Security Engineer (m/w/d)
- Aschaffenburg, Berlin, Dortmund, Poznan
- PSI Software SE Grid & Energy Management
- IT Sicherheit
- Vollzeit
Der PSI-Konzern entwickelt Softwareprodukte zur Optimierung des Energie- und Materialflusses bei Versorgern und Industrie. Als unabhängiger Softwarehersteller mit über 2.300 Beschäftigten ist PSI seit 1969 Technologieführer für Prozesssteuerungssysteme, die durch die Kombination von KI-Methoden mit industriell bewährten Optimierungsverfahren für eine nachhaltige Energieversorgung, Produktion und Logistik sorgen. Die innovativen Branchenprodukte können vom Kunden selbst oder in der Cloud betrieben werden.
Die Business-Unit Grid- & Energymanagement ist auf die Entwicklung von Softwarelösungen für den Energiesektor spezialisiert. Unser Angebot umfasst Intelligente Lösungen für Netzbetreiber der Sparten Strom, Gas, Wärme, Öl und Wasser. Schwerpunkte bilden moderne Netzleitsysteme und Energiehandelssoftware für den Energiemarkt.
Aufgaben, die dich begeistern
Als Softwarehersteller für kritische Infrastrukturen im Energiesektor entwickeln wir Produkte, deren Sicherheit über die Versorgungssicherheit ganzer Netze mitentscheidet. Mit dem Cyber Resilience Act und unserer Zertifizierung nach IEC 62443-4-1 wird Sicherheit von einer technischen Eigenschaft zu einer regulatorischen Voraussetzung für den Marktzugang.
Wir besetzen eine zentrale Position, die Security in der Produktentwicklung unserer Business Unit "Grid & Energy Management (GEM)" fachlich verantwortet. Du arbeitest nicht in einem einzelnen Entwicklungsteam, sondern als übergreifender Enabler (m/w/d) für rund 300 Entwicklerinnen und Entwickler an Standorten in Deutschland und Polen. Die Rolle berichtet direkt an den SVP Engineering und ist mit hoher Sichtbarkeit und Gestaltungsspielraum ausgestattet. Dein Wirkungsprinzip ist Befähigung und Standardsetzung über die gesamte Entwicklungsorganisation hinweg, nicht die tägliche Hands-on-Umsetzung im Code.
Secure Software Development Lifecycle (sSDLC):
- Du definierst, etablierst und misst die sSDLC-Practices verbindlich über alle Entwicklungsteams der GEM-Produktentwicklung hinweg.
- Du legst Security-Gates in der CI/CD-Pipeline fest und verantwortest deren inhaltliche Ausgestaltung sowie die Einhaltung.
Security-Champions-Programm:
- Du baust ein Netzwerk benannter Security Champions in den agilen Teams auf und führst dieses fachlich.
- Du entwickelst Schulungen und Playbooks und befähigst die Champions zur eigenständigen Arbeit in ihren Teams.
Threat Modeling & Security-Governance:
- Du stellst Methodik, Templates und Schulungen für Threat Modeling bereit und reviewst sicherheitskritische Modelle gemeinsam mit unserem Solution Architect.
- Du berätst Solution Architects und Product Management bei sicherheitsrelevanten Architektur- und Roadmap-Entscheidungen.
Vulnerability & SBOM Management:
- Du verantwortest den Prozess für Produkt-Schwachstellenmanagement einschließlich CVE-Triage und Priorisierung von Mitigationsmaßnahmen.
- Du definierst Policy und Schwellenwerte für die SBOM-Erstellung sowie die Bewertung von Open-Source- und Drittanbieter-Komponenten.
- Du stellst die Prozessfähigkeit für die regulatorischen Meldepflichten des CRA sicher.
Regulatorische Nachweisführung:
- Du verantwortest die sicherheitsbezogenen Nachweise für die Zertifizierung nach IEC 62443-4-1 und die CRA-konforme technische Dokumentation.
- Du unterstützt Kundenaudits auf Seiten der Produktentwicklung.
Steuerung von Security-Testing:
- Du definierst die Tooling-Strategie für SAST, DAST und Dependency Scanning und steuerst deren Einführung.
- Du beauftragst und steuerst externe Penetrationstests und verantwortest die Nachverfolgung der Findings.
Schnittstellen:
- Du arbeitest eng mit Solution Architects, Product Management, Operations & Support sowie der unternehmensweiten Security-Governance (CISO) zusammen und wirkst bei Security Incidents mit Produktbezug beratend mit.
Qualifikationen, die uns begeistern
- Berufserfahrung: Du verfügst über mehrjährige Berufserfahrung im Bereich Product Security, Application Security oder Security Engineering, davon nachweislich Erfahrung in einer übergreifenden, teamunabhängigen Rolle.
- Secure by Design: Du hast fundierte Kenntnisse in Secure-by-Design-Prinzipien und sicheren Softwareentwicklungsprozessen (sSDLC).yse43
- Threat Modeling: Praktische Erfahrung mit Threat Modeling (z. B. STRIDE) und Risikobewertungsmethoden ist für dich selbstverständlich. ·
- Security-Champions-Programms: Idealerweise bringst du Erfahrung im Aufbau eines Security-Champions-Programms oder eines vergleichbaren Multiplikatorenmodells mit.
- Schwachstellenmanagement: Du bringst Erfahrung im Schwachstellenmanagement mit: CVE-Bewertung, SBOM (CycloneDX/ SPDX).
- Security-Testing: Du verfügst über fundiertes Verständnis von Security-Testing-Werkzeugen (SAST, DAST, SCA) und ihrer Integration in CI/CD-Pipelines und kannst darauf aufbauend eine Tooling-Strategie definieren.
- Standards & Compliance: Du bringst ein fundiertes Verständnis relevanter Standards und Regularien, insbesondere IEC 62443, Cyber Resilience Act, ISO 27001, OWASP Top 10 mit. ·
- Überzeugungskraft: Du verstehst es ohne disziplinarische Weisungsbefugnis zu überzeugen und Teams für Sicherheit zu gewinnen.
- Kommunikation: Du bringst eine sehr gute Kommunikationsfähigkeit mit, um komplexe Security-Themen für Nicht-Security-Fachleute verständlich zu machen. ·
- Sprachkenntnisse: Du hast verhandlungssichere Englischkenntnisse; Deutschkenntnisse von Vorteil.
- Branchenerfahrung: Idealerweise hast Du Erfahrung im KRITIS-Umfeld, in der Energiewirtschaft oder in vergleichbar regulierten Branchen.
- Multiplikatorenmodelle: Kenntnisse im Aufbau eines Security-Champions-Programms oder vergleichbarer Multiplikatorenmodelle sind von Vorteil.
- Audits & Zertifizierungen: Du hast idealerweise Erfahrung in der Begleitung von Zertifizierungs- oder Auditprozessen (IEC 62443-4-1, ISO 27001).
- Cloud & Container Security: Kenntnisse in Cloud- und Container-Security (Kubernetes, Docker, Härtungsbaselines) sind wünschenswert.
- Zertifizierungen: Relevante Zertifizierungen (z. B. CSSLP, GIAC, OSCP) sind willkommen, aber kein Ausschlusskriterium.
Freu dich auf
- Corporate Benefits
- Entwicklung & Training
- Flexible Arbeitszeit
- Mobiles Arbeiten
- Team Events
- Unfallversicherung
Pioneering a smarter world. Bist du dabei?
Wir freuen uns auf die Zusendung deiner Bewerbungsunterlagen.
Deine Ansprechperson
Lea Jost
Business Partner
People & Organization
Hinweis: Abhängig vom konkreten (Projekt-) Einsatz können Tätigkeiten bei Kunden im Bereich kritischer Infrastrukturen (KRITIS) anfallen. In diesen Fällen ist eine erweiterte Sicherheitsüberprüfung (Ü2 – vorbeugender personeller Sabotageschutz) gemäß § 9 i.V.m. § 1 Abs. 4 SÜG gesetzlich vorgeschrieben. Die Bereitschaft zur Durchführung dieser Überprüfung wird ausdrücklich vorausgesetzt. Die Prüfung der SÜG-Relevanz im Einzelfall erfolgt durch den Sabotageschutzbeauftragten vor dem jeweiligen Kundeneinsatz.