NEURA Robotics entwickelt kognitive Roboter und KI-Systeme, die in der realen Welt agieren — und die damit verbundene Angriffsfläche ist so komplex wie die Produkte selbst. Du verstärkst ein wachsendes Cybersecurity-Team und gibst Ingenieuren sowie Security-Fachkräften in unseren Produkt-Verticals technische Orientierung. Gleichzeitig trägst du dazu bei, unsere horizontale InfoSec-Funktion zu einer reifen, unternehmensweiten Einheit weiterzuentwickeln. Du arbeitest eng mit IT und Produktentwicklung zusammen — verfeinerst, was bereits vorhanden ist, hebst die Messlatte dort, wo es zählt, und machst Sicherheit zu einem echten Wettbewerbsvorteil statt zu einem Engpass.
Deine Mission & Herausforderungen
- Du gestaltest und entwickelst die Security-Architektur über IT und Produkt aktiv weiter — du reviewst Designs, identifizierst Schwachstellen und treibst konkrete Verbesserungen über Embedded-Systeme, Cloud-Services und Unternehmens-IT hinweg voran
- Du entwickelst und pflegst Referenzarchitekturen für die kritischsten Bereiche: sichere OTA-Update-Pipelines, Zero-Trust-Netzwerkdesign, Cloud-native Security, Embedded- und Firmware-Security, IAM sowie Secrets Management
- Du leitest Threat-Modelling-Sessions für bedeutende Vorhaben in Produkt-Verticals und IT-Infrastruktur — mit dem Ziel priorisierter Risikokarten, nicht seitenstarker Auditberichte
- Du baust das unternehmensweite Security-Risikoregister auf und pflegst es — technische Befunde werden daraus in handlungsorientierte Einschätzungen für die Unternehmensführung übersetzt
- Du legst die Security-Standards fest, die jedes Team erfüllen muss, und sorgst für deren Umsetzung — als Leitplanke, nicht als Bremse
- Du integrierst Security in den Entwicklungszyklus: Auswahl und Konfiguration von SAST/DAST-Tools, Secrets Scanning und Dependency Scanning in CI/CD-Pipelines
- Du verantwortest das Vulnerability Management: CVE-Triage-Prozess, Remediation-SLAs und Koordination zwischen Produkt-Verticals und IT-Betrieb
- Du mappst die Produkt- und IT-Landschaft von NEURA gegen regulatorische Anforderungen — EU Cyber Resilience Act, NIS2, ISO 27001, IEC 62443 — und schließt Lücken proaktiv
- Du definierst den Security-Mindeststandard für Drittanbieter-Komponenten, Bibliotheken und Vendor-Integrationen in der Lieferkette
- Du koordinierst externe Penetrationstests, definierst deren Scope und stellst sicher, dass Befunde nicht nur dokumentiert, sondern tatsächlich behoben werden
- Du definierst das Anforderungsprofil für künftige Product Security Engineers in unseren Produkt-Verticals — und gestaltest deren Einarbeitung und Mandat
- Du bist die technische Brücke zwischen Security und Engineering: Du reviewst wichtige Architekturentscheidungen, kommunizierst Trade-offs und übersetzt Risiken in eine Sprache, die sowohl Entwickler als auch die Unternehmensführung verstehen
Was wir uns von dir wünschen
- 7+ Jahre Erfahrung im Bereich Cybersecurity mit nachweisbarer Praxis sowohl in der IT-Infrastruktur-Security als auch in der Produkt- oder Applikationssicherheit — du bist auf beiden Seiten zu Hause
- Praktische Erfahrung mit Threat-Modelling-Methoden wie STRIDE oder PASTA sowie die Fähigkeit, Sessions eigenständig mit Engineering-Teams durchzuführen
- Fundierte Kenntnisse in DevSecOps-Tooling: SAST, DAST, Secrets Scanning, Software Composition Analysis und CI/CD-Pipeline-Integration
- Erfahrung in der Konzeption oder Bewertung von Cloud-Security-Architekturen auf AWS, Azure oder GCP
- Solides Verständnis von Embedded- und IoT-Security-Prinzipien: Secure Boot, Firmware-Integrität, OTA-Update-Security und Hardware-Trust-Anker
- Kenntnisse relevanter Normen und Regularien: ISO 27001, IEC 62443, NIS2 und der EU Cyber Resilience Act
- Die kommunikative Bandbreite, um am selben Tag ein Risikoregister der Unternehmensführung zu erläutern und mit einem Embedded Engineer ein Threat Model durchzuarbeiten
- Abgeschlossenes Studium der Informatik, IT-Sicherheit, Elektrotechnik oder eines vergleichbaren Fachbereichs — oder gleichwertige nachgewiesene Berufserfahrung
- CISSP, CISM oder eine vergleichbare Zertifizierung ist ein deutliches Plus
- Erfahrung in Robotik, Industrieautomation, vernetzter Hardware oder KI-Systemumgebungen ist bei NEURA besonders willkommen
- Kenntnisse zu aktuellen KI- und ML-Security-Risiken — Adversarial Inputs, Model Theft, Trainingsdaten-Integrität — sind ein echter Differenziator