Product Security Engineer (m/f/x)

Scalable Capital ist eine führende digitale Investitions- und Banking-Plattform mit einer vollständigen Banklizenz, die Menschen in ganz Europa befähigt, ihre Finanzen selbst zu gestalten. Scalable Broker erleichtert es den Kunden, professionell in Aktien, ETFs, Kryptowährungen und Derivate zu investieren sowie Sparpläne einzurichten. Scalable Wealth, der digitale Vermögensverwaltungsdienst, bietet den Kunden professionelle Investitionen in ETF-Portfolios und wird auch als White-Label-Lösung von Banken und anderen B2B-Partnern genutzt. Die Angebote des Unternehmens werden durch attraktive Zinssätze, Kredite und Private Equity abgerundet. Mit der European Investor Exchange bietet Scalable Capital eine Börse speziell für Privatanleger. Über eine Million Kunden haben bereits mehr als 30 Milliarden Euro der Plattform anvertraut.

Wir suchen einen Product Security Engineer, der unser Team verstärkt und die Sicherheit unserer Plattform fördert. Wir erwarten nicht, dass Sie am ersten Tag alles wissen; stattdessen suchen wir jemanden mit einem soliden Fundament in der Anwendungssicherheit, der bereit ist zu lernen und zu wachsen.

In dieser Rolle fungieren Sie als Brücke zwischen Sicherheit und Technik. Sie beginnen mit praktischen Sicherheitstests und Code-Reviews und erweitern mit Unterstützung von erfahrenen Teammitgliedern schrittweise Ihren Aufgabenbereich um Architekturüberprüfungen, automatisierte Werkzeuge und strategische Sicherheitsinitiativen.

Was Sie tun werden (und lernen werden):

• Anwendungssicherheitstests: Durchführung von Sicherheitsbewertungen und Code-Reviews für unsere Web-Apps, mobilen Apps und APIs. Sie kombinieren manuelle Tests mit automatisierten Werkzeugen, um Sicherheitskontrollen gemäß den Branchenstandards zu validieren.
• Schwachstellenoffenlegung & -management: Triage eingehender Berichte von Bug-Bounties, Schwachstellenoffenlegungen und externen Penetrationstests. Sie helfen bei der Verwaltung des Aufnahmeprozesses und arbeiten daran, in Zukunft ein formelles Bug-Bounty-Programm einzurichten.
• Sichere Softwareentwicklungslebenszyklus (SSDLC): Unterstützung bei der Integration von Sicherheitstools (SAST, DAST, SCA) in unsere CI/CD-Pipelines (AWS/GitHub). Sie helfen dabei, diese Tools so anzupassen, dass sie hochpräzise Warnungen für unsere Entwickler liefern.
• Bedrohungsmodellierungsunterstützung: Zusammenarbeit mit erfahrenen Sicherheitsingenieuren und Produktteams zur Teilnahme an Bedrohungsmodellierungssitzungen. Sie lernen, architektonische Mängel und logische Schwachstellen in der Entwurfsphase zu identifizieren.
• Entwicklerunterstützung: Zusammenarbeit mit Engineering-Teams, um sichere Programmierpraktiken zu fördern. Sie helfen beim Aufbau von "asphaltierten Straßen" – sicheren Voreinstellungen und Bibliotheken – um es Entwicklern zu erleichtern, sicheren Code in Kotlin und Python zu schreiben.
• Cloud-Sicherheitsgrundlagen: Erhalten Sie Einblicke in die Sicherung von Infrastruktur-als-Code und AWS-Umgebungen, um sicherzustellen, dass unsere Microservices-Architektur widerstandsfähig bleibt.

Qualifikationen:

• Abschluss in Informatik, Informationssicherheit oder einem verwandten Bereich (oder gleichwertige praktische Erfahrung).
• Fundierte Erfahrung in Anwendungssicherheit, Produktsicherheit oder Softwareentwicklung mit einem Sicherheitsfokus. Wir suchen Potenzial und grundlegende Fähigkeiten über eine perfekte Checkliste hinaus.
• Starkes Verständnis der OWASP Top 10 und Vertrautheit mit Verifizierungsstandards wie OWASP ASVS/MASVS. Sie wissen, wie "gute" Sicherheit aussieht und wie man sie überprüft.
• Sie können Code lesen und überprüfen. Vertrautheit mit Kotlin, Java, Python oder TypeScript ist sehr wünschenswert. Sie sollten sich wohlfühlen, Code-Logik mit Entwicklern zu besprechen.
• Erfahrung mit Burp Suite oder ähnlichen Testwerkzeugen. Vertrautheit mit CI/CD-Konzepten (GitHub Actions) ist ein Plus.
• Zertifizierungen sind schön zu haben, aber nicht erforderlich. Beispiele sind OSCP, GWAPT, GCPN, CSSLP oder AWS Security Specialty.
• Sie haben hohe Empathie für Entwickler. Sie können technische Erkenntnisse klar erklären und arbeiten gerne in einem kollaborativen Umfeld.
• Sie glauben, dass Sicherheit ein Teamsport ist. Sie bevorzugen Zusammenarbeit über Konfrontation und haben eine starke Teamorientierung.

Zusätzliche Informationen:

• Seien Sie Teil eines der am schnellsten wachsenden und sichtbarsten Fintech-Startups in Europa, das innovative Dienstleistungen schafft, die einen erheblichen Einfluss auf das Leben unserer Kunden haben.
• Arbeiten Sie mit einem internationalen, vielfältigen, integrativen und ständig wachsenden Team, das es liebt, die besten Produkte für unsere Kunden zu schaffen.
• Arbeiten Sie in unseren zentral gelegenen Büros im Herzen von München oder Berlin, eingebettet in lebhafte Viertel mit lebhaften Restaurants, gemütlichen Cafés und einer Vielzahl von praktischen Annehmlichkeiten.
• Seien Sie produktiv mit der neuesten Hardware und den neuesten Werkzeugen.
• Lernen und wachsen Sie, indem Sie an unseren internen Wissensaustausch- oder Karriereentwicklungssitzungen teilnehmen und Ihr individuelles Bildungsbudget nutzen.
• Lernen und erleben Sie die deutsche Kultur aus erster Hand, indem Sie an unseren kostenlosen Deutschkursen teilnehmen.
• Internationale Umzugshilfe wird bei Bedarf bereitgestellt.
• Flexible Urlaubsregelung und die Möglichkeit, aus dem Ausland zu arbeiten.
• Profitieren Sie von einem attraktiven Vergütungspaket und von der betrieblichen Altersvorsorge.
• Monatlicher Beitrag von 50% für das 'Deutschland Jobticket'.
• Verabschieden Sie sich von Auftragsprovisionen und begrüßen Sie Ihr kostenloses Abonnement des Scalable Capital PRIME+ Brokers.
• Genießen Sie flexible und vergünstigte Sportaktivitäten mit dem Urban Sports Club.