Für unseren Kunden aus dem öffentlichen Sektor suchen wir einen Anwendungssicherheitsanalyst (m/w/d) OWASP ZAP / SonarQube / Java / Go / React / Openshift - Remote. Über die Remote Tätigkeit gibt es vereinzelt Termine vor Ort in Berlin.

Aufgabe:

- Aktive und operative Begleitung der agilen Entwicklungsteams als technischer Anwendungssicherheitsanalyst und zentrales Bindeglied zur AG Sicherheit
- Überführung von Sicherheitsanforderungen in das technische Anforderungsmanagement der Teams sowie direkte Unterstützung bei der Umsetzung von Secure-by-Design-Prinzipien und Secure Coding Best Practices
- Koordination und Unterstützung der Entwicklungsteams in der Umsetzung der DSGVO- und BSI-IT-Grundschutzanforderungen
- Ausarbeitung konkreter Lösungsvorschläge für Sicherheitsmaßnahmen bis hinab auf die Code-Ebene
- Durchführung von Sourcecode-Analysen (nach Bedarf) sowie konstruktive Behebung von Schwachstellen (CVE-Analyse) in direkter Zusammenarbeit mit den Entwickelnden
- Durchführung von Anwendungsbedrohungsmodellierungen (Threat Modeling)
- Aktive Durchführung von OWASP ZAP-Tests, Interpretation der Ergebnisse und Ableitung sowie Besprechung praxistauglicher Mitigierungsmöglichkeiten mit den Teams
- Verantwortliche Überwachung der Informationssicherheit (Monitoring Anwendungssicherheit) und der Quality Gates für das jeweils betreute Fachverfahren inklusive Reporting
- Planung und Durchführung praxisnaher Sicherheitsschulungen für die jeweiligen Vorhaben und Entwicklungsteams

Anforderungen:
- Schwerpunkt auf IT-Sicherheit mit starker technologischer Fundierung, nachgewiesen durch entsprechende Ausbildung oder tiefgehende praktische Erfahrung
- Hands-On-Mentalität und Selbstverständnis als operativ mitarbeitender Fachexperte mit hoher Affinität zur Softwareentwicklung
- Fundierte Programmierkenntnisse und Fähigkeit zum Lesen von Code
- Motivation und Fähigkeit für technisches Anforderungsmanagement (Übersetzung von abstrakten Sicherheits- und Compliance-Vorgaben in konkrete, entwicklungsnahe Aufgaben)
- Fundierte Erfahrungen in der Anwendungsbedrohungsmodellierung sowie der pragmatischen Einschätzung von Machbarkeit und Verhältnismäßigkeit von Sicherheitsmaßnahmen
- Praxiserprobte Kenntnisse im BSI IT-Grundschutz (und/oder ISO27001) sowie im Datenschutz (DSGVO, BDSG)
- Kommunikationsstärke, Durchsetzungsfähigkeit und ausgeprägte Teamfähigkeit, um als Bindeglied zwischen der AG Sicherheit und den Entwickelnden auf Augenhöhe zu agieren

Idealerweise:
- Praktische Erfahrung mit DAST-Werkzeugen (z. B. OWASP ZAP) und SAST-Werkzeugen (z. B. SonarQube)
- Kenntnisse im Umgang mit OWASP Dependency Track / Dependency Check
- Erfahrung mit GitOps-Vorgehensweisen und der Integration von Sicherheitstools in CI/CD-Pipelines
- Kenntnisse in Red Hat OpenShift Advanced Cluster Security
- Erfahrung in der aktiven Weiterentwicklung von Secure-by-Design- und DevSecOps-Konzepten