DevSecOps Architect – Fokus SSDLC (m/w/d)

Wir die emagine GmbH suchen für unsere Business Unit Insurance einen erfahrenen DevSecOps Architect (m/w/d) mit Schwerpunkt Secure Software Development Lifecycle (SSDLC), der Entwicklungsprozesse nachhaltig sicherheitsorientiert weiterentwickelt, Best Practices etabliert und Teams hands-on in der Umsetzung begleitet. Ziel ist der Aufbau bzw. die Optimierung eines ganzheitlichen SSDLC in einer komplexen IT-Landschaft.

Rahmendaten:

Start: Juno 2026 ggf. später

Dauer: 10 Monate + Option

Einsatzort: remote/Münster

Aufgaben

• Analyse bestehender Entwicklungs-, Build- und Releaseprozesse hinsichtlich Sicherheitsreife, Schwachstellen und Optimierungspotenzial

• Konzeption, Aufbau und Einführung eines unternehmensweiten SSDLC-Frameworks, abgestimmt auf Organisation, Technologien und regulatorische Anforderungen

• Definition und Implementierung von:

  • Security Gates

  • Quality Checks

  • Secure Coding Guidelines

  • DevSecOps Standards

• Integration moderner Security-Toolchains entlang des SDLC:

  • SAST, DAST, SCA

  • Secrets Scanning

  • Container Security

  • Infrastructure-as-Code (IaC) Security

• Aktive Begleitung der Entwicklungsteams durch:

  • Coaching & Mentoring

  • Pair Programming

  • Schulungen

  • Hands-on Support im Tagesgeschäft

• Einführung und Etablierung von Threat Modeling Prozessen (z. B. STRIDE, PASTA, LINDDUN)

• Bewertung bestehender Toolchains und Empfehlung nachhaltiger Lösungen

• Definition sicherer Architektur- und Coding-Standards in enger Zusammenarbeit mit Entwicklung, Cloud und Architektur

• Unterstützung bei:

  • Security Reviews & Code Audits

  • Koordination von Penetration Tests

  • Audit- und Compliance-Nachweisen

• Stakeholder-Management sowie Reporting zu:

  • Security Reifegrad

  • Fortschritt & Risiken

  • Maßnahmen und Roadmaps

Anforderungen

• Fundierte Erfahrung als DevSecOps Engineer/Architect, Security Engineer oder vergleichbar

• Tiefes Verständnis von SSDLC, Secure Coding und DevSecOps-Prinzipien

• Praktische Erfahrung mit gängigen Security-Tools (z. B. Checkmarx, Snyk, SonarQube, OWASP Tools, etc.)

• Erfahrung in Cloud-Umgebungen (AWS, Azure oder GCP) und containerisierten Architekturen (Docker, Kubernetes)

• Know-how in CI/CD-Pipelines (z. B. Jenkins, GitLab CI, GitHub Actions)

• Erfahrung mit Threat Modeling Methoden

• Sehr gute Kommunikationsfähigkeiten und Erfahrung im Coaching technischer Teams

• Verständnis für Compliance-Anforderungen (z. B. ISO 27001, NIS2, GDPR von Vorteil)

Nice-to-haves

• Erfahrung in regulierten Branchen (Finance, Insurance, Public)

• Zertifizierungen wie CSSLP, CISSP, CISM, Azure/AWS Security

• Erfahrung in großen, verteilten Organisationen / Enterprise-Umfeld