Chief Information Security Officer (alle Identitäten)

Bei Caspar Health revolutionieren wir die Rehabilitation indem wir innovative Technologie mit individueller Betreuung verbinden. Als führendes Unternehmen im Bereich der digitalen Nachsorge haben wir es uns zum Ziel gesetzt Prävention und Genesung neu zu definieren. Wir verbinden individuelle Versorgung Produktentwicklung und moderne Cloud-Technologie in einem stark regulierten Umfeld.

Als CISO baust Du mit uns die nächste Sicherheitsstufe:Du bist technische*r Sparringspartner*in für Engineering & Infrastructure hebst unsere Security-Maturity messbar (Threat Modeling Secure-by-Design Security-Initiativen) und führst gleichzeitig die notwendigen Assurance-Programme.
Du reportest direkt ans C-Level und arbeitest eng mit dem Head of Engineering der Infra- und Platform-Teams sowie anderen Squads und Stakeholdern im Unternehmen zusammen. Dazu führst du ein Team von 3 direkten Reports (1 ISO Manager 2 Sysadmins).

In den nächsten 1218 Monaten sind Deine wichtigsten Missionen:ISO 27001 Re-AuditBSI:C5 & BSI-TR 03161 sowie Security/Compliance für die medizinische Zertifizierung (MDR/Software as a Medical Device) inkl. AI/LLM-Governance.

• Security-Strategie für Produkt und Corporate IT
  Verantwortung für die Übersetzung von Risiken in Prioritäten Roadmaps und messbare Outcomes unter enger Zusammenarbeit mit bestehenden Teams zur Vermeidung von Silos

• Engineering-nahe Zusammenarbeit
  Enge Kollaboration mit Infrastruktur- Backend- Frontend- und Mobile-Teams sowie Teilnahme an Architektur-Reviews Threat Modeling und Design-Entscheidungen

• Security-by-Design
  Etablierung und Skalierung von Threat Modeling Security Champions sicheren Patterns/Guardrails und pragmatischen Secure-SDLC-Gates (CI/CD IaC Secrets Dependencies Logging)

• ISO 27001 Compliance
  Operative und strategische Verantwortung für Re-Audit kontinuierliche Compliance Evidence-Automation Management Review Finding-Management und Audit-Readiness ohne Feuerwehren kontinuierliche und präventive Compliance-Überwachung

• BSI C5 und BSI-TR 03161
  Vorbereitung auf BSI:C5 und BSI-TR 03161 inklusive Control-Mapping Gap-Plan Evidenzen Supplier-/Subprocessor-Management und Audit-Choreografie

• Supplier- & Third-Party-Risk-Programm für medizinische Software & AI
  Aufbau eines Risikomanagement-Programms mit Fokus auf Sicherheitsanforderungen Vertragsnachweise Change Notifications Exit-/Fallback-Pläne sowie Change Control Versionierung/Traceability (Model/Prompt/Policy) Validierung/Regression Human Oversight und Post-Market Monitoring in enger Abstimmung mit Produkt Clinical und QM

• Incident & Vulnerability Management
  Sicherstellung effizienter Prozesse für Incident-Management klare Runbooks On-Call/Eskalation Tabletop-Übungen Postmortems und nachhaltige Fixes

• Security Observability
  Stärkung der Observability durch sinnvolle Telemetrie Detection/Response-Prozesse und Reporting an Management/Board ohne Tool-Wildwuchs

• Datenschutz und Sicherheit
  Zusammenarbeit mit DPO Legal und Quality Management zur Integration von Privacy und Security (DPIAs Datenklassifizierung Retention Audit Trails Traceability)

• Leadership in Security-Rollen
  Du hast Erfahrung als Security-Leader (CISO Head of Security) in einer Cloud-nativen Produktorganisation idealerweise in stark regulierten Bereichen wie Gesundheit MedTech FinTech oder dem öffentlichen Sektor.
  Das ist der einzige Punkt der nicht ganz passt Wir sind offen für hochqualifizierte Talente die sich entwickeln wollen!

• Technische Expertise
  Mit deinem Hintergrund als Security Engineer oder Platform Engineer verstehst du komplexe Themen wie IAM Kubernetes und Cloud-Architekturen und kannst praxisorientierte Sicherheitslösungen entwickeln

• Security-Maturity-Programme
  Du hast erfolgreich Programme wie Threat Modeling Secure-by-Design und CloudSec-Initiativen umgesetzt und weißt wie man deren Erfolg mit klaren Metriken und Ergebnissen kommuniziert

• ISO 27001-Audits und kontinuierliche Verbesserung
  Dank deiner umfassende Erfahrung mit ISO 27001-Audits führst du durch den gesamten Prozess von der Planung bis zur kontinuierlichen Verbesserung

• Third-Party und Supplier Governance
  Verhandlungen und Partnerschaften führst du erfolgreich indem du technische Sicherheitsanforderungen umsetzt und dabei Erfahrung in der Governance von Drittanbietern und SaaS-Anbietern einbringst

• Risk Management
  Mit fundiertem Wissen in Risikomanagement-Methoden (z. B. ISO 27005 NIST) priorisierst du Sicherheitsrisiken effektiv und managst sie pragmatisch

• Kommunikationsstärke & Sprachkenntnisse
  Du bist klar und durchsetzungsstark aufDeutsch und Englisch sowohl in technischen als auch in Management-Kontexten und förderst so die vertrauensvolle Zusammenarbeit mit Teams

Was uns als Team ausmacht

• Wir leben Vielfalt Diversität ist bei uns kein Aushängeschild sondern Alltag
• Feedback ist kein Tool sondern Teil unserer Kultur
• Wir glauben daran dass Technologie nur dann sinnvoll ist wenn sie Menschen hilft
• Unser Antrieb ist Purpose aber unser Anspruch ist Professionalität

Dein Kontakt ist Hannah Christiani Talent Acquisition Specialist.

Außerdem sind wir an deinem frühestmöglichen Eintrittstermin und deinen Gehaltsvorstellungen interessiert. Solltest du weitere Fragen haben wende dich bitte an Wir werden uns so schnell wie möglich mit dir in Verbindung setzen.

Caspar Health is a digital rehabilitation clinic with a vision to provide patients with access to the most effective rehabilitation treatment at any time any place.

Medical facilities use Caspar Health to conduct therapy measures online with their patients during their hospital stay and after discharge. The combination of learning technology with in-depth medical knowledge ensures that the therapy goal is achieved in a sustainable manner.

The services are covered by numerous pension insurance companies in the areas of rehabilitation prevention and aftercare.