Security Engineering Lead (m/f/d)

Bei Upvest haben wir die Mission, Investieren so einfach wie Geldausgeben zu machen. Upvest ermöglicht es Unternehmen, eine breite Palette von Anlageprodukten anzubieten und die beste Erfahrung im Bereich Kapitalmarktinvestitionen und Altersvorsorge zu bieten. Die Investment-API von Upvest ist einfach zu integrieren, sodass Fintechs und Finanzinstitute Ressourcen sparen und sich voll und ganz auf ihr Kerngeschäft konzentrieren können.

Wir sind stolz darauf, mit Europas führenden Fintechs und Finanzinstituten wie DKB, Revolut, N26 und Raisin zusammenzuarbeiten. Gegründet im Jahr 2017 von Martin Kassing, vereint Upvest mittlerweile über 270 talentierte Fachkräfte aus mehr als 70 Nationalitäten. Upvest wird von insgesamt 280 Millionen Euro an Finanzierung durch erstklassige Investoren unterstützt, darunter BlackRock, Tencent, Sapphire Ventures und Bessemer Venture Partners, Earlybird, Notion Capital und Motive.

Unsere neueste Finanzierungsrunde über 105 Millionen Euro im März 2026, geleitet von Sapphire und Tencent, dient als massiver Katalysator für unser Wachstum und ermöglicht es uns, eine erstklassige Anlageerfahrung anzubieten.

Warum diese Rolle existiert

Upvest befindet sich an einem Wendepunkt, an dem Sicherheit skalieren und eine grundlegende Disziplin des Unternehmens bleiben muss. Wir suchen einen Security Engineering Lead, der in unser schlankes und effizientes Sicherheitsteam einsteigt, dessen mehrmonatige Richtung festlegt, funktionsübergreifend arbeitet und Security Engineering in ein Team skaliert, das weiterhin die gesamte Anwendungssicherheit und die Sicherheitslage in der Cloud von Upvest in einer stark regulierten Umgebung verantwortet, während es wächst.

Diese Rolle sitzt neben unseren Security Operations und GRC-Teams, die für Erkennung, Reaktion und Compliance-Operationen verantwortlich sind. Während SecOps überwacht, was gerade passiert, gestaltet Security Engineering, was wir bauen und wie wir es bauen, indem Sicherheit in den SDLC eingebettet, unsere Cloud-Umgebung gehärtet und die Plattformen aufgebaut werden, die die Sicherheitsteams effektiver machen.

Sie werden die sicheren Paved Roads besitzen, auf die jeder Upvest-Ingenieur angewiesen ist: automatisiertes SAST/DAST/SCA in unseren GitHub Actions-Pipelines, SSDLC-Einhaltung, IAM- und Netzwerksteuerungen sowie die technische Umsetzung des ICT-Risikorahmens von DORA (und anderen Vorschriften) für unsere Plattform.

Unsere Mission für das Team ist einfach: Machen Sie den sicheren Weg zum einfachen Weg für alle bei Upvest.

Was Sie tun werden:

• Setzen Sie die mehrmonatige Strategie für Anwendungs- und Cloud-Sicherheit über die Investment-API-Plattform von Upvest – abgestimmt auf unseren Produktfahrplan, unsere Mieterverpflichtungen und unsere regulatorischen Verpflichtungen gemäß DORA, MiFID II und BaFin's MaRisk / BAIT-Anforderungen.
• Leiten, betreuen und entwickeln Sie unser Security Engineering und die Sicherheitskultur von Upvest. Sie werden ein kleines, talentiertes Team übernehmen und für Einstellung, Einarbeitung, Wachstum und Bindung verantwortlich sein, während wir wachsen. Und Sie werden Initiativen schaffen, um Sicherheit in den Entwicklungs- und Produktlebenszyklus einzubauen.
• Besitzen Sie die Paved Roads. Bestimmen Sie, wie Upvest Verschlüsselung, AuthN/AuthZ, CI/CD, Daten und Netzwerksurfaces durchführt. Wir möchten weniger Sicherheitsüberprüfungswarteschlangen und mehr Sicherheit, die in die Vorlagen integriert ist.
• Besitzen Sie die Anwendungssicherheit von Ende zu Ende. Bedrohungsmodellierung, sichere Codeüberprüfung, SAST/DAST/SCA-Tool-Integration in unserem GitHub Actions CI/CD und Schwachstellenmanagement.
• Verbessern Sie die Sicherheitslage in der Cloud über unsere GCP-Umgebung – IAM, VPC-Servicekontrollen, Cloud KMS, CSPM (Wiz), Binary Authorization für GKE, Terraform-gesteuerte Infrastruktur-Sicherheitsbaselines und unsere Linkerd-Service-Mesh-Position.
• Reifen Sie die technische Umsetzung von DORA bei Upvest. Arbeiten Sie mit unseren Risiko- und Compliance-Funktionen zusammen, um DORAs ICT-Risikorahmen (Art. 5–9), Anforderungen an sichere Entwicklungstests (Art. 16) und bedrohungsgeführte Penetrationstests (Art. 24–27) in Arbeitsprogramme für Ingenieure zu übersetzen – und in Nachweise, die wir Auditoren und Regulierungsbehörden vorlegen können.
• Integrieren Sie Sicherheit in jedes Produktdesign. Arbeiten Sie eng mit Produkt- und Engineering-Teams zusammen. Architekturüberprüfungen, Designpartnerschaften, Sicherheitschampions in Produktteams, Zusammenarbeit schlägt Gatekeeping.
• Bleiben Sie über aufkommende Bedrohungen informiert. AI / LLM-Sicherheit, agentische Identitäten und die sichere Nutzung von AI-Tools in unserem eigenen Engineering-Workflow sind ein aktives Anliegen.
• Vertreten Sie die Sicherheitslage von Upvest klar gegenüber allen.

Was Sie mitbringen:

• 6–10 Jahre Erfahrung in der Sicherheitstechnik, davon 4+ Jahre mit Schwerpunkt auf Produktsicherheit oder Cloud-Sicherheit, und Sie arbeiten gut in einer regulierten Umgebung. Sie müssen nicht jede Anforderung erfüllen, aber wir bitten um Nachweise, dass Sie Sicherheit von "einem Team in einer Warteschlange" zu "in die Art und Weise, wie eine Ingenieurorganisation liefert, eingebettet" gebracht haben.
• Praktisch, technisch glaubwürdig. Sie verdienen das Vertrauen der Ingenieure, indem Sie tief eintauchen, sodass Sie sich wohlfühlen, Code zu lesen, Designs zu bedrohungsmodellieren, Architekturen zu diskutieren und Werkzeuge zu schreiben, wenn es wertvoll ist.
• Cloud-native Sicherheitstiefe. GCP bevorzugt; AWS oder Azure übertragbar. Sie kennen IAM, Netzwerksegmentierung, KMS, IaC-Sicherheit (Terraform) und Kubernetes-Härtung (RBAC, Netzwerkrichtlinien, Pod-Sicherheitsstandards) als Handwerk.
• Fundamente der Produkt-/Anwendungssicherheit. OWASP Top 10 / ASVS, sichere Codeüberprüfung, SAST/DAST/SCA-Tool-Integration, Lieferkettensicherheit (SLSA, Signierung).
• Führen Sie durch Einfluss, nicht durch Gatekeeping. Sie treiben Sicherheitsresultate durch Partnerschaft mit Engineering-Teams voran. Sie können mit Unklarheiten umgehen, eine Richtung festlegen und fundierte risikobasierte Entscheidungen treffen, die mit der Organisation skalieren. Die Menschen möchten mit Ihnen arbeiten, weil Sie nicht nur "nein" sagen, sondern "ja, und so geht's".
• Menschen einstellen und entwickeln. Sie haben ein kleines Team aufgebaut oder entwickelt. Sie setzen hohe Standards in Interviews, investieren in die Einarbeitung, geben zeitnahe Rückmeldungen und gehen Leistungsprobleme schnell und fair an.
• Kommunizieren Sie klar über verschiedene Zielgruppen hinweg, z.B. einen Sicherheitsvorfallbericht an die Technik, eine Kontrollnarrative an einen Auditor und eine Risikoübersicht für Führungskräfte sind drei verschiedene Dokumente, und Sie können alle drei schreiben.

Schön zu haben:

• Erfahrung in der Sicherung von Multi-Tenant-B2B-Plattformen oder Finanz-API-Produkten: Mieterisolierung, API-als-Produkt-Sicherheitsgrenzen und die spezifische operative Form des Verkaufs an regulierte Kunden.
• Erfahrung mit Handels-, Verwahrungs- oder Wertpapierabwicklungsplattformen oder Neugier auf dieses Gebiet.
• Bug-Bounty-/VDP-Programm-Management.
• In einem früheren Leben haben Sie Backend-Code in der Produktion ausgeliefert und sind mit Go (bevorzugt), Python oder einer anderen modernen Backend-Sprache vertraut.
• Regulatorische Sprachkenntnis. Praktisches Wissen über DORA, MaRisk, BAIT, ISO 27001. Sie können Audit-Sprache oder Vorschriften in umsetzbare technische Anforderungen umwandeln, die andere verstehen. Sie können sich mit Auditoren und Regulierungsbehörden auseinandersetzen, ohne die Ingenieurpraxis zu verlieren.
• Hintergrund in Ingenieurwesen und offensiver Sicherheit.
• Deutschkenntnisse sind für einige potenzielle Kundeninteraktionen nützlich, aber nicht erforderlich. Unsere Arbeitssprache ist Englisch.
• Praktische Erfahrung mit AI/LLM-Sicherheit, agentischer Identität oder der Sicherung von AI-Tools in einem Engineering-Workflow.
• Vertrautheit mit der operativen Seite der Sicherheit ist ein Bonus, praktische Erfahrung mit EDR- und SIEM-Plattformen oder ein Hintergrund in der Incident Response. Dies ist in der Praxis wichtig, Sie werden Teil der Sicherheitsbereitschaft sein, daher ist es wichtig, sich wohlzufühlen, einen aktiven Vorfall zu bearbeiten, nicht nur theoretisch.

Wie wir bei Upvest in Sie investieren:

• Wirkungsorientierte Arbeit: Wir bauen die Infrastruktur, die die Zukunft des Investierens in Europa antreiben wird. Es ist komplex, ehrgeizig und bedeutungsvoll. Sie werden mit modernen Technologien arbeiten und etwas völlig Neues schaffen. Keine Altsysteme, keine Grenzen.
• Wohlbefinden: Laden Sie mit 30 Tagen Jahresurlaub auf und pflegen Sie einen gesunden Lebensstil mit Sportleistungen. Greifen Sie auf vertrauliche professionelle Coaching-Angebote zu und genießen Sie die Flexibilität, bis zu 183 Tage im Jahr remote im Ausland zu arbeiten. Laden Sie mit UpRest auf, einem vollständig bezahlten Sabbatical von einem Monat nach jedem 4-jährigen Arbeitsverhältnis bei Upvest.
• Entwicklung: Wachstum liegt in unserer DNA. Jeder Upvenger hat Zugang zu einem persönlichen Entwicklungsbudget und die Freiheit, zu entscheiden, wie er es nutzen möchte.
• Flexibles Arbeitsumfeld: Arbeiten Sie von einem unserer Hubs in Berlin, London oder Tallinn hybrid oder remote in ganz Europa, je nach Rolle. Wir geben Ihnen die Wahl und das Budget, um dort zu arbeiten, wo Sie am produktivsten sind, sei es zu Hause oder im Büro. Sie entscheiden.
• Vergütung und Eigenkapital: Wir glauben, dass alle Upvengers zu unserem Erfolg beitragen und ein wettbewerbsfähiges, über dem Markt liegendes Gehalt sowie eine Teilnahme an unserem Mitarbeiterbeteiligungsprogramm verdienen.
• Teamevents: Nehmen Sie an unternehmensweiten Veranstaltungen wie UpFest, Abendessen, Offsites und unserer Weihnachtsfeier teil, um sich mit Kollegen zu vernetzen und unsere Erfolge zu feiern.
• Inklusion: Wir setzen uns für eine Kultur ein, in der jeder dazugehört und gedeiht. Unsere Employee Resources Groups fördern Inklusion und Verbindung, wie Upfem für unsere weiblichen Upvengers oder UpVergent, das neurodivergente Upvengers und Verbündete unterstützt.

Unsere Werte:

• Es anderen leicht machen. Wir vereinfachen das Komplexe und handeln mit den besten Absichten.
• Das Ergebnis besitzen. Wir sind proaktiv, schnell und selbstbewusst, um die Arbeit zu erledigen, und schätzen Fortschritt über Perfektion.
• Der Herausforderung gewachsen sein. Wir streben hoch und pushen die Grenzen. Wir bleiben neugierig, lernen und feiern gemeinsam unsere Erfolge.
• Die Geschichte erzählen. Wir beginnen mit dem Warum, um uns auf den Zweck auszurichten. Wir sind transparent und teilen Wissen, um andere zu ermächtigen und zu inspirieren.

Upvest ist ein Arbeitgeber, der Chancengleichheit bietet. Wir feiern Vielfalt und setzen uns dafür ein, ein integratives Umfeld für alle Mitarbeiter zu schaffen.