DevSecOps Architect – Fokus SSDLC (m/w/d)

Wir die emagine GmbH suchen für unsere Business Unit Insurance einen erfahrenen DevSecOps Architect (m/w/d) mit Schwerpunkt Secure Software Development Lifecycle (SSDLC), der Entwicklungsprozesse nachhaltig sicherheitsorientiert weiterentwickelt, Best Practices etabliert und Teams hands-on in der Umsetzung begleitet. Ziel ist der Aufbau bzw. die Optimierung eines ganzheitlichen SSDLC in einer komplexen IT-Landschaft. Rahmendaten: Start: Juno 2026 ggf. späterDauer: 10 Monate + Option Einsatzort: remote/Münster Aufgaben • Analyse bestehender Entwicklungs-, Build- und Releaseprozesse hinsichtlich Sicherheitsreife, Schwachstellen und Optimierungspotenzial • Konzeption, Aufbau und Einführung eines unternehmensweiten SSDLC-Frameworks, abgestimmt auf Organisation, Technologien und regulatorische Anforderungen • Definition und Implementierung von: Security Gates • Quality Checks • Secure Coding Guidelines • DevSecOps Standards • Integration moderner Security-Toolchains entlang des SDLC:• SAST, DAST, SCA • Secrets Scanning • Container Security • Infrastructure-as-Code (IaC) Security • Aktive Begleitung der Entwicklungsteams durch: • Coaching & Mentoring • Pair Programming • Schulungen • Hands-on Support im Tagesgeschäft • Einführung und Etablierung von Threat Modeling Prozessen (z. B. STRIDE, PASTA, LINDDUN) • Bewertung bestehender Toolchains und Empfehlung nachhaltiger Lösungen • Definition sicherer Architektur- und Coding-Standards in enger Zusammenarbeit mit Entwicklung, Cloud und Architektur • Unterstützung bei: Security Reviews & Code Audits • Koordination von Penetration Tests • Audit- und Compliance-Nachweisen • Stakeholder-Management sowie Reporting zu:• Security Reifegrad • Fortschritt & Risiken • Maßnahmen und Roadmaps Anforderungen • Fundierte Erfahrung als DevSecOps Engineer/Architect, Security Engineer oder vergleichbar • Tiefes Verständnis von SSDLC, Secure Coding und DevSecOps-Prinzipien • Praktische Erfahrung mit gängigen Security-Tools (z. B. Checkmarx, Snyk, SonarQube, OWASP Tools, etc.) • Erfahrung in Cloud-Umgebungen (AWS, Azure oder GCP) und containerisierten Architekturen (Docker, Kubernetes) • Know-how in CI/CD-Pipelines (z. B. Jenkins, GitLab CI, GitHub Actions) • Erfahrung mit Threat Modeling Methoden • Sehr gute Kommunikationsfähigkeiten und Erfahrung im Coaching technischer Teams • Verständnis für Compliance-Anforderungen (z. B. ISO 27001, NIS2, GDPR von Vorteil) Nice-to-haves • Erfahrung in regulierten Branchen (Finance, Insurance, Public) • Zertifizierungen wie CSSLP, CISSP, CISM, Azure/AWS Security • Erfahrung in großen, verteilten Organisationen / Enterprise-Umfeld