Cybersecurity Internal Penetration Tester

Job Beschreibung

Der Information Security & BCM Bereich, unter der Leitung des Group Chief Information Security Officer (CISO) und Teil der Chief Operating Office (COO) Organisation, definiert, leitet und koordiniert die Bemühungen im Bereich Informationssicherheit innerhalb von EFG International und seinen globalen Einheiten. Wir suchen einen Cybersecurity Internal Penetration Tester, um die ICT-Risikomanagement-Rahmenbedingungen zu unterstützen und die Einhaltung regulatorischer Anforderungen (FINMA, DORA und relevante Finanzsektorenvorschriften) sicherzustellen.

Aufgaben

Die erfolgreiche Kandidatin oder der erfolgreiche Kandidat wird für die Durchführung laufender, interner Offensiv-Sicherheitsbewertungen der Banken-Infrastruktur, Anwendungen und Kontrollen verantwortlich sein. Zu den Hauptaufgaben gehören:

• Planung, Umfang und Durchführung interner Penetrationstests auf Kernbanking-Plattformen und Geschäftsanwendungen mit einem starken Fokus auf Dienste, die kritische und wichtige Funktionen unterstützen
• Entwicklung von Test-Szenarien, die an realistischen Bedrohungsmodellen für das Bankwesen (Betrug, Datenexfiltration, Privilegien-Eskalation, laterale Bewegungen zu kritischen Systemen usw.) ausgerichtet sind
• Durchführung von Hands-on-Tests gegen interne Netzwerke, Server, Endgeräte, Webanwendungen, APIs, Cloud-Arbeitsbereiche, AD und andere Kerninfrastruktursysteme
• Dokumentation von Ergebnissen in klaren, risikobasierten Berichten mit Beweisen und handhabbaren Empfehlungen für technische und nicht-technische Zielgruppen
• Enge Zusammenarbeit mit Infrastruktur-, Entwicklung-, DevOps- und Risikoteams zur Unterstützung von Behebungsplänen und erneuter Tests, um sicherzustellen, dass kritische Ergebnisse innerhalb der CISO- und Governance-Prozesse nachverfolgt und abgeschlossen werden
• Entwicklung und Wartung interner Testmethoden, Spielbücher und Werkzeuge zur Unterstützung wiederholbarer und effizienter Bewertungen
• Zusammenarbeit mit dem SOC- oder Incident-Response-Team zur Erkennung und Verbesserung der Erkennungs- und Reaktionsfähigkeiten
• Auf dem neuesten Stand bleiben hinsichtlich neuer Bedrohungen, Schwachstellen, TTPs usw. und deren Einbeziehung in interne Tests

Anforderungen

Zu den Anforderungen gehören:

• Hintergrund in Cyber-Sicherheit, Informatik oder verwandten Bereichen
• 3-5 Jahre Hands-on-Erfahrung im Penetrationstesten oder Red-Team, mit nachweisbarer Arbeit an internen Netzwerken, Webanwendungen und APIs; eine Erfahrung in offensiver oder defensiver Sicherheit ist ein starker Pluspunkt
• Starkes Verständnis von Netzwerkprotokollen, Betriebssystemen (Windows, Linux), Web- und Cloud-Technologien; Vertrautheit mit Kernbank-Architekturen ist ein Plus
• Beherrschung gängiger offensiver Werkzeuge und Techniken (z. B. Burp Suite, Metasploit, Cobalt Strike-ähnliche Frameworks, Kali-basierte Werkzeuge) und Fähigkeit, manuelle Tests jenseits von Werkzeugen durchzuführen
• Solides Wissen über sichere Codierungskonzepte und häufige Anwendungsschwachstellen (z. B. OWASP Top 10) zur Bewertung von Web- und API-Zielen
• Professionelle Zertifizierungen wie OSCP, OSGP oder ähnliche offensive Sicherheitszertifizierungen in gutem Stand
• Starke Kommunikationsfähigkeiten und Fähigkeit, komplexe technische Ergebnisse