Security Engineer (m/w/d)
- Aschaffenburg, Berlin, Dortmund, Poznan
- PSI Software SE Grid & Energy Management
- Security & Resilience
- Full-time
The PSI Group develops software products for optimizing the flow of energy and materials for utilities and industry. As an independent software producer with more than 2,300 employees, PSI has been a technology leader since 1969 for process control systems that ensure sustainable energy supply, production and logistics by combining AI methods with industrially proven optimization methods. The innovative industry products can be operated on-premises or in the cloud.
Tasks inspiring you
Als Softwarehersteller für kritische Infrastrukturen im Energiesektor entwickeln wir Produkte, deren Sicherheit über die Versorgungssicherheit ganzer Netze mitentscheidet. Mit dem Cyber Resilience Act und unserer Zertifizierung nach IEC 62443-4-1 wird Sicherheit von einer technischen Eigenschaft zu einer regulatorischen Voraussetzung für den Marktzugang.
Wir besetzen eine zentrale Position, die Security in der Produktentwicklung unserer Business Unit "Grid & Energy Management (GEM)" fachlich verantwortet. Du arbeitest nicht in einem einzelnen Entwicklungsteam, sondern als übergreifender Enabler (m/w/d) für rund 300 Entwicklerinnen und Entwickler an Standorten in Deutschland und Polen. Die Rolle berichtet direkt an den SVP Engineering und ist mit hoher Sichtbarkeit und Gestaltungsspielraum ausgestattet. Dein Wirkungsprinzip ist Befähigung und Standardsetzung über die gesamte Entwicklungsorganisation hinweg, nicht die tägliche Hands-on-Umsetzung im Code.
Secure Software Development Lifecycle (sSDLC):
- Du definierst, etablierst und misst die sSDLC-Practices verbindlich über alle Entwicklungsteams der GEM-Produktentwicklung hinweg.
- Du legst Security-Gates in der CI/CD-Pipeline fest und verantwortest deren inhaltliche Ausgestaltung sowie die Einhaltung.
Security-Champions-Programm:
- Du baust ein Netzwerk benannter Security Champions in den agilen Teams auf und führst dieses fachlich.
- Du entwickelst Schulungen und Playbooks und befähigst die Champions zur eigenständigen Arbeit in ihren Teams.
Threat Modeling & Security-Governance:
- Du stellst Methodik, Templates und Schulungen für Threat Modeling bereit und reviewst sicherheitskritische Modelle gemeinsam mit unserem Solution Architect.
- Du berätst Solution Architects und Product Management bei sicherheitsrelevanten Architektur- und Roadmap-Entscheidungen.
Vulnerability & SBOM Management:
- Du verantwortest den Prozess für Produkt-Schwachstellenmanagement einschließlich CVE-Triage und Priorisierung von Mitigationsmaßnahmen.
- Du definierst Policy und Schwellenwerte für die SBOM-Erstellung sowie die Bewertung von Open-Source- und Drittanbieter-Komponenten.
- Du stellst die Prozessfähigkeit für die regulatorischen Meldepflichten des CRA sicher.
Regulatorische Nachweisführung:
- Du verantwortest die sicherheitsbezogenen Nachweise für die Zertifizierung nach IEC 62443-4-1 und die CRA-konforme technische Dokumentation.
- Du unterstützt Kundenaudits auf Seiten der Produktentwicklung.
Steuerung von Security-Testing:
- Du definierst die Tooling-Strategie für SAST, DAST und Dependency Scanning und steuerst deren Einführung.
- Du beauftragst und steuerst externe Penetrationstests und verantwortest die Nachverfolgung der Findings.
Schnittstellen:
- Du arbeitest eng mit Solution Architects, Product Management, Operations & Support sowie der unternehmensweiten Security-Governance (CISO) zusammen und wirkst bei Security Incidents mit Produktbezug beratend mit.
Qualifications that inspire us
- Berufserfahrung: Du verfügst über mehrjährige Berufserfahrung im Bereich Product Security, Application Security oder Security Engineering, davon nachweislich Erfahrung in einer übergreifenden, teamunabhängigen Rolle.
- Secure by Design: Du hast fundierte Kenntnisse in Secure-by-Design-Prinzipien und sicheren Softwareentwicklungsprozessen (sSDLC).yse43
- Threat Modeling: Praktische Erfahrung mit Threat Modeling (z. B. STRIDE) und Risikobewertungsmethoden ist für dich selbstverständlich. ·
- Security-Champions-Programms: Idealerweise bringst du Erfahrung im Aufbau eines Security-Champions-Programms oder eines vergleichbaren Multiplikatorenmodells mit.
- Schwachstellenmanagement: Du bringst Erfahrung im Schwachstellenmanagement mit: CVE-Bewertung, SBOM (CycloneDX/ SPDX).
- Security-Testing: Du verfügst über fundiertes Verständnis von Security-Testing-Werkzeugen (SAST, DAST, SCA) und ihrer Integration in CI/CD-Pipelines und kannst darauf aufbauend eine Tooling-Strategie definieren.
- Standards & Compliance: Du bringst ein fundiertes Verständnis relevanter Standards und Regularien, insbesondere IEC 62443, Cyber Resilience Act, ISO 27001, OWASP Top 10 mit. ·
- Überzeugungskraft: Du verstehst es ohne disziplinarische Weisungsbefugnis zu überzeugen und Teams für Sicherheit zu gewinnen.
- Kommunikation: Du bringst eine sehr gute Kommunikationsfähigkeit mit, um komplexe Security-Themen für Nicht-Security-Fachleute verständlich zu machen. ·
- Sprachkenntnisse: Du hast verhandlungssichere Englischkenntnisse; Deutschkenntnisse von Vorteil.
- Branchenerfahrung: Idealerweise hast Du Erfahrung im KRITIS-Umfeld, in der Energiewirtschaft oder in vergleichbar regulierten Branchen.
- Multiplikatorenmodelle: Kenntnisse im Aufbau eines Security-Champions-Programms oder vergleichbarer Multiplikatorenmodelle sind von Vorteil.
- Audits & Zertifizierungen: Du hast idealerweise Erfahrung in der Begleitung von Zertifizierungs- oder Auditprozessen (IEC 62443-4-1, ISO 27001).
- Cloud & Container Security: Kenntnisse in Cloud- und Container-Security (Kubernetes, Docker, Härtungsbaselines) sind wünschenswert.
- Zertifizierungen: Relevante Zertifizierungen (z. B. CSSLP, GIAC, OSCP) sind willkommen, aber kein Ausschlusskriterium.
Look forward to
- Corporate Benefits
- Development & Training
- Flexible Working Time
- Mobile working
- Team Events
- Accident insurance
Pioneering a smarter world. Are you on board?
Your contact
Lea Jost
Business Partner
People & Organization
ljost@psi.de