Software Threat Modelling Specialist (m/w/d)

Deine Aufgaben:

• Systematische Durchführung von Threat Modelling für unsere Softwareprodukte, z. B. Webanwendungen, Firmware-Implementierungen (UEFI, Bootloader, …) sowie weitere relevante Softwareimplementierungen von congatec-Produkten
• Anwendung etablierter Threat-Modelling-Methoden (z. B. STRIDE) und Pflege von Architektur- und Datenflussdiagrammen als Grundlage
• Identifikation und Dokumentation von Bedrohungen, „Evil User Stories“/Angriffspfaden, Annahmen und den entsprechenden Sicherheitskontrollen für unsere Produkte
• Integration von Threat Modelling in den Produkt- und Entwicklungslebenszyklus (z. B. neue Features, größere Architekturänderungen, neue Integrationen)
• Erarbeitung von Empfehlungen sowie Ableitung von Sicherheitsanforderungen und Akzeptanzkriterien für User Stories in enger Zusammenarbeit mit dem Produktmanagement und der Entwicklung
• Unterstützung von Design-Reviews und Einflussnahme auf sicherheitsrelevante Designentscheidungen für unsere Softwarearchitektur
• Bewertung identifizierter Bedrohungen im Hinblick auf geschäftliche Auswirkungen, Auswirkungen auf Kunden und Compliance-Anforderungen
• Priorisierung von Risiken gemeinsam mit dem Produktmanagment und Übersetzung dieser in umsetzbare Maßnahmen in Produkt-Backlogs und Roadmaps
• Definition und Nachverfolgung von Minderungsmaßnahmen (z. B. Hardening-Schritte, Designänderungen, zusätzliche Sicherheitskontrollen) sowie Überprüfung ihrer Wirksamkeit
• Entwicklung und kontinuierliche Weiterentwicklung eines auf unsere Softwareprodukte zugeschnittenen Threat-Modelling-Frameworks, einschließlich wiederverwendbarer Templates und Patterns
• Durchführung von Workshops und Trainings zu Secure Design und Threat-Modelling-Techniken für Entwicklungs-, Architektur- und Produktteams
• Auftreten als zentrale/r Fürsprecher/in für „Security by Design“ und „Product Security“ in der gesamten Organisation

Dein Profil:

• Abgeschlossenes Studium der Informatik, Softwaretechnik, Informationssicherheit oder eine vergleichbare Qualifikation
• Mehrjährige nachgewiesene Erfahrung im Threat Modelling von Softwareprodukten oder -plattformen
• Ausgeprägter Hintergrund in der Zusammenarbeit mit Produkt-, Architektur- und Softwareentwicklungsteams in einem agilen Umfeld
• Tiefgehende Kenntnisse in mindestens einer Threat-Modelling-Methodik (z. B. STRIDE, LINDDUN, PASTA) und deren praktischer Anwendung in realen Projekten
• Sehr gutes Verständnis moderner Softwarearchitekturen (z. B. CPU-Partitionierung)
• Fundiertes Verständnis gängiger Sicherheitsbedrohungen und Schwachstellen (z. B. OWASP Top 10).Vertrautheit mit relevanten Standards und Frameworks (z. B. OWASP ASVS, NIST, ISO 27001, IEC 62443) im Kontext der Sicherheit von Softwareprodukten ist von Vorteil
• Erfahrung mit mindestens einer Programmiersprache (z. B. Java, C#, C++, Go, Python, JavaScript/TypeScript), um Implementierungsdetails verstehen zu können
• Praxisnahe Erfahrung mit Dokumentationspraktiken im Threat Modelling und gängigen Tools (z. B. Git, CI/CD-Pipelines, Ticket- und Dokumentationssysteme)
• Strukturierte, analytische und lösungsorientierte Arbeitsweise mit ausgeprägten Kommunikationsfähigkeiten gegenüber technischen und nicht-technischen Stakeholdern
• Sicher in der Durchführung von Workshops und der Moderation von Diskussionen in funktionsübergreifenden Teams
• Fließende Deutsch- und Englischkenntnisse; weitere Sprachen sind von Vorteil