Job Description

Deine Mission

Du hilfst unseren Kunden, ihre IT-Sicherheit messbar zu verbessern – durch hochwertige Penetrationstests, praxisnahe ISMS-/BSI-/ISO-Beratung und Trainings, die wirklich ankommen. Du bist technisch stark, kannst aber auch sicher kommunizieren, moderieren und „Security“ verständlich machen.

Deine Aufgaben

Penetrationstests & technische Security Assessments

Planung, Vorbereitung und Durchführung von

Penetrationstests

(Web, API, Infrastruktur, Mobile, Cloud). Scoping und Testdesign gemeinsam mit Kunden, inkl.

Threat Modeling / Angriffsszenarien

. Dokumentation der Findings (klar, nach Risiko priorisiert, mit Fix-Empfehlungen). Ergebnis-Workshops, Re-Tests und Begleitung der Remediation. Weiterentwicklung unserer Pentest-Methodik, Templates und Toolchains.

(ISMS / BSI 200-3 / ISO 27001) Beratung

Beratung beim

Aufbau, Betrieb und der Weiterentwicklung von ISMS

. Unterstützung bei

BSI IT-Grundschutz

und

Risikoanalysen nach BSI-Standard 200-3

. Vorbereitung von Audits (ISO 27001 / IT-Grundschutz), Gap-Analysen, Maßnahmenpläne. Erstellung und Review von Sicherheitskonzepten, Richtlinien und Nachweisen.

Workshops, Trainings & Awareness

Konzeption und Durchführung von

Security-Workshops

(z. B. Secure Development, DevSecOps, Incident Readiness).

Awareness-Trainings

für Mitarbeiter auf allen Ebenen Moderation von Entscheidungs- und Risiko-Workshops mit Fachbereichen und IT

Support im Projektmanagement

Technische Unterstützung in Pre-Sales-Terminen (Anforderungsklärung, Scoping, Angebotsbausteine). Mithilfe bei der Produktisierung unserer Security-Services (Pakete, Leistungsbeschreibungen, Pricing). Input für Marketing/Content, z. B. kurze Fachbeiträge oder Use-Cases.

Was du mitbringst

Must-haves

Mehrjährige Erfahrung in

Pentests / Offensive Security

oder Security Consulting. Sehr gutes Verständnis von Web-/API-Security, Netzwerken, Auth-/IAM, gängigen Angriffstechniken. Sicherer Umgang mit Standards/Frameworks wie

ISO 27001, BSI IT-Grundschutz, BSI 200-3

oder vergleichbaren. Fähigkeit, komplexe Security-Themen

klar und kundenorientiert zu erklären

. Sehr gute Deutschkenntnisse (C1) und gute Englischkenntnisse.
Nice-to-haves

Zertifizierungen wie

OSCP/OSCE, eJPT/eCPPT, GXPN, CISSP, CISM, ISO 27001 Lead Implementer/Auditor, BSI-Grundschutz-Praktiker/Berater

. Erfahrung mit Cloud-Pentests (AWS/Azure/GCP), Kubernetes, CI/CD-Security. Secure Code Review (z. B. Java, .NET, JS/TS, Python). Erfahrung im Public Sector / KRITIS-Umfeld.

Was wir dir bieten

Gestaltungsspielraum:

Du baust mit uns ein neues Security-Portfolio auf.

Starke Projekte:

Kunden mit Substanz, realer Sicherheitsbedarf

Kurze Wege, ehrliche Kultur:

Direkter Austausch mit Geschäftsführung & Team.

Weiterbildung & Zertifikate:

Zeit und Budget für Trainings, Konferenzen und Zertifizierungen.

Flexibles Arbeiten:

Hybrid möglich, moderne Arbeitsausstattung
Art der Stelle: Vollzeit, Teilzeit, Festanstellung

Erwartete Arbeitsstunden: 40 pro Woche

Leistungen:

Betriebliche Weiterbildung Erfolgsbeteiligung Firmenevents Kostenlose Getränke
Arbeitsort: Vor Ort