Job Description

#

What to expect

Bei Caspar Health revolutionieren wir die Rehabilitation, indem wir innovative Technologie mit individueller Betreuung verbinden. Als führendes Unternehmen im Bereich der digitalen Nachsorge haben wir es uns zum Ziel gesetzt, Prävention und Genesung neu zu definieren. Wir verbinden individuelle Versorgung, Produktentwicklung und moderne Cloud-Technologie in einem stark regulierten Umfeld.

Als CISO baust Du mit uns die nächste Sicherheitsstufe:

Du bist technischer Sparringspartnerin für Engineering & Infrastructure, hebst unsere Security-Maturity messbar (Threat Modeling, Secure-by-Design, Security-Initiativen) und führst gleichzeitig die notwendigen Assurance-Programme.

Du reportest direkt ans C-Level

und arbeitest eng mit dem Head of Engineering, der Infra- und Platform-Teams sowie anderen Squads und Stakeholdern im Unternehmen zusammen. Dazu führst du ein Team von 3 direkten Reports (1 ISO Manager, 2 Sysadmins).

In den nächsten 12–18 Monaten sind Deine wichtigsten Missionen:

ISO 27001 Re-Audit,BSI:C5 & BSI-TR 03161 sowie Security/Compliance für die medizinische Zertifizierung (MDR/Software as a Medical Device) inkl. AI/LLM-Governance.

#

Your Challenges

Security-Strategie für Produkt und Corporate IT

Verantwortung für die Übersetzung von Risiken in Prioritäten, Roadmaps und messbare Outcomes unter enger Zusammenarbeit mit bestehenden Teams zur Vermeidung von Silos

Engineering-nahe Zusammenarbeit

Enge Kollaboration mit Infrastruktur-, Backend-, Frontend- und Mobile-Teams sowie Teilnahme an Architektur-Reviews, Threat Modeling und Design-Entscheidungen

Security-by-Design

Etablierung und Skalierung von Threat Modeling, Security Champions, sicheren Patterns/Guardrails und pragmatischen Secure-SDLC-Gates (CI/CD, IaC, Secrets, Dependencies, Logging)

ISO 27001 Compliance

Operative und strategische Verantwortung für Re-Audit, kontinuierliche Compliance, Evidence-Automation, Management Review, Finding-Management und Audit-Readiness ohne Feuerwehren – kontinuierliche und präventive Compliance-Überwachung

BSI C5 und BSI-TR 03161

Vorbereitung auf BSI:C5 und BSI-TR 03161, inklusive Control-Mapping, Gap-Plan, Evidenzen, Supplier-/Subprocessor-Management und Audit-Choreografie

Supplier- & Third-Party-Risk-Programm für medizinische Software & AI

Aufbau eines Risikomanagement-Programms mit Fokus auf Sicherheitsanforderungen, Vertragsnachweise, Change Notifications, Exit-/Fallback-Pläne sowie Change Control, Versionierung/Traceability (Model/Prompt/Policy), Validierung/Regression, Human Oversight und Post-Market Monitoring in enger Abstimmung mit Produkt, Clinical und QM

Incident & Vulnerability Management

Sicherstellung effizienter Prozesse für Incident-Management, klare Runbooks, On-Call/Eskalation, Tabletop-Übungen, Postmortems und nachhaltige Fixes

Security Observability

Stärkung der Observability durch sinnvolle Telemetrie, Detection/Response-Prozesse und Reporting an Management/Board, ohne Tool-Wildwuchs

Datenschutz und Sicherheit

Zusammenarbeit mit DPO, Legal und Quality Management zur Integration von Privacy und Security (DPIAs, Datenklassifizierung, Retention, Audit Trails, Traceability)

#

Your profile

Leadership in Security-Rollen

Du hast Erfahrung als Security-Leader (CISO, Head of Security) in einer Cloud-nativen Produktorganisation, idealerweise in stark regulierten Bereichen wie Gesundheit, MedTech, FinTech oder dem öffentlichen Sektor.

Das ist der einzige Punkt, der nicht ganz passt? Wir sind offen für hochqualifizierte Talente die sich entwickeln wollen!

Technische Expertise

Mit deinem Hintergrund als Security Engineer oder Platform Engineer verstehst du komplexe Themen wie IAM, Kubernetes und Cloud-Architekturen und kannst praxisorientierte Sicherheitslösungen entwickeln

Security-Maturity-Programme

Du hast erfolgreich Programme wie Threat Modeling, Secure-by-Design und CloudSec-Initiativen umgesetzt und weißt, wie man deren Erfolg mit klaren Metriken und Ergebnissen kommuniziert

ISO 27001-Audits und kontinuierliche Verbesserung

Dank deiner umfassende Erfahrung mit ISO 27001-Audits, führst du durch den gesamten Prozess von der Planung bis zur kontinuierlichen Verbesserung

Third-Party und Supplier Governance

Verhandlungen und Partnerschaften führst du erfolgreich, indem du technische Sicherheitsanforderungen umsetzt und dabei Erfahrung in der Governance von Drittanbietern und SaaS-Anbietern einbringst

Risk Management

Mit fundiertem Wissen in Risikomanagement-Methoden (z. B. ISO 27005, NIST) priorisierst du Sicherheitsrisiken effektiv und managst sie pragmatisch

Kommunikationsstärke & Sprachkenntnisse

Du bist klar und durchsetzungsstark auf Deutsch und Englisch, sowohl in technischen als auch in Management-Kontexten, und förderst so die vertrauensvolle Zusammenarbeit mit Teams

#

Why Caspar Health?

Remote-first

mit flexiblen Arbeitszeiten – Office optional in Berlin Mitte oder

90 Tage im Jahr außerhalb Deutschlands

Passend dazu, unterstützen wir Dich mit einer

monatlichen Homeoffice Pauschale

und einem

Essenszuschuss on Top

Genug Zeit zum erholen – mit

30 Tagen Urlaub

im Jahr

Budget für Weiterbildung

, Konferenzen & Coaching, passend zu deinen Potentialen und Entwicklungsmöglichkeiten Hohe Eigenverantwortung & Entscheidungsfreiheit: kein Mikromanagement – wir stellen Expertinnen ein, die wissen was sie tun

#MakeAnImpact!

Echte Zusammenarbeit: keine Silos, keine Eitelkeiten – wir haben schließlich alle die gleiche Vision vor Augen

#ValueFocus!

Zugang zu allen Caspar-Angeboten im Bereich mentale & physische Gesundheit

#HealthyTogether!

Und ja – Alle Snack-Wünsche die das Herz begehrt, gemeinsame Sport-Sessions, ein nie endender Getränke Kühlschrank & eine gute Portion Humor gibt’s auch

Was uns als Team ausmacht

-----------------------------

Wir leben Vielfalt – Diversität ist bei uns kein Aushängeschild, sondern Alltag Feedback ist kein Tool, sondern Teil unserer Kultur Wir glauben daran, dass Technologie nur dann sinnvoll ist, wenn sie Menschen hilft Unser Antrieb ist Purpose – aber unser Anspruch ist Professionalität
#

Your contact

Bitte reiche deine Bewerbung ausschließlich online über unseren Bewerbungslink ein.



Dein Kontakt ist Hannah Christiani, Talent Acquisition Specialist.


Außerdem sind wir an deinem frühestmöglichen Eintrittstermin und deinen Gehaltsvorstellungen interessiert. Solltest du weitere Fragen haben, wende dich bitte an talent@caspar-health.com. Wir werden uns so schnell wie möglich mit dir in Verbindung setzen.


Unser Produkt CASPAR Health wird im Umfeld von medizinischen Einrichtungen, Patientinnen, Ärztinnen und Therapeutinnen eingesetzt. Zu unserem beruflichen Alltag gehört es, mit (sensiblen) personenbezogenen Daten (z.B. Gesundheitsdaten) zu arbeiten. Daher fordern wir von unseren Mitarbeiterinnen ein hohes Commitment zum Schutz personenbezogener Daten ein, um die Rechte der Betroffenen bestmöglich zu schützen.

Diversität und Inklusion:

Bei Caspar Health sind wir bestrebt, für alle Casparianer*innen eine freundliche, sichere und einladende Umgebung zu bieten, unabhängig von Geschlecht, Geschlechtsidentität und -ausdruck, sexueller Orientierung, Einschränkungen aller Art, körperlicher Erscheinung, sozialer Herkunft, Alter oder Religion (oder deren Nichtvorhandensein).

Bei Deiner Bewerbung stehen für uns Deine Erfahrung und Motivation im Vordergrund. Du entscheidest, welche zusätzlichen Informationen du preisgeben möchtest (Bild, Familienstand, Religion, Geschlecht, Nationalität, etc.). Wir schätzen und behandeln alle Bewerbungen gleich.



Hinweis zum Datenschutz:

Bitte bewirb Dich ausschließlich über unseren Bewerbungslink, da wir nur so den Schutz Deiner Daten gewährleisten können. Unsere Datenschutzerklärung findest Du hier.#

About us

Caspar Health is a digital rehabilitation clinic with a vision to provide patients with access to the most effective rehabilitation treatment at any time, any place.


Medical facilities use Caspar Health to conduct therapy measures online with their patients during their hospital stay and after discharge. The combination of learning technology with in-depth medical knowledge ensures that the therapy goal is achieved in a sustainable manner.


The services are covered by numerous pension insurance companies in the areas of rehabilitation, prevention and aftercare.