheblichen Einfluss auf das Leben unserer Kunden haben.
• Arbeiten Sie mit einem internationalen, vielfältigen, integrativen und ständig wachsenden Team, das es liebt, die besten Produkte für unsere Kunden zu schaffen.
• Arbeiten Sie in unseren zentral gelegenen Büros im Herzen von München oder Berlin, eingebettet in lebhafte Stadtteile mit lebhaften Restaurants, gemütlichen Cafés und einer Vielzahl von Annehmlichkeiten.
• Seien Sie produktiv mit der neuesten Hardware und den neuesten Werkzeugen.
• Lernen und wachsen Sie, indem Sie an unseren internen Wissensaustausch- oder Karriereentwicklungssitzungen teilnehmen und Ihr individuelles Bildungsbudget nutzen.
• Lernen und erleben Sie die deutsche Kultur aus erster Hand, indem Sie an unseren kostenlosen Deutschkursen teilnehmen.
• Internationale Umzugshilfe wird bei Bedarf bereitgestellt.
• Flexible Urlaubsregelung und die Möglichkeit, aus dem Ausland zu arbeiten.
• Profitieren Sie von einem attraktiven Vergütungspaket und von der betrieblichen Altersvorsorge.
• Monatlicher Beitrag von 50% für das 'Deutschland Jobticket'.
• Verabschieden Sie sich von Auftragsprovisionen und begrüßen Sie Ihr kostenloses Abonnement des Scalable Capital PRIME+ Brokers.
• Genießen Sie flexible und vergünstigte Sportaktivitäten mit dem Urban Sports Club.