Skip to main content

IT Security Consultant (m/w/d)

Vollzeit, fully remote oder Hamburg

IT-Sicherheit scheitert selten an fehlenden Konzepten. Sie scheitert daran, dass Konzepte nicht in der echten IT ankommen.

Wir kommen aus der Angreiferperspektive. Wir prüfen Systeme so, wie sie später wirklich angegriffen werden. Nicht theoretisch, nicht modellhaft, sondern technisch und praktisch. Genau diese Sicht prägt unsere Arbeit in Beratung und Projekten.

Jetzt suchen wir jemanden als IT-Security Consultant (m/w/d), der diese Perspektive weiterträgt. Nicht als Papierarbeit, sondern als greifbare Verbesserung in Kundenumgebungen.

Worum es in der Rolle geht

Du begleitest Unternehmen langfristig in ihrer Sicherheitsentwicklung, häufig als externer Informationssicherheitsbeauftragter oder im Rahmen von Consulting-Projekten. Die Branchen unserer Kunden sind vielfältig.

Dein Ziel: IT-Sicherheit so gestalten, dass sie im Alltag funktioniert.

Du arbeitest an der Schnittstelle zwischen Architektur, Betrieb und Security und sorgst dafür, dass Sicherheitsmaßnahmen nicht nur definiert, sondern auch umgesetzt werden.


Die Zusammenarbeit erfolgt überwiegend remote und ist bevorzugt, da das Team bundesweit verteilt arbeitet. Vor-Ort-Termine beim Kunden können im Einzelfall erforderlich sein, stellen jedoch nicht den Regelfall dar. Eine Tätigkeit im Büro in Hamburg ist ebenfalls möglich; hierfür steht ein entsprechender Arbeitsplatz zur Verfügung.

Deine Aufgaben

  • Aufbau und Weiterentwicklung von Informationssicherheitsstrukturen nach ISO 27001
  • Begleitung von Unternehmen bei der Umsetzung regulatorischer Anforderungen wie NIS-2 und DORA
  • Entwicklung pragmatischer Sicherheitskonzepte, die im Betrieb funktionieren
  • Bewertung und Verbesserung von IT-Architekturen in Cloud- und Hybridumgebungen
  • Übersetzung technischer Risiken in konkrete, umsetzbare Maßnahmen
  • Tätigkeit als externer Informationssicherheitsbeauftragter in langfristigen Kundenbeziehungen
  • Enge Zusammenarbeit mit technischen Teams aus Penetration Testing und Red Teaming
  • Identifikation von Schwachstellen in der realen Systemumsetzung, nicht nur auf Dokumentenebene

Du verwaltest keine Dokumente. Du sorgst dafür, dass Sicherheit in der Infrastruktur ankommt.

Technischer Anspruch

Ein technisches Verständnis in den folgenden Bereichen ist für die Rolle von Vorteil, jedoch keine zwingende Voraussetzung:

  • Moderne Netzwerk- und Cloud-Architekturen (Azure, AWS oder hybrid)
  • Identity- und Access-Management in komplexen Organisationen
  • Logging, Detection, Hardening und Security Monitoring
  • Typische Angriffsflächen in Enterprise-Umgebungen
  • Zusammenspiel von Applikationen, Infrastruktur und Security Controls

Grundsätzlich ist die Rolle auch für Personen geeignet, die sich in diese Themenbereiche strukturiert einarbeiten und ihr Wissen im Rahmen von Projekten weiterentwickeln.

Was Du mitbringen solltest

  • Erfahrung in IT-Security, IT-Consulting oder IT-Architektur
  • Verständnis für Informationssicherheits-Frameworks wie ISO 27001
  • Interesse an regulatorischen Themen wie NIS-2 und DORA
  • Fähigkeit, technische und organisatorische Anforderungen zusammenzubringen
  • Strukturierte Arbeitsweise mit Fokus auf Umsetzung im Betrieb
  • Fähigkeit, komplexe IT-Architekturen zu analysieren und Sicherheitsrisiken abzuleiten
  • Verständnis moderner Cloud- und Hybrid-Architekturen (Azure, AWS oder vergleichbar)
  • Erfahrung im Umgang mit IAM-, Netzwerk- und Logging-/Monitoring-Konzepten
  • Kommunikationsfähigkeit zwischen technischen Teams und Management-Ebene
  • Bereitschaft, sich tief in neue technische Umgebungen einzuarbeiten
  • Abgeschlossenes Studium der Informatik, IT-Sicherheit oder Wirtschaftsinformatik oder eine vergleichbare technische Qualifikation (z. B. IT-Ausbildung wie Fachinformatiker für Systemintegration oder Anwendungsentwicklung)

Nicht alle genannten Anforderungen müssen vollständig erfüllt sein. Entscheidend ist eine passende fachliche Grundqualifikation in Kombination mit technischem Verständnis sowie der Bereitschaft, sich in die relevanten Themenfelder einzuarbeiten.

Wünschenswert, jedoch keine zwingende Voraussetzung:
  • Verständnis regulatorischer Anforderungen und Betriebsrealitäten in
    • Versicherungen
    • Finanz- und Bankenwesen
    • Handel
    • Energiewirtschaft
    • maritimer Sektor
  • Erfahrung in KRITIS-nahen oder regulierten Umfeldern
  • Zertifizierungen wie bspw. ISO/IEC 27001 Lead Implementer, Certified Information Systems Security Professional (CISSP), Microsoft Certified: Azure Security Engineer Associate (Exam AZ-500), IT-Grundschutz Praktiker (BSI) oder vergleichbar

Was wir bewusst nicht suchen

  • Rollen mit reinem Audit-, Dokumentations- oder Reportingfokus ohne ausreichende technische Einordnung in IT-Architekturen und Systemlandschaften
  • Tätigkeiten, in denen Sicherheitskonzepte erstellt werden, ohne dass diese im operativen Betrieb der Kunden umgesetzt oder wirksam verankert werden
  • Beratung ohne Bezug zu realen Angriffspfaden, Systemverhalten oder technischen Abhängigkeiten
  • Stark checklistenorientierte Arbeitsweisen ohne Kontext zur konkreten IT-Architektur oder zum individuellen Kundenumfeld
  • Ansätze, die regulatorische Anforderungen (z. B. ISO 27001, NIS-2, DORA) ausschließlich formal erfüllen, ohne technische und organisatorische Wirksamkeit im Betrieb sicherzustellen
  • Sicherheitsverständnisse, die einzelne IT-Bereiche isoliert betrachten, ohne das Zusammenspiel von Infrastruktur, Identity, Netzwerk und Applikationen angemessen zu berücksichtigen

Unsere Kunden

Unsere Kunden kommen aus sehr unterschiedlichen Welten. Banken und Versicherungen arbeiten ebenso mit uns wie Industrieunternehmen, Handel oder Betreiber Kritischer Infrastrukturen. Vom mittelständischen Betrieb bis zum internationalen Konzern ist alles dabei.

Diese Vielfalt sorgt dafür, dass kein Projekt dem anderen gleicht.

Wir kommen aus der technischen Prüfung. Penetration Testing, Red Teaming und realistische Angriffssimulationen gehören zu unserem Alltag. Wir sehen Systeme so, wie sie unter echten Bedingungen angegriffen werden. Diese Perspektive fließt direkt in Beratung und Architekturarbeit ein.

So entstehen keine theoretischen Konzepte, sondern konkrete Verbesserungen, die im Betrieb funktionieren.

Die Projekte reichen von ISO-27001-Aufbau und Weiterentwicklung über NIS-2- und DORA-Umsetzungen bis hin zu tiefgehenden Architekturreviews in komplexen, gewachsenen IT-Landschaften.

Arbeitsweise

Wir arbeiten pragmatisch, technisch und direkt.

  • kurze Entscheidungswege
  • viel Eigenverantwortung
  • direkter Austausch mit Kunden und Technikteams
  • Remote-first (fully remote) mit optionalem Büro in Hamburg
  • flexible Arbeitszeitmodelle

Verantwortung liegt dort, wo Kompetenz ist.

Unser Anspruch

Sicherheit muss funktionieren, nicht nur dokumentiert sein.

Wir messen Beratung daran, ob sie im Systembetrieb wirkt. Nicht an der Qualität der Präsentation, sondern an der Stabilität der Umsetzung.

Bewerbungsprozess

  1. Gespräch mit der Geschäftsführung
    Fokus: fachliche Tiefe, Denkweise, Verständnis für IT-Sicherheit im echten Betrieb
  2. Gespräch mit dem Team
    Fokus: Zusammenarbeit, technisches Verständnis, praktische Herangehensweise

Wir stellen ausschließlich unbefristet ein.

Schick uns:

  • ein kurzes Anschreiben mit deiner Sicht auf funktionierende IT-Sicherheit
  • Lebenslauf mit relevanten Stationen
  • optional: Referenzen zu ISO 27001, Architekturarbeit oder Security Consulting
  • optional: technische Beispiele aus bisherigen Projekten

an hello(at)kalwe(punkt)it. Wir melden uns zeitnah bei Dir zurück.