Chief Information Security Officer / CISO (alle Identitäten)

What to expect

Bei Caspar Health revolutionieren wir die Rehabilitation, indem wir innovative Technologie mit individueller Betreuung verbinden. Als führendes Unternehmen im Bereich der digitalen Nachsorge haben wir es uns zum Ziel gesetzt, Prävention und Genesung neu zu definieren. Wir verbinden individuelle Versorgung, Produktentwicklung und moderne Cloud-Technologie in einem stark regulierten Umfeld.

Als CISO baust Du mit uns die nächste Sicherheitsstufe: Du bist technische*r Sparringspartner*in für Engineering & Infrastructure, hebst unsere Security-Maturity messbar (Threat Modeling, Secure-by-Design, Security-Initiativen) und führst gleichzeitig die notwendigen Assurance-Programme.
Du reportest direkt ans C-Level und arbeitest eng mit dem Head of Engineering, der Infra- und Platform-Teams sowie anderen Squads und Stakeholdern im Unternehmen zusammen. Dazu führst du ein Team von 3 direkten Reports (1 ISO Manager, 2 Sysadmins).

In den nächsten 12–18 Monaten sind Deine wichtigsten Missionen: ISO 27001 Re-Audit,BSI:C5 & BSI-TR 03161 sowie Security/Compliance für die medizinische Zertifizierung (MDR/Software as a Medical Device) inkl. AI/LLM-Governance.

Your Challenges

• Security-Strategie für Produkt und Corporate IT
  Verantwortung für die Übersetzung von Risiken in Prioritäten, Roadmaps und messbare Outcomes unter enger Zusammenarbeit mit bestehenden Teams zur Vermeidung von Silos

• Engineering-nahe Zusammenarbeit
  Enge Kollaboration mit Infrastruktur-, Backend-, Frontend- und Mobile-Teams sowie Teilnahme an Architektur-Reviews, Threat Modeling und Design-Entscheidungen

• Security-by-Design
  Etablierung und Skalierung von Threat Modeling, Security Champions, sicheren Patterns/Guardrails und pragmatischen Secure-SDLC-Gates (CI/CD, IaC, Secrets, Dependencies, Logging)

• ISO 27001 Compliance
  Operative und strategische Verantwortung für Re-Audit, kontinuierliche Compliance, Evidence-Automation, Management Review, Finding-Management und Audit-Readiness ohne Feuerwehren – kontinuierliche und präventive Compliance-Überwachung

• BSI C5 und BSI-TR 03161
  Vorbereitung auf BSI:C5 und BSI-TR 03161, inklusive Control-Mapping, Gap-Plan, Evidenzen, Supplier-/Subprocessor-Management und Audit-Choreografie

• Supplier- & Third-Party-Risk-Programm für medizinische Software & AI
  Aufbau eines Risikomanagement-Programms mit Fokus auf Sicherheitsanforderungen, Vertragsnachweise, Change Notifications, Exit-/Fallback-Pläne sowie Change Control, Versionierung/Traceability (Model/Prompt/Policy), Validierung/Regression, Human Oversight und Post-Market Monitoring in enger Abstimmung mit Produkt, Clinical und QM

• Incident & Vulnerability Management
  Sicherstellung effizienter Prozesse für Incident-Management, klare Runbooks, On-Call/Eskalation, Tabletop-Übungen, Postmortems und nachhaltige Fixes

• Security Observability
  Stärkung der Observability durch sinnvolle Telemetrie, Detection/Response-Prozesse und Reporting an Management/Board, ohne Tool-Wildwuchs

• Datenschutz und Sicherheit
  Zusammenarbeit mit DPO, Legal und Quality Management zur Integration von Privacy und Security (DPIAs, Datenklassifizierung, Retention, Audit Trails, Traceability)

Your profile

• Leadership in Security-Rollen
  Du hast Erfahrung als Security-Leader (CISO, Head of Security) in einer Cloud-nativen Produktorganisation, idealerweise in stark regulierten Bereichen wie Gesundheit, MedTech, FinTech oder dem öffentlichen Sektor. 
  Das ist der einzige Punkt, der nicht ganz passt? Wir sind offen für hochqualifizierte Talente die sich entwickeln wollen!

• Technische Expertise
  Mit deinem Hintergrund als Security Engineer oder Platform Engineer verstehst du komplexe Themen wie IAM, Kubernetes und Cloud-Architekturen und kannst praxisorientierte Sicherheitslösungen entwickeln

• Security-Maturity-Programme
  Du hast erfolgreich Programme wie Threat Modeling, Secure-by-Design und CloudSec-Initiativen umgesetzt und weißt, wie man deren Erfolg mit klaren Metriken und Ergebnissen kommuniziert

• ISO 27001-Audits und kontinuierliche Verbesserung
  Dank deiner umfassende Erfahrung mit ISO 27001-Audits, führst du durch den gesamten Prozess von der Planung bis zur kontinuierlichen Verbesserung

• Third-Party und Supplier Governance
  Verhandlungen und Partnerschaften führst du erfolgreich, indem du technische Sicherheitsanforderungen umsetzt und dabei Erfahrung in der Governance von Drittanbietern und SaaS-Anbietern einbringst

• Risk Management
  Mit fundiertem Wissen in Risikomanagement-Methoden (z. B. ISO 27005, NIST) priorisierst du Sicherheitsrisiken effektiv und managst sie pragmatisch

• Kommunikationsstärke & Sprachkenntnisse
  Du bist klar und durchsetzungsstark auf Deutsch und Englisch, sowohl in technischen als auch in Management-Kontexten, und förderst so die vertrauensvolle Zusammenarbeit mit Teams

Why Caspar Health?

• Remote-first mit flexiblen Arbeitszeiten – Office optional in Berlin Mitte oder 90 Tage im Jahr außerhalb Deutschlands

• Passend dazu, unterstützen wir Dich mit einer monatlichen Homeoffice Pauschale und einem Essenszuschuss on Top

• Genug Zeit zum erholen – mit 30 Tagen Urlaub im Jahr

• Budget für Weiterbildung , Konferenzen & Coaching, passend zu deinen Potentialen und Entwicklungsmöglichkeiten

• Hohe Eigenverantwortung & Entscheidungsfreiheit: kein Mikromanagement – wir stellen Expert*innen ein, die wissen was sie tun #MakeAnImpact!

• Echte Zusammenarbeit: keine Silos, keine Eitelkeiten – wir haben schließlich alle die gleiche Vision vor Augen #ValueFocus!

• Zugang zu allen Caspar-Angeboten im Bereich mentale & physische Gesundheit #HealthyTogether!

• Und ja – Alle Snack-Wünsche die das Herz begehrt, gemeinsame Sport-Sessions, ein nie endender Getränke Kühlschrank & eine gute Portion Humor gibt’s auch

Was uns als Team ausmacht

• Wir leben Vielfalt – Diversität ist bei uns kein Aushängeschild, sondern Alltag
• Feedback ist kein Tool, sondern Teil unserer Kultur
• Wir glauben daran, dass Technologie nur dann sinnvoll ist, wenn sie Menschen hilft
• Unser Antrieb ist Purpose – aber unser Anspruch ist Professionalität

Your contact

Bitte reiche deine Bewerbung ausschließlich online über unseren Bewerbungslink ein.

Dein Kontakt ist Hannah Christiani, Talent Acquisition Specialist.

Außerdem sind wir an deinem frühestmöglichen Eintrittstermin und deinen Gehaltsvorstellungen interessiert. Solltest du weitere Fragen haben, wende dich bitte an [email protected]. Wir werden uns so schnell wie möglich mit dir in Verbindung setzen.

Unser Produkt CASPAR Health wird im Umfeld von medizinischen Einrichtungen, Patient*innen, Ärzt*innen und Therapeut*innen eingesetzt. Zu unserem beruflichen Alltag gehört es, mit (sensiblen) personenbezogenen Daten (z.B. Gesundheitsdaten) zu arbeiten. Daher fordern wir von unseren Mitarbeiter*innen ein hohes Commitment zum Schutz personenbezogener Daten ein, um die Rechte der Betroffenen bestmöglich zu schützen.

Diversität und Inklusion:
Bei Caspar Health sind wir bestrebt, für alle Casparianer*innen eine freundliche, sichere und einladende Umgebung zu bieten, unabhängig von Geschlecht, Geschlechtsidentität und -ausdruck, sexueller Orientierung, Einschränkungen aller Art, körperlicher Erscheinung, sozialer Herkunft, Alter oder Religion (oder deren Nichtvorhandensein).
Bei Deiner Bewerbung stehen für uns Deine Erfahrung und Motivation im Vordergrund. Du entscheidest, welche zusätzlichen Informationen du preisgeben möchtest (Bild, Familienstand, Religion, Geschlecht, Nationalität, etc.). Wir schätzen und behandeln alle Bewerbungen gleich.

Hinweis zum Datenschutz:
Bitte bewirb Dich ausschließlich über unseren Bewerbungslink, da wir nur so den Schutz Deiner Daten gewährleisten können. Unsere Datenschutzerklärung findest Du hier .

About us

Caspar Health is a digital rehabilitation clinic with a vision to provide patients with access to the most effective rehabilitation treatment at any time, any place.

Medical facilities use Caspar Health to conduct therapy measures online with their patients during their hospital stay and after discharge. The combination of learning technology with in-depth medical knowledge ensures that the therapy goal is achieved in a sustainable manner.

The services are covered by numerous pension insurance companies in the areas of rehabilitation, prevention and aftercare.