Was ist SoSafe?

SoSafe ist eine Cyber-Security-Awareness-Plattform aus Köln, die Unternehmen dabei unterstützt, ihre Mitarbeiter gegen Social-Engineering-Angriffe zu sensibilisieren. Das 2018 gegründete Unternehmen hat sich zu einem der führenden europäischen Anbieter in diesem Bereich entwickelt und betreut nach eigenen Angaben über 4.000 Kunden weltweit.

Der Ansatz von SoSafe kombiniert KI-gestützte Phishing-Simulationen mit interaktiven E-Learning-Modulen und verhaltenspsychologischen Methoden. Die Plattform ist besonders im deutschsprachigen Raum verbreitet und erfüllt die strengen Anforderungen der DSGVO — ein entscheidender Vorteil gegenüber US-amerikanischen Wettbewerbern.

Einordnung: Dieser Artikel ist eine unabhängige Bewertung. e2 Security steht in keiner geschäftlichen Beziehung zu SoSafe. Wir beraten unsere Kunden herstellerunabhängig bei der Auswahl geeigneter Awareness-Lösungen.

Kernfunktionen des Awareness-Trainings

Die SoSafe-Plattform deckt die wesentlichen Bausteine eines modernen Cyber Security Awareness-Programms ab:

Phishing-Simulation

SoSafe versendet realistische, aber harmlose Phishing-E-Mails an Mitarbeiter. Die Vorlagen basieren auf aktuellen Bedrohungsdaten und werden kontinuierlich aktualisiert. Klickt ein Mitarbeiter auf einen simulierten Angriff, wird er sofort auf eine interaktive Lernseite weitergeleitet — ein sogenannter Teachable Moment, der das Bewusstsein nachhaltiger stärkt als klassische Schulungsformate.

E-Learning-Module

Die Plattform bietet über 30 interaktive Lernmodule zu Themen wie Passwortsicherheit, Social Engineering, sicheres Arbeiten im Homeoffice und Datenschutz. Die Module sind als Micro-Learning-Einheiten (5–15 Minuten) konzipiert und nutzen Gamification-Elemente wie Quizze und Fortschrittsanzeigen.

Reporting und Analytics

Ein zentrales Dashboard zeigt den Awareness-Reifegrad des Unternehmens in Echtzeit: Klickraten auf Phishing-Simulationen, Absolvierungsquoten der E-Learnings und Risiko-Scores nach Abteilung. Diese Daten sind auch für die Nachweispflichten im Rahmen von KRITIS und NIS2 relevant.

Für wen eignet sich SoSafe?

  • Mittelständische Unternehmen (100–1.000 Mitarbeiter): Die Plattform skaliert gut und erfordert keinen eigenen Security-Trainer. Die Onboarding-Unterstützung ist auf KMU ausgelegt
  • Großunternehmen und Konzerne: Enterprise-Features wie SSO-Integration, Custom Branding und mandantenfähige Dashboards für Tochtergesellschaften
  • KRITIS-Betreiber: Integrierte Compliance-Nachweise für BSI-Anforderungen und ISO 27001 (Annex A.7.2.2)
  • Unternehmen mit hohem Phishing-Risiko: Branchen wie Finanzen, Gesundheitswesen und öffentliche Verwaltung profitieren besonders von regelmäßigen Simulationen

Alternativen zu SoSafe

SoSafe ist nicht die einzige Option auf dem Markt. Je nach Unternehmensgröße, Budget und spezifischen Anforderungen können andere Plattformen besser passen:

KnowBe4

Größter Anbieter weltweit mit über 60.000 Kunden. Umfangreiche Template-Bibliothek mit tausenden Phishing-Vorlagen. Stärken: Skalierung, breites Content-Angebot. Schwäche: US-Unternehmen, DSGVO-Konformität erfordert zusätzliche Konfiguration.

Proofpoint Security Awareness

Kombiniert Awareness-Training mit echten E-Mail-Security-Daten. Phishing-Simulationen basieren auf tatsächlichen Bedrohungen, die Proofpoint in seiner E-Mail-Security-Infrastruktur erkennt. Ideal für Unternehmen, die bereits Proofpoint als E-Mail-Gateway nutzen.

Hornetsecurity

Deutscher Anbieter mit integriertem Ansatz: E-Mail-Security, Backup und Awareness in einer Plattform. Besonders interessant für Unternehmen, die eine All-in-One-Lösung suchen und Microsoft 365 nutzen.

Hoxhunt

Finnischer Anbieter mit starkem Fokus auf Gamification und adaptives Lernen. Die Plattform passt den Schwierigkeitsgrad automatisch an das Verhalten des einzelnen Mitarbeiters an. Gut geeignet für technikaffine Unternehmen.

Worauf Sie bei der Auswahl achten sollten

Die Wahl der richtigen Awareness-Plattform hängt von mehreren Faktoren ab. Aus unserer Beratungspraxis empfehlen wir, folgende Kriterien systematisch zu bewerten:

  1. Sprache und Lokalisierung: Sind alle Inhalte in den Sprachen verfügbar, die Ihre Belegschaft benötigt? Deutsche Oberfläche und DSGVO-konforme Datenverarbeitung sind für EU-Unternehmen unverzichtbar
  2. Phishing-Simulation: Wie realistisch sind die Vorlagen? Werden sie regelmäßig an aktuelle Bedrohungen angepasst? Kann die IT-Abteilung eigene Templates erstellen?
  3. Reporting: Bietet die Plattform die Nachweise, die Sie für Ihre Compliance-Anforderungen benötigen — insbesondere für NIS2 oder ISO 27001?
  4. Integration: Lässt sich die Plattform in Ihre bestehende IT-Infrastruktur integrieren (SSO, Active Directory, SIEM)?
  5. Skalierung und Preis: Awareness-Plattformen berechnen typischerweise 2–8 € pro Mitarbeiter und Monat. Bei 500 Mitarbeitern ist das ein Budget von 12.000–48.000 € pro Jahr — die Bandbreite ist erheblich

Praxis-Tipp: Bevor Sie eine Plattform auswählen, führen Sie eine initiale Phishing-Simulation durch, um den Ist-Zustand zu messen. Die meisten Anbieter — einschließlich SoSafe — bieten kostenlose Testphasen oder Pilotprojekte an. So haben Sie eine belastbare Baseline für den Vorher-Nachher-Vergleich.

Häufige Fragen

Ist SoSafe DSGVO-konform?

Ja. SoSafe ist ein deutsches Unternehmen mit Sitz in Köln und hostet alle Daten in europäischen Rechenzentren. Die Plattform wurde für die Anforderungen der DSGVO entwickelt und bietet standardmäßig AVV-Verträge (Auftragsverarbeitungsvertrag) an.

Was kostet SoSafe?

SoSafe veröffentlicht keine öffentlichen Preise. Die Lizenzkosten hängen von Unternehmensgröße, gewähltem Funktionsumfang und Vertragslaufzeit ab. Branchenüblich für Plattformen dieser Klasse sind 3–6 € pro Mitarbeiter und Monat. Für ein verbindliches Angebot empfehlen wir, direkt bei SoSafe anzufragen.

Kann SoSafe ISO 27001 und NIS2 abdecken?

SoSafe adressiert die Awareness-Komponente dieser Standards — konkret ISO 27001 Annex A.7.2.2 (Sensibilisierung) und die NIS2-Anforderung zur regelmäßigen Schulung. Für die vollständige Compliance sind jedoch weitere Maßnahmen im Bereich Cyber Security erforderlich: technische Schutzmaßnahmen, Vulnerability Management, Incident Response und ein dokumentiertes ISMS.

Awareness-Strategie für Ihr Unternehmen

Wir beraten Sie herstellerunabhängig bei der Auswahl der richtigen Awareness-Plattform — von der Bedarfsanalyse über den Anbietervergleich bis zur Implementierung.

>> Jetzt Beratung anfragen