Product Security Officer
Jena, Thuringia, DE
Ihre Aufgaben:
- Zentrale Entgegennahme (Vulnerability Intake) und Erstbewertung von Schwachstellen über alle Kanäle (intern, Forscher, NVD/CVE, CERT) nach CVSS im Produktkontext
- Einzige Konzernstimme für das operative Fristenmanagement gegenüber ENISA und nationalen Stellen/BSI (24h-Frühwarnung, 72h-Folgemeldung, Abschlussberichte)
- Taktgeber für die Priorisierung und Zeitplanung von Patches; Eskalationsinstanz bei kritischen Schwachstellen (CVSS ≥ 7.0)
- Betrieb der VDP-Plattform, Steuerung der Kommunikation mit Sicherheitsforschern, Einhaltung strenger Bearbeitungsfristen (Bestätigung 5 WT, Bewertung 15 WT, Patch 90 Tage bei CVSS ≥ 7.0) sowie Perspektive als CNA-Funktion
- Methodik-Owner für SBOM-Formate/-Lebenszyklen, kontinuierliches Schwachstellen-Monitoring in Drittkomponenten und fachliche Beratung der Einheiten bei SBOM-Erstellung und Ad-hoc-Analysen
- Definition, Verankerung und Pflege konzernweiter Product-Security-Standards über den gesamten Produktlebenszyklus (von Konzeption bis EOL)
- Fachliche Einbindung von Threat Modeling, Security Testing und Secure-Coding-Vorgaben in bestehende PLM-/Stage-Gate-Prozesse in Abstimmung mit R&D und Qualitätsmanagement
- Überwachung der Standards in den SBU/Legal Entities (die operative Umsetzung verbleibt in der First Line bei R&D/PSC)
- Leitung des konzernweiten PSIRT als Fachgremium sowie fachliche (nicht-disziplinarische) Führung der Product Security Officers (PSC) und PSIRT-Mitglieder
- Quartalsweise Konsolidierung der SBU-Berichte, halbjährlicher Report an Compliance & Risk und Zulieferung für das Vorstandsreporting
- Durchführung jährlicher, risikoorientierter interner Produktsicherheits-Audits bei Tochtergesellschaften (Fokus auf EU-Einheiten mit CRA-Direktgeltung), unterstützt durch Q&EHS
- Technische Zuarbeit zur Systemklassifizierung, Bewertung von Robustheits-/Security-Anforderungen für Hochrisiko-KI (Art. 15 KI-Act) sowie Integration von KI-Schwachstellen in den PSIRT-Prozess
- Produkttechnische Mitwirkung an Data-Access-by-Design (Art. 3 ff.), Absicherung von Schnittstellen und Zuarbeit zu Schutzaspekten (z.B. Geschäftsgeheimnisse) an Legal/Data Protection
- Erster Ansprechpartner für Behörden (ENISA, CSIRT/BSI, Marktüberwachung); Schnittstelle zum SOC für IT-übergreifende Cyber-Themen (NIS2-Anschluss)
- Fachliche Beratung für R&D, QM und SBU-Leitungen; Mitwirkung an der strategischen Weiterentwicklung des CRA-Frameworks/der CRA-Policy mit dem Framework-Owner
- Konzeption und Durchführung konzernweiter Trainings zu Product Security, Secure Development und CRA-Meldeprozessen
Ihr Profil:
- Master/Diplom in Informatik, IT-Sicherheit, Elektrotechnik, Ingenieurwesen oder vergleichbar
- Zertifikate in CISSP, CSSLP, GIAC (z.B. GPEN/GWAPT), CEH oder ähnlich wünschenwert
- Berufserfahrung in Product Security, PSIRT, Vulnerability Management oder IT-/OT-Security
- Erfahrung im Aufbau/Betrieb von Schwachstellen- und Incident-Response-Prozessen (idealerweise mit Behördenmeldepflichten)
- Erfahrung in der Zusammenarbeit mit R&D/Engineering, regulatorischen Stellen und int. Tochtergesellschaften (EU, USA, Asien) sowie in der fachlichen Steuerung interdisziplinärer Teams (inkl. externer Dienstleister)
- Fundiertes Wissen in SDL, Vulnerability Handling/Disclosure, CVSS-Bewertung, CVE-/NVD-Prozessen und SBOM-Formaten (CycloneDX, SPDX)
- Kenntnisse in ISO/IEC 30111, ISO/IEC 29147, idealerweise ISO/IEC 27001
- Tiefe Kenntnis des Cyber Resilience Act (EU 2024/2847 – u.a. Art. 13/14, Anh. I/VII, Meldefristen, Konformitätsbewertung)
- Produktrelevantes Grundverständnis/GRC-Bezug zu KI-Act (EU 2024/1689), Data Act (EU 2023/2854), NIS2 und RED (Fachverantwortung für KI/Data Act liegt bei Framework-Ownern)
- Sehr gut in SIEM/SOC-, Vulnerability- und SBOM-Tools, MS Office. Grundkenntnisse in Scripting (Python) für SBOM/CVE-Korrelation von Vorteil
- Eigenständige Prozesskonzeption, strukturierte Koordination im Multi-SBU-Umfeld, analytische Risikobewertung unter Zeitdruck
- Kommunikationsstark und durchsetzungsfähig (gegenüber Engineering, SBU-Leitung, Behörden); starke Übersetzungsfähigkeit zwischen Tech und Regulatorik
- Hohe Eigenverantwortung, Belastbarkeit
- Kenntnisse C1 in Deutsch/Englisch, sowie Reisebereitschaft (10% national, 15% international)
Contact:
Name: Sophie Krug
E-Mail: recruiting@jenoptik.com
What we offer:
