Cybersecurity Internal Penetration Tester

Job Beschreibung

Wir suchen einen Cybersecurity Internal Penetration Tester, um unsere Information Security & BCM-Abteilung zu unterstützen. Der erfolgreiche Kandidat wird für die Durchführung von internen Penetrationstests auf unserer Infrastruktur, Anwendungen und Kontrollen verantwortlich sein.

Aufgaben

Die Hauptaufgaben umfassen:

• Planung, Umfang und Durchführung von internen Penetrationstests auf Kernbanking-Plattformen und Geschäftsanwendungen
• Entwicklung von Test-Szenarien, die realistische Bedrohungsmodelle für das Bankwesen (Betrug, Datenexfiltration, Privilegien-Eskalation, laterale Bewegungen zu kritischen Systemen usw.) berücksichtigen
• Durchführung von Hands-on-Tests gegen interne Netzwerke, Server, Endgeräte, Web-Anwendungen, APIs, Cloud-Arbeitsplätze, AD und andere Kern-Infrastruktur-Systeme
• Dokumentation von Ergebnissen in klaren, risikobasierten Berichten mit Beweisen und handhabbaren Empfehlungen für technische und nicht-technische Zielgruppen
• Zusammenarbeit mit Infrastruktur-, Entwicklung-, DevOps- und Risikoteams, um Sanierungspläne und Nachtests zu unterstützen und sicherzustellen, dass kritische Ergebnisse im Rahmen der CIRT- und Governance-Prozesse verfolgt werden
• Entwicklung und Wartung interner Testmethoden, Playbooks und Tools, um responsive und effektive Bewertungen zu unterstützen
• Zusammenarbeit mit dem SOC oder dem Computer-Sicherheits-Incident-Response-Team, um die Erkennung und Reaktion auf Bedrohungen zu verbessern
• Auf dem neuesten Stand bleiben, was neue Bedrohungen, Schwachstellen, TTPs usw. betrifft, und diese in interne Tests einbeziehen

Anforderungen

Die Anforderungen für diese Position umfassen:

• Hintergrund in Cyber-Sicherheit, Informatik oder einem verwandten Feld
• 3-5 Jahre Hands-on-Erfahrung im Penetrationstesten oder Red-Teaming, mit nachweisbarer Arbeit an internen Netzwerken, Web-Anwendungen und APIs; Hands-on-Erfahrung in offensiven Sicherheitsaktivitäten ist ein starker Pluspunkt
• Starkes Verständnis von Netzwerkprotokollen, Betriebssystemen (Windows, Linux), Web- und Cloud-Technologien; Vertrautheit mit Kernbank-Architekturen ist ein Pluspunkt
• Kenntnisse von gängigen offensiven Tools und Techniken (z. B. Burp Suite, Metasploit, Cobalt Strike-ähnliche Frameworks, Kali-basierte Tooling) und Fähigkeit, manuelle Tests jenseits von Tools durchzuführen
• Solide Kenntnisse von sicheren Codierungskonzepten und gängigen Anwendungsschwachstellen (z. B. OWASP Top 10), um Web- und API-Ziele zu bewerten
• Professionelle Zertifizierungen wie OSCP, GPEN oder ähnliche offensiv-sicherheitsbezogene Zertifizierungen in gutem Stand
• Starke Kommunikationsfähigkeiten und Fähigkeit, komplexe technische Ergebnisse für technische und nicht-technische Zielgruppen zu erklären

Wir bieten

Wir bieten eine herausfordernde und dynamische Arbeitsumgebung und streben danach, ein Arbeitgeber der Wahl zu sein. Unsere Werte umfassen:

• Verantwortung: Übernahme von Verantwortung für Aufgaben und Herausforderungen sowie kontinuierliche Verbesserung
• Hands-on: Proaktive und schnelle Lieferung von hochwertigen Ergebnissen
• Leidenschaft: Engagement und Streben nach Exzellenz
<