Aufgaben
- Durchführung von STRIDE-basierten Threat-Modeling-Sessions für Architekturen, Schnittstellen und Datenflüsse inkl. belastbarer Threat-Model-Reports über den gesamten Produktlebenszyklus
- Bewertung von Schwachstellen (CVSS), Pflege von Produktrisikoregistern und Dokumentation von Restrisiken gemäß ISO 14971, MDR, FDA 21 CFR 820.30(g) und internen SOPs
- Definition von Cybersicherheitsanforderungen auf Basis relevanter Normen und Leitlinien (u.a. FDA Premarket, IEC 8001-5-1, MDCG 2019-16) mit Fokus auf CIA, Authentifizierung und Kryptografie
- Überprüfung und Beratung zu Architekturdesigns nach Defense-in-Depth-Prinzipien (Zero Trust, Least Privilege), inkl. Gap-Analysen und Dokumentation in Designspezifikationen
- Bewertung von SBOMs für Drittsoftware, Identifikation von Schwachstellen sowie Nachverfolgung von Compliance und Reifegrad über Scorecards
- Steuerung externer Penetrationstests und Fuzz-Tests, Durchführung von SAST/DAST/SCA, Bewertung der Ergebnisse und Unterstützung der Entwickler bei der wirksamen Behebung
- Monitoring relevanter Quellen (z.B. Herstellerhinweise), Koordination von Patches und Unterstützung von PSIRT-Aktivitäten inkl. regulatorischer Meldungen
Profil
- Sehr gute Deutsch- und Englischkenntnisse
- Erfahrung im regulierten Umfeld (ISO 14971, MDR, FDA 21 CFR 820, IEC 8001-5-1, MDCG)
- Umfassende Cybersecurity-Expertise (Threat Modeling/STRIDE, CVSS, Security Architecture, Defense-in-Depth)
- Profunde Erfahrung in der Durchführung von Security-Tests (Penetrationstests, SAST/DAST, Fuzzing, SCA, SBOM)
Benefits
- Option auf Verlängerung
- Remote-Möglichkeit
