Senior Software Engineer (m/w/d) – Digitale Identität & Angewandte Kryptographie

Über SecureID

SecureID ist eine mobile digitale Identitäts-Wallet für Hochsicherheitsumgebungen (u. a. Behörden und Unternehmenssicherheit). Hardwaregebundene PKI-Credentials (X.509, ECDSA P-256) liegen im Secure Element bzw. in Secure Enclave, Android Keystore oder StrongBox -- das private Schlüsselmaterial verlässt die Hardware nie. Darauf aufbauend liefert SecureID eine breite Feature-Palette: physischen Türzugang per NFC/BLE, S/MIME-E-Mail-Signatur und -Verschlüsselung, Dokumentensignatur, Push-2FA, TOTP und passwortloses Windows-Logon -- alles aus einer App.

Das System ist produktiv in der Pilotphase. Du übernimmst die technische Weiterentwicklung des Gesamtsystems und bringst es gemeinsam mit uns durch die BSI-Zulassung Richtung Marktreife.

Das System, das du weiterentwickelst

• Mobile Wallet: Flutter (iOS & Android) mit hardwaregestützter Schlüsselverwaltung, NFC/HCE und BLE
• Plattform-Krypto-Integration: Systemweite Bereitstellung von Zertifikaten und Kryptooperationen über die Schlüsselspeicher der Plattformen -- auf iOS per CryptoTokenKit Persistent Token Extension (TKToken/TKTokenSession, geteilte Keychain Access Group, Secure Enclave), auf Android über die KeyChain-API und Samsung Knox UCM (Universal Credential Management, eSE-Plugin als JCE-Keystore-Provider)
• Backend: Python-Microservices -- Issuer CA (X.509-Ausstellung), Door Station (Challenge-Response-Türöffnung), Auth Service; REST-APIs
• Admin: React-Dashboard zur Credential- und Nutzerverwaltung
• Windows-Logon: Custom Credential Provider (C /COM), .NET 8 Windows Service mit BLE-Anbindung, WinUI-3-Pairing-App, WiX-MSI-Installer
• Infrastruktur: Zitadel (OIDC), step-ca, Supabase, ntfy; Deployment auf Hetzner Cloud; CI/CD mit GitHub Actions; Code Signing

Deine Aufgaben

• Technische Verantwortung für die Weiterentwicklung des gesamten SecureID-Stacks -- von der Mobile App über das PKI-Backend bis zu den Plattform-Integrationen
• Ausbau des Austauschs von Kryptomaterial und -operationen mit den Betriebssystemen: CryptoTokenKit-Token-Extension und Keychain-Integration auf iOS, KeyChain-Provider und Knox-UCM/eSE-Anbindung auf Android -- damit Drittanwendungen (Mail, Browser, VPN) SecureID-Zertifikate nutzen können, ohne dass Schlüsselmaterial die sichere Hardware verlässt
• Begleitung des BSI-Zulassungsprozesses: Audit-Vorbereitung und Härtung nach BSI TR-03161 und TR-02102-1, Kryptokonformität, Threat Modeling, Pentest-Begleitung sowie Kommunikation mit Prüfstellen
• Design und Implementierung neuer Features (z. B. Credential-Lifecycle, externe IdP-Anbindung, Smart-Lock-Integrationen)
• Weiterentwicklung des Windows-Logon-Pfads (Credential Provider, CNG-Key-Storage-Provider-Bridge) als eines von mehreren Plattform-Features
• Pflege von Build-, Signing- und Release-Prozessen sowie Ausbau der Testabdeckung; technische Dokumentation und Abstimmung mit Partnern und Pilotkunden

Das bringst du mit

Must-have

• Mehrjährige Berufserfahrung in mobiler und/oder systemnaher Softwareentwicklung (z. B. Swift/iOS, Kotlin/Android, C#/.NET, C )
• Solides Verständnis von Public-Key-Kryptographie und PKI: X.509-Zertifikate, ECDSA, Zertifikatsketten, Challenge-Response-Verfahren
• Erfahrung mit plattformnahen Krypto-APIs und Hardware-Schlüsselspeichern: Apple Keychain Services / Secure Enclave, Android Keystore bzw. KeyChain -- idealerweise mit CryptoTokenKit-Extensions oder Samsung Knox UCM
• Praktische Erfahrung mit BSI-Zulassungs- oder Zertifizierungsverfahren (z. B. nach TR-03161, TR-02102 oder Common Criteria) -- du hast einen solchen Prozess bereits aktiv begleitet
• Bereitschaft, sich in den breiten Stack einzuarbeiten: Flutter/Dart, Python, React, Windows-Interna -- du musst nicht alles können, aber alles anfassen wollen
• Selbstständige, strukturierte Arbeitsweise; Erfahrung mit Git, CI/CD und sauberer Dokumentation
• Deutsch und Englisch in Wort und Schrift

Nice-to-have

• Secure-Element-Entwicklung: eSE, PIV-Applets, JavaCard, APDU-Protokolle
• BLE (GATT, LESC-Pairing) oder NFC/HCE-Entwicklung
• Windows-Interna: Credential Provider, LSA, CNG/KSP, Kerberos/PKINIT, MSI/WiX
• Zitadel (oder vergleichbare OIDC-IdPs), step-ca, Supabase, Linux-Server-Betrieb (Hetzner)
• Samba/Active-Directory-Integration

Warum SaltRock?

• Anspruchsvolle Tätigkeit: Mitarbeit an einem technisch anspruchsvollen Sicherheitsprodukt vom Secure Element bis zur Systemintegration -- echter Tiefgang statt CRUD-Alltag
• Gestaltungsfreiheit: Du prägst Architektur- und Technologieentscheidungen maßgeblich mit, mit kurzen Wegen in einem kleinen Team.
• Arbeitsmittel auf Top-Niveau: Neueste MacBooks oder Windows Surfaces, iPhone oder Pixel inkl. Unlimited-Mobilfunkvertrag -- auch privat nutzbar
• Moderne Software-Stack: ChatGPT, Claude, Personio, HubSpot
• Zusatzleistungen: Firmenkreditkarte inkl. Spesentool sowie Edenred City Karte (50 € monatlich)
• Flexibles Arbeiten: 30 Urlaubstage Vertrauensarbeitszeit („Come as you are")
• Standorte & Remote: Homeoffice-Möglichkeit und moderne Offices in Münster, Köln und Leverkusen
• Weiterentwicklung: Fachzertifikate sowie Leadership- und Soft-Skill-Trainings sowie Zugang zu Plattformen wie LinkedIn Learning oder Udemy