Cybersecurity Internal Penetration Tester

Job Beschreibung

Der Cybersecurity Internal Penetration Tester wird für die Durchführung von internen Penetrationstests auf der Infrastruktur, Anwendungen und Kontrollen der Bank verantwortlich sein. Diese Rolle kombiniert hands-on technische Erfahrung bei der Durchführung von Penetrationstests und Simulationen von realen Angriffen auf Unternehmensumgebungen mit enger Zusammenarbeit mit Sicherheits-, IT-, Entwicklung- und Risikoteams, um proaktiv Schwachstellen in kritischen Bankensystemen zu identifizieren, auszunutzen und zu beheben.

Aufgaben

• Planung, Umfang und Durchführung interner Penetrationstests auf Kernbanking-Plattformen und Geschäftsanwendungen mit Fokus auf Dienste, die kritische und wichtige Funktionen unterstützen.
• Entwicklung von Test-Szenarien, die an realistischen Bank-Bedrohungsmodellen (Betrug, Datenexfiltration, Privilegien-Eskalation, laterale Bewegungen zu kritischen Systemen usw.) ausgerichtet sind.
• Durchführung von Hands-on-Tests gegen interne Netzwerke, Server, Endgeräte, Web-Anwendungen, APIs, Cloud-Arbeitsbereiche, AD und andere Kern-Infrastruktursysteme.
• Dokumentation von Ergebnissen in klaren, risikobasierten Berichten mit Beweisen und handhabbaren Behebungsanleitungen für technische und nicht-technische Zielgruppen.
• Enge Zusammenarbeit mit Infrastruktur-, Entwicklung-, DevOps- und Risikoteams zur Unterstützung von Behebungsplänen und Nachtests, um sicherzustellen, dass kritische Ergebnisse im Rahmen der LCT- und Governance-Prozesse verfolgt und abgeschlossen werden.
• Entwicklung und Wartung interner Testmethoden, Playbooks und Tools zur Unterstützung wiederholbarer und effizienter Bewertungen.
• Zusammenarbeit mit SOC oder auf Abruf test-Teams zur Durchführung und Verbesserung der Erkennungs- und Reaktionsfähigkeiten.
• Auf dem neuesten Stand bleiben bei neuen Bedrohungen, Schwachstellen, TTPs usw. und diese in interne Tests einbeziehen.

Anforderungen

• Hintergrund in Cyber-Sicherheit, Informatik oder verwandten Bereichen.
• 3-5 Jahre hands-on Penetrationstest- oder Red-Team-Erfahrung mit nachweisbarer Arbeit an internen Netzwerken, Web-Anwendungen und APIs; ein Hintergrund in offensiver und defensiver Sicherheitserfahrung ist ein starker Pluspunkt.
• Starkes Verständnis von Netzwerkprotokollen, Betriebssystemen (Windows, Linux), Web- und Cloud-Technologien; Vertrautheit mit Kernbank-Architekturen ist ein Plus.
• Beherrschung gemeinsamer offensiver Tools und Techniken (z. B. Burp Suite, Metasploit, Cobalt Strike-ähnliche Frameworks, Kali-basierte Tooling) und Fähigkeit, manuelle Tests jenseits von Tools durchzuführen.
• Festes Wissen über sichere Codierungskonzepte und häufige Anwendungsschwachstellen (z. B. OWASP Top 10) zur Bewertung von Web- und API-Zielen.
• Professionelle Zertifizierungen wie OSCP, GCP oder ähnliche offensive Sicherheitszertifizierungen in gutem Stand.
• Starke Kommunikationsfähigkeiten und Fähigkeit, komplexe technische Ergebnisse für technische und nicht-technische Zielgruppen zu erklären.

Wir bieten

• Ein unterstützendes Umfeld, in dem Ihre Beiträge geschätzt und anerkannt werden.
• Ein dynamisches Arbeitsumfeld mit Möglichkeiten zur kontinuierlichen Verbesserung.