KnowBe4 EU Alternative 2026: Security Awareness Training unter CLOUD Act
Post #1 in der sota.io EU Security Awareness Training Serie
NIS2 Art.21(2)(g) schreibt Security Awareness Training für EU-Organisationen vor. KnowBe4 — Marktführer mit über 65.000 Unternehmenskunden — ist die de-facto Standardwahl. Das Problem: KnowBe4 ist eine Delaware-Corp unter Vista Equity Partners (Austin, TX) mit direktem US-PE-Zugriff auf Phishing-Simulationsergebnisse, Employee-Behavioral-Analytics und Real-Time-Coaching-Daten aller EU-Mitarbeiter. CLOUD Act Score: 17/25. EU-native Alternativen SoSafe (Köln, DE) und Hoxhunt (Helsinki, FI): 0/25.
KnowBe4, Inc. — Unternehmensstruktur und CLOUD Act Exposition
KnowBe4, Inc. wurde 2010 von Stu Sjouwerman in Clearwater, Florida gegründet. Das Unternehmen ging im April 2021 an der NASDAQ (KNBE) an die Börse und wurde 2023 von Vista Equity Partners (Austin, TX) für ~4,6 Milliarden USD wieder privatisiert. Vista Equity Partners ist ein US-amerikanischer Private-Equity-Fonds mit über 100 Milliarden USD AUM — ein Fonds, der ausschließlich unter US-Recht operiert und vollumfänglich dem CLOUD Act unterliegt.
Das KnowBe4-Portfolio:
- KnowBe4 Platform: Phishing-Simulation + Security Awareness Training (>1.000 Vorlagen)
- PhishER: Phishing-Incident-Response-Automatisierung
- SecurityCoach: Real-time Security Coaching — überwacht und bewertet Mitarbeiterverhalten kontinuierlich
- AIDA (AI-Driven Phishing): KI-generierte, personalisierte Phishing-Simulationen
- Compliance Plus: Regulatorisches Training (DSGVO, NIS2, DORA-Pflichtschulungen)
CLOUD Act Scoring Matrix — KnowBe4
| Dimension | Score | Detail |
|---|---|---|
| D1 — Corporate Jurisdiction | 5/5 | Delaware C-Corp. Vista Equity Partners US-PE Mehrheitseigentümer seit 2023. Privatisierung unter US-PE = keine SEC-Transparenzpflichten, maximale Jurisdiktionsopazität. |
| D2 — Government Exposure | 2/5 | Keine bekannten FedRAMP-Zertifizierungen. Einige US-Bundesbehörden als Kunden (nicht dokumentiert). Keine aktiven DoD-Verträge. |
| D3 — Data Sensitivity | 5/5 | Phishing-Simulationsergebnisse (wer fällt auf welchen Pretext herein), Trainingsdaten, Employee-Behavioral-Scores, SecurityCoach Real-Time-Monitoring aller Mitarbeiteraktionen = Maximum-Sensitivity HR-Daten unter DSGVO §26. |
| D4 — Infrastructure Control | 3/5 | AWS-US-Primärinfrastruktur. EU-Region-Presence behauptet, aber Vista-US-PE-Kontrolle über Infrastruktur und Operations. |
| D5 — Contractual Protections | 2/5 | Standard-DPA, SCCs. Kein Customer-Managed Encryption Key (CMEK) für Training- und Behavioral-Analytics-Daten. |
| Total | 17/25 | CLOUD Act Risiko: HOCH |
Die drei Paradoxien: Warum NIS2-Compliance mit KnowBe4 riskant ist
Paradox 1: Das NIS2-Training-Compliance-Paradox
NIS2 Art.21(2)(g) verpflichtet wesentliche und wichtige Einrichtungen, ihre Mitarbeiter in Cybersecurity-Awareness zu schulen. KnowBe4 ist die verbreitetste Lösung dafür. Die Ironie:
Um NIS2-Compliance zu dokumentieren, laden EU-Organisationen ihre vollständigen Compliance-Trainingsdaten in US-PE-kontrollierte Infrastruktur. Das Ergebnis: Phishing-Simulationsergebnisse (wer ist anfällig, für welche Angriffsvektoren), Compliance-Schulungsfortschritt, Mitarbeiter-Risikoscores — alles unter CLOUD Act, alles potenziell zugänglich für das US Department of Justice.
Ein DOJ-Subpoena an KnowBe4/Vista Equity Partners enthüllt nicht nur, dass eine EU-Organisation Awareness Training durchführt, sondern auch: welche Mitarbeiter besonders anfällig für Social Engineering sind, welche Abteilungen die schwächsten Sicherheitspraktiken haben, und wie die gesamte Human-Risk-Oberfläche der Organisation aussieht.
Die Compliance-Dokumentation wird zur Angriffskarte.
Paradox 2: Das DSGVO §26 Betriebsrat-Paradox
In Deutschland schreibt DSGVO §26 (Betriebliche Mitbestimmung) vor: Technische Einrichtungen, die zur Überwachung des Verhaltens oder der Leistung von Arbeitnehmern geeignet sind, bedürfen der Mitbestimmung des Betriebsrats.
KnowBe4 SecurityCoach überwacht kontinuierlich das Sicherheitsverhalten aller Mitarbeiter in Echtzeit: welche URLs sie besuchen, auf welche verdächtigen Links sie klicken, ob sie sichere Passwörter verwenden, wie sie auf Phishing-Simulationen reagieren. Dies ist klar eine Verhaltensüberwachungseinrichtung im Sinne von DSGVO §26.
Der Betriebsrat muss zustimmen — aber die Daten landen trotzdem in einer US-PE-kontrollierten Cloud. Der Betriebsrat schützt Mitarbeiter vor ihrem deutschen Arbeitgeber, nicht vor Vista Equity Partners in Austin, Texas.
Paradox 3: Das Vista Portfolio Concentration Risk
Vista Equity Partners besitzt mehrere Enterprise-Security-SaaS-Unternehmen gleichzeitig:
- KnowBe4: Security Awareness Training + Employee Behavioral Analytics
- Jamf: Mobile Device Management (behandelt in EU-MDM Serie #1205)
- Weitere Portfolio-Unternehmen in HR, Analytics und IT-Management
Für EU-Organisationen, die sowohl KnowBe4 als auch Jamf nutzen, ergibt sich: Ein einziges DOJ-Subpoena an Vista Equity Partners gibt Behörden potenziell Zugriff auf die Employee-Behavioral-Risk-Scores aus KnowBe4 UND die vollständigen Device-Management-Daten aus Jamf — also eine kombinierte Sicht auf menschliche Schwächen und technische Endpunkte derselben EU-Organisation.
Portfolio-Konzentration im US-PE-Bereich ist kein theoretisches Risiko. Es ist ein strukturelles CLOUD-Act-Risiko-Multiplikator.
NIS2 Art.21 und DORA Art.13: Was "Awareness Training" regulatorisch bedeutet
NIS2 Art.21(2)(g) — Sicherheitsmaßnahmen für wesentliche und wichtige Einrichtungen — verlangt explizit "grundlegende Verfahren im Bereich der Cyberhygiene sowie Schulungen im Bereich der Cybersicherheit."
Für DORA-Finanzunternehmen gilt Art.13: "Einrichtung von Programmen zur Sensibilisierung für IKT-Sicherheit und Schulungen zu IKT-Sicherheit für alle Mitarbeiter."
Beide Regelwerke erfordern nicht nur die Schulung selbst, sondern auch deren Dokumentation und Nachweis gegenüber nationalen Aufsichtsbehörden (BSI, BaFin, ANSSI, etc.). Diese Compliance-Dokumentation ist damit ebenfalls schutzbedürftig — und landet bei KnowBe4 in US-PE-kontrollierter Infrastruktur.
Das CLOUD Act Problem ist hier besonders scharf: Aufsichtsbehörden wie die BaFin verlangen Nachweis über Schulungsmaßnahmen. Derselbe Nachweis liegt bei einer US-PE-Firma, die auf DOJ-Anfrage antworten muss. Regulatorische Transparenz gegenüber deutschen Behörden und regulatorische Opazität gegenüber US-Behörden sind gleichzeitig unmöglich.
Datentypen unter CLOUD Act: Was KnowBe4 tatsächlich speichert
| Datenkategorie | Regulatorische Klassifikation | CLOUD Act Risiko |
|---|---|---|
| Phishing-Simulationsergebnisse per Mitarbeiter | DSGVO Art.88 HR-Daten / DSGVO §26 DE | Vollständiges Human-Risk-Profil unter DOJ-Zugriff |
| SecurityCoach Behavioral Scores | DSGVO Art.22 automatisierte Entscheidungen | Real-Time Mitarbeiter-Überwachungsdaten |
| Compliance Training Completion Records | NIS2/DORA Dokumentationspflicht | Audit-Trail für Regulatoren in US-Cloud |
| AIDA Phishing Campaign Analytics | Vulnerability Intelligence | Wer ist für welche Angriffsvektoren anfällig |
| Phishing Threat Intelligence Feed | NIS2 Art.27 Threat Sharing | Interne Security-Lage-Informationen |
EU-native Alternativen: SoSafe und Hoxhunt — CLOUD Act Score 0/25
SoSafe GmbH — Köln, Deutschland
CLOUD Act Score: 0/25 — vollständig EU-native.
SoSafe GmbH wurde 2018 in Köln gegründet und ist heute eines der am schnellsten wachsenden EU-native Security Awareness Training Unternehmen mit über 5.000 Kundenorganisationen. Das Unternehmen ist eine deutsche GmbH unter deutschem Recht — kein US-Parent, kein CLOUD Act.
Kernprodukte:
- Phishing-Simulationen mit DSGVO-konformem Employee-Risk-Scoring
- Awareness Training mit automatischer Personalisierung (kein US-AI-Modell erforderlich)
- Human Risk Management Dashboard — vollständig auf EU-Infrastruktur
- Integration in bestehende HR-Systeme (Active Directory, Entra ID)
EU-Spezifika:
- Infrastruktur: Deutschland (Frankfurt / AWS EU-West oder German Data Center)
- Betriebsrat-Konformität: DSGVO §26-kompatibles Monitoring-Framework
- BSI-Awareness-konforme Trainingsinhalte
- NIS2 Art.21(2)(g) Compliance-Dokumentation on-premises exportierbar
Finanzierung: Sievert Storey, Highland Europe (UK/EU-VC), G+D Ventures — keine US-PE-Beteiligung.
Preismodell: Per-Seat-Pricing, vergleichbar mit KnowBe4 für Enterprise-Segmente.
Hoxhunt Oy — Helsinki, Finnland
CLOUD Act Score: 0/25 — vollständig EU-native.
Hoxhunt Oy (gegründet 2016 in Helsinki) ist ein finnisches Unternehmen (Osakeyhtiö = FIN-GmbH) mit KI-getriebenem adaptiven Phishing-Simulation-Ansatz. Keine US-PE-Beteiligung, keine CLOUD-Act-Exposition.
Differenzierung:
- Gamification: Mitarbeiter melden Phishing → werden belohnt → lernen Phishing zu erkennen statt nur Opfer zu sein
- KI-adaptive Simulationen: Schwierigkeitsgrad passt sich dem individuellen Risikoprofil an (EU-hosted AI)
- Threat Intelligence Feed: Aktuelle Phishing-Trends aus EU-Sicherheitsquellen
- Hoxhunt ist Certified B-Corp: unabhängige Social/Environmental-Impact-Zertifizierung
Finanzierung: Bessemer Venture Partners (US, aber kein PE-Mehrheitseigentümer, Minderheitsbeteiligung), weitere VC. Keine CLOUD Act Unternehmensstruktur.
Besonderheit: ISO 27001 zertifiziert. Daten verbleiben in EU-Rechenzentren. DSGVO Art.88-konformes HR-Daten-Processing.
CLOUD Act Vergleichsmatrix — Security Awareness Training 2026
| Dimension | KnowBe4 | SoSafe | Hoxhunt |
|---|---|---|---|
| D1 — Corporate Jurisdiction | 5/5 | 0/5 | 0/5 |
| D2 — Government Exposure | 2/5 | 0/5 | 0/5 |
| D3 — Data Sensitivity | 5/5 | 0/5 | 0/5 |
| D4 — Infrastructure | 3/5 | 0/5 | 0/5 |
| D5 — Contractual Protections | 2/5 | 0/5 | 0/5 |
| CLOUD Act Score | 17/25 | 0/25 | 0/25 |
| CLOUD Act Risiko | HOCH | KEINS | KEINS |
| PE-Eigentümer | Vista Equity Partners (US) | EU-VC | EU/US-VC Minderheit |
| Betriebsrat-Konformität DE | Komplex | Vollständig | Vollständig |
| NIS2 Art.21(2)(g) Dokumentation | US-Cloud | EU-Cloud | EU-Cloud |
| DORA Art.13 Compliance Evidence | US-PE | EU-native | EU-native |
Entscheidungsrahmen: Wann KnowBe4, wann EU-Alternative?
KnowBe4 ist ggf. akzeptabel wenn:
- Keine GDPR Art.88 / DSGVO §26 Mitbestimmungspflicht (kein Betriebsrat vorhanden)
- Organisation außerhalb NIS2 Anwendungsbereich
- Reine US-Tochtergesellschaft ohne EU-Datenschutzpflichten
- Management hat bewusst entschieden: KnowBe4-Ökosystem-Lock-in überwiegt CLOUD-Act-Risiko
EU-Alternative (SoSafe / Hoxhunt) ist Pflicht wenn:
- NIS2-verpflichtete wesentliche oder wichtige Einrichtung
- DORA-verpflichtetes Finanzunternehmen (Art.13 Dokumentationspflicht)
- Betriebsrat vorhanden (DSGVO §26 Mitbestimmungsrecht)
- BSI IT-Grundschutz als Compliance-Framework
- Audit durch Behörden erwartet (BaFin, BSI, LDA Bayern etc.)
- CADA (EU Tech Sovereignty Package, 2026-05-27) Compliance-Strategie verfolgt
Fazit: Das Security-Training-Dilemma
Security Awareness Training soll Mitarbeiter schützen. Die NIS2-Pflicht dazu ist berechtigt. Aber wenn die Trainingsdaten selbst — Behavioral Scores, Phishing-Susceptibility-Profile, Compliance-Audit-Trails — in einer US-PE-kontrollierten Cloud landen, ist das Training zwar absolviert, die Sovereignty aber verloren.
SoSafe aus Köln und Hoxhunt aus Helsinki bieten Feature-Parität mit KnowBe4 für Enterprise-Anforderungen — ohne Vista Equity Partners als stilles Mitglied in der EU-Employee-Risk-Bewertung.
Das EU Security Awareness Training Compliance-Versprechen kann nur eingehalten werden, wenn die Compliance-Daten selbst EU-souverän bleiben.
Nächster Post der Serie: Cofense (PhishMe) EU Alternative 2026 — Phishing-Simulation-Infrastruktur und warum der "Threat-Feed" unter CLOUD Act zum Problem wird.
Verwandte Posts: EU Secret Management Comparison Finale 2026 | EU OT/ICS Security Comparison Finale 2026 | EU GRC Tools Comparison Finale 2026
EU-Native Hosting
Ready to move to EU-sovereign infrastructure?
sota.io is a German-hosted PaaS — no CLOUD Act exposure, no US jurisdiction, full GDPR compliance by design. Deploy your first app in minutes.