DevOps / Security Engineer (m/w/d)

Standort: Heilbronn oder Remote | Start: ab 01.08.2026 | Vollzeit unbefristet

In dieser Rolle übernimmst du die technische Verantwortung dafür, dass unsere Pipelines, unsere Infrastruktur und unsere Software Supply Chain nicht nur stabil, sondern auch sicher sind. Du bist die Person, die „Shift Left“ nicht als Buzzword benutzt, sondern operativ umsetzt – und gleichzeitig dafür sorgt, dass Deployments reibungslos laufen.

Du bist die Klammer zwischen Entwicklung, Security und dem entstehenden AI-Team:

• DevSecOps als Kern deiner Rolle: Du integrierst SAST, DAST, Dependency Scanning, Container-Scanning, Secret Detection (z. B. TruffleHog, Gitleaks) und IaC-Security (z. B. Checkov, tfsec) systematisch in unsere CI/CD-Pipelines. Security-Checks sind bei dir Pflicht, nicht optional – und du sorgst dafür, dass Findings priorisiert und abgearbeitet werden, statt in Tickets zu versauern.
• Secrets Management & Identity: Du arbeitest mit unserem Passbolt Enterprise-Setup, GCP Secret Manager und Azure Key Vault, treibst automatisierte Key-Rotation voran und migrierst verbleibende Service-Account-Keys auf Workload Identity Federation. Credential Hygiene ist bei dir kein Einmalprojekt, sondern ein laufender Prozess.
• Vulnerability Management & Patching: Du etablierst Prozesse rund um CVE-Tracking, Patch-Windows und Risiko-Priorisierung – sowohl für unsere Container-Images als auch für die darunterliegende Hosted-Infrastruktur. Du weißt, welche CVEs wirklich kritisch sind und welche nur CVSS-Inflation sind.
• Security in der Software Supply Chain: SBOMs, signierte Artefakte, Image-Provenance, Dependency-Pinning – du weißt was SLSA ist und wo wir davon noch entfernt sind. Du bringst uns dort schrittweise hin.
• Incident Response & Forensics: Wenn ein Secret geleakt ist, ein Account kompromittiert wird oder verdächtige Aktivität im Azure DevOps Audit Log auftaucht, bist du die Person, die strukturiert reagiert: Blast Radius eingrenzen, Credentials rotieren, Logs analysieren, Post-Mortem schreiben.
• CI/CD Pipelines: Du optimierst und erweiterst unsere bestehenden Azure DevOps Pipelines – schneller, stabiler, reproduzierbarer, sicherer. Build, Test, Deploy läuft bei dir nicht durch manuelle Eingriffe.
• Hybrid-Infrastruktur (Hetzner/Anexia + GCP): Unsere Produktivsysteme laufen auf Hosted-Infrastruktur, parallel migrieren wir gezielt Workloads auf GCP (u. a. unser LiteLLM-basiertes AI-Gateway auf Cloud Run). Du gestaltest diese Hybrid-Realität mit und achtest dabei besonders auf Netzwerk-Segmentierung, Firewall-Regeln und IAM-Policies.
• Kubernetes – stabil und gehärtet: Du verantwortest unsere K8s-Umgebung: Network Policies, RBAC, Pod Security Standards, Admission Controller. Ressourcenverwaltung und Stabilität gehören dazu, aber Cluster-Härtung ist kein optionales Extra.
• Infrastructure as Code: Was nicht als Code existiert, existiert nicht – und was als Code existiert, wird auf Security-Baselines geprüft. Reproduzierbar, dokumentiert, versioniert.
• Observability & Security Monitoring: Du baust Logging, Tracing und Alerting so, dass Auffälligkeiten sichtbar werden bevor sie eskalieren. Dazu gehören auch Security-relevante Signale: ungewöhnliche API-Zugriffe, fehlgeschlagene Auth-Versuche, Anomalien in Audit Logs.
• MLOps mit Security-Blick: Du schaffst die Infrastruktur, auf der unsere ML-Modelle und LLM-gestützten Services sicher deployt werden – inklusive Rate Limiting am Gateway, Kostenkontrolle und Schutz vor Prompt-Injection-nahen Exfiltration-Szenarien auf Infrastrukturebene.

• Mehrjährige Erfahrung als DevOps Engineer mit klarem Security-Schwerpunkt – du kennst den Unterschied zwischen Theorie und 3-Uhr-nachts-Incident.
• Fundiertes Wissen über gängige Angriffsvektoren und Mitigations – OWASP Top 10, Supply-Chain-Angriffe, Container-Escape, Privilege Escalation, typische Cloud-Misconfigurations.
• Praktische Erfahrung im Aufbau von DevSecOps-Pipelines – nicht nur „ich habe mal ein SAST-Tool eingebaut“, sondern du hast ein Team dazu gebracht, Security-Findings ernst zu nehmen und systematisch abzuarbeiten.
• Erfahrung mit Secrets Management (Passbolt, HashiCorp Vault, Azure Key Vault, GCP Secret Manager oder vergleichbar).
• Solide Erfahrung mit Azure DevOps – Pipelines, Service Connections, Environments, Audit Logs, Least-Privilege-Konfiguration.
• Erfahrung mit mindestens einer großen Public Cloud (GCP bevorzugt, Azure oder AWS ebenfalls relevant) – insbesondere IAM, Networking und Managed Security Services.
• Erfahrung mit On-Premise oder Hosted-Infrastruktur (vergleichbar mit Anexia/Hetzner/Colocation) – du kennst das Leben außerhalb der Public Cloud und die Security-Eigenheiten, die damit kommen.
• Kubernetes-Erfahrung in Produktion – inkl. RBAC, Network Policies, Pod Security und Cluster-Härtung.
• Infrastructure as Code ist für dich kein optionales Extra, sondern Standard – inkl. Security-Scanning der IaC-Templates.
• Eigeninitiative: Du analysierst den Ist-Zustand, erkennst Risiken und machst einen konkreten Verbesserungsvorschlag – ohne dass jemand fragen muss.

Nice to have

• Vertiefte GCP-Erfahrung (Cloud Run, Vertex AI, BigQuery, Secret Manager, Cloud Logging, Security Command Center).
• Erfahrung mit Threat Modeling oder Security Architecture Reviews.
• Erfahrung mit SIEM / SOAR oder strukturiertem Security Incident Handling.
• Kenntnisse in einschlägigen Frameworks: ISO 27001, NIST CSF, CIS Benchmarks, BSI-Grundschutz.
• Erfahrung mit Web Application Firewalls – insbesondere Akamai (CDN Rules, WAF Policies, Offloading-Strategien).
• Erfahrung mit LLM-Infrastruktur (LiteLLM, vLLM, Ollama o. ä.) und LLM-spezifischen Security-Themen (Prompt Injection, Data Exfiltration, Rate Limiting).
• Erfahrung mit MLflow, Seldon, BentoML oder vergleichbaren MLOps-Plattformen.
• Erfahrung mit Terraform für hybride Infrastruktur (Hosted + Cloud).
• Erfahrung mit GitOps-Workflows (Flux, ArgoCD).
• Grundkenntnisse in Python oder Go – hilfreich für Security-Tooling, Automation und eigene kleine Checks.
• Zertifizierungen: AZ-500 (Security), Google Professional Cloud Security Engineer, AZ-400 (DevOps Expert), CKS (Certified Kubernetes Security Specialist), OSCP oder vergleichbar.

• 28 Tage Urlaub: Genieße ausreichend Zeit für Erholung und Entspannung​
• Hybrid Work: Flexibles Arbeiten und remote möglich​ 🏡
• Inhouse care: Ein stilvolles neues Bürogebäude im Herzen Heilbronns – mit unserer eigenen Baristamaschine, Gaming-Ecke, Terrasse zum gemeinsamen Mittagessen oder Tischtennis spielen, kostenlosen Getränken und vielem mehr..​
• Hochwertige Ausstattung: Arbeite mit erstklassigem Equipment in einem modernen Umfeld​
• Flexibilität: Digitale Arbeitszeiterfassung und ein Gleitzeitkonto mit der Option auf Freizeitausgleich​⏰
• Attraktive Mitarbeiterrabatte auf das gesamte parfumdreams Online-Sortiment​
• Beauty-Time: Vergünstigte Beautytreatments in unseren Filialen​ ✨
• Fit & happy: Wellhub für Bewegung, Entspannung und mentale Balance​ 🏋️‍♀️🧘‍♂️
• Exklusive Angebote über unsere Corporate-Benefits-Plattform​ 🎁
• Work-Life-Balance & Alltagssupport: Kostenfreier Zugang zu heycare mit Unterstützung in allen Lebenslagen – von mentaler Gesundheit über Kinder- und Angehörigenbetreuung bis hin zur Haustierbetreuung – einfach per App​ 🐶👶
• Wir feiern deine besonderen Momente: Du bekommst extra Urlaubstage zu persönlichen Anlässen wie runden Geburtstagen, Hochzeit oder wichtigen Jubiläen 🎉🎂
• Sichere Zukunft: Mit unserer betrieblichen Altersvorsorge kannst du entspannt nach vorne schauen 💰
• Beauty mit Purpose: Arbeite dort, wo Trends nicht nur mitlaufen, sondern mitgestaltet werden – mit Fokus auf Innovation, Qualität und nachhaltige Marken 💄✨
• Inspirierendes Arbeitsumfeld: Schnell wachsendes Unternehmen, kurze Entscheidungswege und ein Ort, an dem deine Ideen zählen.🚀
• Teamkultur, die trägt: Offen, ehrlich, unterstützend – wir ziehen zusammen an einem Strang, feiern Erfolge und lernen gemeinsam aus Fehlern🤝🎉
• Unvergessliche Momente: Unsere Company Events sorgen für Erlebnisse, die im Gedächtnis bleiben 🎈
• Vierbeinige Kollegen willkommen: Hunde dürfen mit ins Büro – weil wir wissen, wie sehr sie den Tag versüßen. 🐶
• #comeasyouare: Kein Dresscode – sei einfach du selbst👕👠

Dann werde Teil unseres internationalen Unternehmens und bewirb Dich!

Wir als internationaler Arbeitgeber stehen für Chancengleichheit und Diversität. Daher freuen wir uns auf Bewerbungen von Müttern, Vätern, Menschen mit Behinderungen und Menschen aus der LGBTQ+ Community. Bitte teile uns gerne mit, wenn wir z.B. ein geschlechtsneutrales Pronomen verwenden sollen, Du einen barrierefreien Zugang benötigst oder wir mehr Zeit für den Bewerbungsprozess einplanen sollen.

Reise- oder Übernachtungskosten im Rahmen des Bewerbungsgesprächs können wir leider nicht übernehmen.
Bitte beachte außerdem, dass wir Papierbewerbungen nicht zurücksenden.

Wir freuen uns auf Deine Bewerbung!