Version vom 30.08.2022


Allgemeine technische Bedingungen für die Nutzung unserer Produkte

Die folgenden Browser werden unterstützt und deren Verwendung bildet damit eine Voraussetzung für die Leistungserbringung: Google Chrome, Mozilla Firefox, Apple Safari, Microsoft Edge und Microsoft Internet Explorer 11 (Internet Explorer 11 hat am 15.06.2022 das Ende seines Lebenszyklus erreicht, die zukünftige Unterstützung unterliegt bestimmten Einschränkungen und kann nicht für die Zukunft garantiert werden. Bitte kontaktieren Sie unser Team für Details.) in ihren jeweils aktuellen Versionen.

Leistungsbausteine

Die folgenden Abschnitte beschreiben die durch SoSafe angebotenen Leistungen und legen die Abläufe und organisatorischen Schnittstellen fest, die für eine Leistungserbringung erforderlich sind.

Phishing Simulation

Der Leistungsbaustein Phishing-Simulation umfasst den Versand einer definierten Anzahl von (im Vorfeld abgestimmten) E-Mails an die Nutzenden über den Leistungszeitraum. Diese E-Mails simulieren echte Phishing-Mails zur Steigerung der Awareness der Nutzenden gegenüber IT-Sicherheitsrisiken durch Phishing-Angriffe. Beim Klick auf ein Phishing-Element (z. B. Bild, Link) in einer der simulierten Phishing-Mail oder bei Eingabe von Daten auf einer Landingpage, wird eine Webseite aufgerufen (im Folgenden „Lernseite"), die den Nutzenden über die Simulation aufklärt und konkrete Hinweise gibt, woran die jeweilige E-Mail als Phishing-Versuch hätte erkannt werden können.

Zur Sicherstellung der Zustellung aller simulierten Phishing-Mails an alle im Rahmen des Trainings zu schulenden Nutzenden ist die Einrichtung eines Whitelistings durch den Kunden erforderlich. Es handelt sich hierbei um eine Mitwirkungspflicht des Kunden, ohne welche die Leistungserbringung durch SoSafe nicht gewährleistet werden kann. Der Kunde trägt somit an dieser Stelle die Verantwortung, dass die simulierten Phishing-Mails in vollständiger Form auch tatsächlich in den Postfächern der Nutzenden ankommen und im Rahmen der Trainingsmaßnahme genutzt werden können. Kann der Kunde das Whitelisting selbst nicht beeinflussen (z. B. weil der Kunde einen IT-Dienstleister mit der Verwaltung seiner IT-Systeme beauftragt hat), so hat er dafür Sorge zu tragen, dass das Whitelisting dennoch erfolgt.

Für das Whitelisting müssen folgende Schritte unternommen werden:

  • Die dedizierten Mail-Server von SoSafe müssen im empfangenden Mail-System auf eine Whitelist gesetzt werden, um das Abweisen der eingehenden E-Mails zu verhindern.

  • Kundenseitig etwaig vorhandene Filtersysteme (z. B. Secure Mail-Gateway) sind entsprechend so zu konfigurieren, dass die simulierten Phishing-Mails nicht als „Junk" oder „Spam" markiert werden und die Zustellung an die Nutzer gewährleistet werden kann.

  • Kundenseitig etwaig vorhandene Systeme zum Zugriffsschutz auf das Internet von den Endgeräten der Nutzer aus (z. B. Web-Gateways, Proxies, Sicherheitseinstellungen des Betriebssystems) sind so zu konfigurieren, dass die unverfälschte Anzeige der simulierten Phishing-Mails in den E-Mail-Programmen der Nutzenden gewährleistet ist. Des Weiteren sind diese Systeme so zu konfigurieren, dass die Lernseiten über einen Web-Browser anzeigbar sind.

  • Darüber hinaus können Kunden auch folgende Dinge auf die Whitelist setzen:

    • Envelope-Sender-Adressen (technische Absender)

    • Liste verwendeter Domains in den Phishing-Links

    • SoSafe Bilder-Server

Zur Umsetzung dieser Schritte wird durch SoSafe eine Anleitung bereitgestellt. Die Anleitung beinhaltet auch alle benötigten technischen Informationen wie IP-Adressen und Servernamen der Mail-Server, freizugebende URLs für Filtersysteme und Systeme zum Zugriffsschutz.

Phishing-Meldebutton

Beim Leistungsbaustein Phishing-Meldebutton handelt es sich um eine Funktionalität, die es den Nutzenden ermöglicht, E-Mails, die als potenzieller Phishing-Angriff eingeschätzt werden, zu melden. Die Meldung erfolgt an eine vom Kunden definierte E-Mail-Adresse in Form einer Weiterleitung der verdächtigen E-Mail. Simulierte Phishing-Mails von SoSafe werden nicht weitergeleitet, sondern an SoSafe gemeldet und gelöscht. Vom Kunden ist eine E-Mail-Adresse zu benennen, wohin die Weiterleitung erfolgen soll.

Die Funktionalität wird in Form eines Outlook-Add-Ins bereitgestellt. Damit das Outlook-Add-In ordnungsgemäß laden und funktionieren kann, müssen auf Server- und Clientseite verschiedene Anforderungen erfüllt sein. Der Phishing-Meldebutton funktioniert auch mit Google Workspace. 

Clientanforderungen

  • Der Client muss eine der unterstützten Anwendungen für Outlook-Add-Ins sein. Die folgenden Clients unterstützen Add-Ins:

    • Outlook 2013 oder höher auf Windows

    • Outlook 2016 oder höher auf Mac

    • Outlook unter iOS

    • Outlook unter Android

    • Outlook im Web für Exchange 2016 oder höher und Office 365

    • Outlook.com

  • Der Client muss über eine direkte Verbindung mit einem Exchange-Server oder mit Office 365 verbunden sein. Bei der Konfiguration des Clients muss der Benutzer als Kontotyp „Exchange”, „Office 365” oder „Outlook.com” auswählen. Wenn für den Client eine POP3- oder IMAP-Verbindung konfiguriert ist, werden Add-Ins nicht geladen. Alternativ 

  • Google Workspace

Unterstützte Web Browser

  • Internet Explorer 11 (Internet Explorer 11 hat am 15.06.2022 das Ende seines Lebenszyklus erreicht. Die zukünftige Unterstützung unterliegt bestimmten Einschränkungen und kann nicht garantiert werden. Bitte kontaktieren Sie unser Team für Details).

  • Microsoft Edge v1

  • Microsoft Edge v2

  • Chrome

  • Safari

  • Firefox

Outlook benötigt spezifische Browserengines um Add-Ins zu laden.

Welcher Browser von Outlook (intern) verwendet wird, hängt von der Systemkonfiguration ab. Für bestimmte Outlook-Versionen mit bestimmten Systemkonfigurationen müssen bestimmte Browser installiert und aktiviert werden. Für eine ausführliche Erklärung und eine Kompatibilitätstabelle kontaktieren Sie uns bitte.

Anforderungen an den E-Mail-Server

Wenn der Benutzer mit Google Workspace, Office 365 oder Outlook.com verbunden ist, sind damit bereits sämtliche Anforderungen an den E-Mail-Server erfüllt. Für Benutzende, die mit einer lokalen Exchange-Server-Installation verbunden sind, gelten jedoch die folgenden Anforderungen:

Eine erfolgreiche Installation sowie ein reibungsloser Roll-Out des Add-Ins kann nur gewährleistet werden, sofern der Kunde die Standardeinstellungen des jeweiligen Programms nutzt und keine Drittanwendung im Betrieb hat, die die Funktionalität des Add-Ins beeinflusst. Ein individueller Support durch SoSafe bei dem Setup des Add-Ins in einer nicht-standardmäßigen Infrastruktur wird explizit ausgeschlossen. Als optionale Leistung können Ressourcen mit entsprechender Expertise vermittelt werden. Dies bedarf einer separaten und expliziten Vereinbarung zwischen den betroffenen Parteien.

Client-/Server-API-Kompatibilität

Das Outlook-Add-In nutzt die Exchange Web Services (EWS) oder die Outlook REST API, um Daten aus dem Outlook-Postfach des Benutzenden abzurufen. Die folgenden Abschnitte geben die Verfügbarkeit von EWS und REST API für alle unterstützten Exchange-Server-/Outlook-Client-Kombinationen und deren Auswirkung auf die Weiterleitung an.

Exchange On-Premise

Für alle Exchange-On-Premise-Server (kein hybrides Deployment) können wir nur EWS unterstützen.

Exchange Online/Hybrid server deployments

Für Exchange Online und hybride Deployments von Exchange-Servern unterstützen wir die folgende EWS- und REST-API-Verfügbarkeit für die jeweiligen Client-/Server-Kombinationen:

REST: nur REST API
EWS: nur EWS

GRAPH: Graph API only
Beide: EWS und REST API

Alles: EWS + Rest API + Graph API 

Windows

Windows

 

Windows Outlook Clients

 

 

MS 3651

Outlook 2019

Outlook 2016

Outlook 2013

 

 

Server

Exchange Online

Alle

Alle

EWS

EWS

Exchange 20192

Alle

Beide

EWS

EWS

Exchange 20162

Beide

Beide

EWS

EWS

macOS

macOS

 

macOS Outlook Clients

MS 3651

Outlook 2019

Outlook 2016

 

 

Server

Exchange Online

Alle

Beide

Beide

Exchange 20192

Beide

Beide

Beide

Exchange 20162

Beide

Beide

Beide

Other

 

Outlook Clients

Android App

iOS App

Desktop Browser

Mobile Browser

 

Server

Exchange Online

REST

REST

Beide

nicht unterstützt

Exchange 20192

REST

REST

Beide

nicht unterstützt

Exchange 20162

REST

REST

Beide

nicht unterstützt

Microsoft Office 365 Abonnement
verbunden mit Exchange Online (hybrides Deployment)

Unterschiede bei der Weiterleitung via EWS und REST

Die Weiterleitung kann im .eml- oder im Split-Modus erfolgen, was jeweils die folgenden Unterschiede mit sich bringt. Abhängig von der nutzbaren API und dem Weiterleitungs-Modus werden folgende Dateien an die vom Kunden definierte E-Mail-Adresse weitergeleitet:

 

via REST

via EWS

.eml-Modus

  • mail.eml

  • mail.eml

    • Bei E-Mails größer als 500 kB wechselt das Add-in automatisch zum Split-Modus

Split-Modus

  • body.html

  • headers.txt

  • Alle Anhänge als originale Dateien 3

  • body.html

  • headers.txt

  • attachments.txt 3

    • Beinhaltet Informationen über Name, Größe, Typ, IsInline der Anhänge

Wenn die E-Mail Anhänge enthält

E-Learning

Der Leistungsbaustein E-Learning umfasst die Zugriffsmöglichkeit für alle berechtigten Nutzenden eines Kunden im Rahmen der Leistungserbringung auf die vereinbarte Anzahl Lernmodule. Die Lernmodule vermitteln Wissen im Bereich IT-Sicherheit und decken eine Bandbreite an Unterthemen ab. Die gebuchten Lernmodule können über die eigene Lernplattform von SoSafe abgerufen oder auch per SCORM-Streaming in ein kundenseitig bestehendes Learning Management System (LMS) integriert werden. Die Lernmodule unterteilen sich in Lernvideos und interaktive Lernmodule.

Die Lernvideos können mit und ohne akustische Ausgabe genutzt werden (dies kann lokal über das Betriebssystem bzw. den Browser des Nutzers gesteuert werden). Bei allen Sprachversionen (vgl. Multilinguales Paket) der Lernvideos ist eine Tonspur sowie Untertitel hinterlegt. Die interaktiven Lernmodule sind ohne Tonspur.

Zugriff über Lernplattform

Die proprietäre Lernplattform von SoSafe ist erreichbar unter https://elearning.sosafe.de. Hier können sich die Nutzenden mit ihren beruflichen E-Mail-Adressen registrieren. Alternativ kann ein anonymer Zugangscode genutzt werden.

Zugriff über kundenseitiges LMS

Die Lernmodule werden im Standard SCORM 1.2 (von unserer Seite aus kompatibel mit gängigen LMS wie zum Beispiel: SAP SuccessFactors Learning, Adobe Captive Prime LMS, ILIAS, Moodle, Totara Learning) als Container-Dateien zur Verfügung gestellt. Diese Container-Dateien können in das LMS integriert werden. Die Inhalte der Lernmodule werden dann zum Zugriffszeitpunkt von einem Streaming-Server von SoSafe bereitgestellt. Hierfür ist der Zugriff auf den Streaming-Server unter lms0.sosafe.de zu gewährleisten. 

SoSafe Manager

Unter https://manager.sosafe.de ist der SoSafe Manager für den Kunden erreichbar. Der Manager ist verfügbar in Deutsch und Englisch. Der SoSafe Manager ist das Portal zur Administration der Awareness-Maßnahmen. Innerhalb des Reporting-Dashboards auf dem Portal kann der Kunde diverse Kennzahlen über die beauftragten Leistungsbestandteile einsehen, wie z. B. allgemeine Klickraten der simulierten Phishing-Mails, den Gesamtfortschritt im E-Learning oder – je nach Leistungsvereinbarung – auch individuelle E-Learning-Ergebnisse einzelner Mitarbeiter. Welche Daten genau einsehbar sind und verarbeitet werden, ist in einem separaten AV-Vertrag geregelt.

Leistungsumfang einzelner Awareness-Pakete

Die einzelnen Awareness-Pakete von SoSafe beinhalten unterschiedliche Leistungsumfänge und Supportlevel. Die Besonderheiten der einzelnen Pakete sind in den folgenden Abschnitten aufgelistet. Nachrangig, soweit Leistungen im diesem SLA nicht beschrieben sind, gilt der Leistungsumfang gemäß der Feature-Übersicht.

Paket Starter

  • Das Paket Starter ist nur für Kunden mit 5-250 Nutzenden buchbar.

  • Für das Paket Starter müssen sämtliche Nutzende über dieselbe Maildomain registriert werden (Single domain only).

  • Dem Kunden wird auf der Self-Service-Plattform https://app.sosafe.de eine Anleitung (PDF als Download) zur Verfügung gestellt, die alle notwendigen Schritte, wie z. B. die Einrichtung des Whitelistings, für einen durchschnittlichen Nutzenden verständlich erklärt.

  • Über die Plattform müssen alle relevanten Informationen (Kundenstammdaten, Abrechnungsdaten etc.) kundenseitig eingetragen werden.

  • Mit der Benutzerverwaltung können Kunden einfach eine Nutzendenliste für die Phishing-Simulation und/oder das E-Learning hochladen. Dazu wird eine Vorlage (Excel-Datei) zur Verfügung gestellt. Die Übertragung der Benutzerliste an SoSafe erfolgt über eine sichere Datenverbindung. Dabei darf die tatsächliche, im System vorhandene Anzahl der Nutzenden nicht die lizensierte Anzahl der Nutzenden (vertraglich vereinbarte Obergrenze) überschreiten.

  • Es wird ein Muster des AV-Vertrags zur Verfügung gestellt, welches vom Kunden zu unterschreiben und wieder hochzuladen ist.

  • Analysen: Beinhaltet Zugang zum SoSafe-Manager-Portal, welches das Analytics Dashboard beinhaltet um KPIs zu analysieren (bspw. Klick- oder Bestandenzahlen)

  • Interaktive Lernmodule und Lernvideos im E-Learning sind fix und können nicht verändert werden. Für die Phishing-Simulation kann ein passendes Branchenpaket ausgewählt werden.

Paket Essential

  • Bei Bedarf wird ein 30-minütiges Gespräch zum Kick-Off telefonisch oder per Webkonferenz durchgeführt, in dem ein SoSafe-Awareness-Experte dem Kunden alle notwendigen technischen Vorbereitungen erklärt und die weiteren Schritte abstimmt.

  • Freie Wahl der Maildomains bei Registrierung.

  • Für die Übermittlung der Nutzendenliste für die Phishing-Simulation und/oder das E-Learning wird eine Vorlage (Excel-Datei) zur Verfügung gestellt, deren Schema eingehalten werden muss. Die Übermittlung der Nutzendenliste an SoSafe erfolgt über eine gesicherte Datenverbindung auf das SoSafe-Manager-Portal. Der Kunde erhält hierfür ein Nutzendenkonto. Dabei darf die tatsächliche, im System vorhandene Anzahl der Nutzenden grundsätzlich nicht die lizensierte Anzahl der Nutzenden (vertraglich vereinbarte Obergrenze) überschreiten. Aus Kulanzgründen wird eine kostenneutrale Überschreitung der vereinbarten Obergrenze um bis zu 7 % gewährt.

  • Eine Aktualisierung der Nutzendenliste über den o.g. Zugang zum SoSafe-Manager-Portal kann der Kunde jederzeit selbstständig durchführen, sollten sich aufgrund von Fluktuation etc. Änderungen ergeben.

  • Für die Einrichtung des Whitelistings wird von SoSafe eine Anleitung zur Verfügung gestellt.

  • Für das E-Learning können aus den zur Verfügung stehenden interaktiven Lernmodulen (Schwierigkeitsgrad: Anfänger) und Lernvideos zum Thema IT-Sicherheit die vereinbarte Anzahl oder Auswahl für alle Nutzenden des Kunden aktiviert werden. In Absprache mit dem Kunden kann durch SoSafe eine Erinnerungs-Funktion eingestellt werden, die z. B. Nutzenden, welche sich noch nicht registriert oder einzelne Module noch nicht absolviert haben, per E-Mail an eine Registrierung/Finalisierung erinnert. Als Sprachen stehen Deutsch und eine weitere, von SoSafe angebotene Wunschsprache zur Verfügung.

  • Für die Phishing-Simulation: Wir versenden randomisiert und über das Jahr verteilt zwölf (12) simulierte Phishing-Mails, die auf Angriffen basieren, die in Ihrer Branche beobachtet werden. Diese Sammlung wird laufend aktualisiert. Eine inhaltliche Anpassung der E-Mails ist in diesem Paket nicht enthalten, dies ist nur im Premium Paket möglich. Als Sprachen stehen Deutsch und eine weitere, von SoSafe angebotene Wunschsprache zur Verfügung.

  • Rüstzeiten: Der Kick-Off kann innerhalb von einer Kalenderwoche ab Beauftragung (schriftliche Annahme des Angebotes durch SoSafe) durchgeführt werden, auf Kundenwunsch auch später. Sobald der Kick-Off durchgeführt wurde, sichert SoSafe einen möglichen Start des Awareness-Buildings innerhalb von 10 Werktagen zu, sofern alle hierfür benötigten Daten seitens des Kunden verzögerungsfrei bereitgestellt und mitwirkungspflichtige Tätigkeiten durchgeführt werden.

  • Nutzendenfeedback: Sie können Nutzendenfeedback einsehen und es als CSV-Datei exportieren.

  • Die Auswertung enthält Benchmarks zu allen Kennzahlen im Vergleich zum Kundendurchschnitt.

  • Bei Nutzung der SoSafe-Lernplattform erhalten Nutzer ein Zertifikat über alle bestandenen Lernmodule.

  • Gamification: Auf der SoSafe Lernplattform durchlaufen Nutzenden Levels, sammeln Abzeichen und können ihre Fortschritte in einer persönlichen Erfolgsübersicht einsehen. (An- und abschaltbar)

Paket Professional

Alle Bestandteile aus Paket Essential , jedoch abweichend oder zusätzlich:

  • Spear-Phishing-Simulation: Alle E-Mails werden über ein Platzhaltersystem für den jeweiligen Empfangenden individualisiert (z. B. „Sehr geehrter Herr Müller, ...") und teilweise auch mit Details wie Name oder Sitz des Kunden versehen.

  • Branding: Auf den zur Phishing-Simulation zugehörigen Lernseiten wird oben das Logo des Kunden eingeblendet, ebenso auf der Lernplattform von SoSafe. Die Buttons und farblichen Gestaltungselemente der Lernseiten sowie der Lernplattform können farblich an die Corporate Identity des Kunden angepasst werden. Außerdem kann der E-Mail-unspezifische Hinweistext auf den Lernseiten nach Kundenwunsch erstellt oder angepasst werden. Sofern Logo und Farbschema frei verfügbar sind, kann die Einrichtung durch SoSafe erfolgen. Anderenfalls werden die entsprechenden Daten vom Kunden zur Verfügung gestellt. Der Kunde garantiert für die Einbindung, dass er die Nutzungsrechte am Logo innehat und haftet für etwaige Verstöße gegen die Rechte Dritter.

  • Multilinguales Paket: Phishing-Mail-Templates, Lernseiten und Lerninhalte stehen Ihnen in weiteren Sprachen zur Verfügung. Derzeit sind 31 Sprachen verfügbar, eine aktuelle Liste wird auf Anfrage zur Verfügung gestellt.

  • Rüstzeiten: Der Kick-Off kann innerhalb von einer Kalenderwoche ab Beauftragung (schriftliche Annahme des Angebotes durch SoSafe) durchgeführt werden, auf Kundenwunsch auch später. Sobald der Kick-Off durchgeführt wurde, sichert SoSafe einen möglichen Start des Awareness-Buildings innerhalb von 20 Werktagen zu, sofern alle hierfür benötigten Daten seitens des Kunden verzögerungsfrei bereitgestellt und mitwirkungspflichtige Tätigkeiten durchgeführt werden.

Paket Premium

Alle Bestandteile aus Paket Professional, jedoch abweichend oder zusätzlich:

  • Für die Einrichtung und Konfiguration des Phishing-Meldebuttons wird von SoSafe eine Anleitung für die technisch unterstützen Infrastrukturalternativen zur Verfügung gestellt.

  • Customization Engine: Ausgewählte Inhalte der E-Learning-Lernmodule können kundenspezifisch angepasst werden. Dazu wird ein Fragebogen zur Verfügung gestellt, mit dem der Kunde die individuellen Besonderheiten (z.B. Passwortlänge, Ansprechpartner für Datenschutz) in einem von SoSafe definierten Rahmen festlegen kann.

  • Maßgeschneiderte Spear-Phishing-Simulation: Wir versenden zusätzlich 3 simulierte Phishing-Mails, die wir gemeinsam mit Ihnen individuell für Ihre Organisation erstellen (z. B. Nachbildung eines CEO-Frauds). Die individuell erstellten Phishing-Mails werden in Deutsch und Englisch zur Verfügung gestellt.

  • “Awareness Bites:” Als Teil unseres Omnichannel-Ansatzes senden wir den Teilnehmenden kurze Lerninhalte und aktuelle Sachverhalte aus dem Bereich IT-Sicherheit via E-Mail.

Zusatzpaket Enterprise

  • Differenzierte Ausspielung: Auf Kundenwunsch können ausgewählte, simulierte Phishing-Mails spezifischen Nutzendengruppen zugeordnet werden, um sie noch gezielter zu trainieren.

  • Full-Service-Implementierung: Ihr persönlicher Implementierungsmanager unterstützt und berät Sie bei der erweiterten Konfiguration Ihrer Awareness-Plattform: Best-Practice-Ansätze, Whitelisting, Empfehlungen zur Kommunikation inkl. Vorlagen, Nutzermanagement mit Datenqualitätssicherung.

  • Business-Review: Als Enterprise-Kunde haben Sie einen Anspruch auf auf Anfrage stattfindende Business Reviews. Dieser beinhaltet Informationen zu: 1) Zielerreichung (z. B. Deep Dive in relevante Kennzahlen und Produktnutzungsdaten) 2) Benchmarking (z. B. gegen Kundenstammdaten, Branche des Kunden, Unternehmensgröße) 3) Beratung zu Maßnahmen (z. B. zur Verfügungstellung von Kommunikationsunterlagen an Mitarbeitende oder für internes Reporting, Best Practices von vergleichbaren Unternehmen) 4) Unterstützung und Beratung für die langfristige Cyber-Security-Awareness-Strategie des Kunden.

  • Priority-Support: Ihr persönlicher Ansprechpartner behandelt all Ihre Support-Anfragen prioritär und unterstützt Sie innerhalb unserer Supportzeiten per E-Mail oder Telefon.

  • ISO 27001 Reporting: Die Daten werden für ein ISO 27001 Audit konform ausgewertet.

  • Experten-Auswertung: Ergänzend zu den Bestimmungen bezüglich der Nutzendenliste kann die Liste um Ordnungskriterien ergänzt werden. Dies können z. B. Nutzendengruppen basierend auf den Organisationseinheiten oder Standorten des Kunden sein. Die Auswertungen auf dem Reporting-Dashboard erfolgen dann differenziert nach diesem Ordnungskriterium. Bei der Festlegung des Ordnungskriteriums durch den Kunden sind dabei stets die vereinbarten Bestimmungen des AV-Vertrags zu beachten; so ist z. B. die Mindestgröße einer Nutzergruppe von 5 Personen aus Gründen des Datenschutzes nicht zu unterschreiten.

  • Experten-Benchmarking: Die Auswertung enthält zusätzliche Benchmarks, z. B. zu Branche und Unternehmensgröße des Kunden.

  • Fortgeschrittenes Scheduling: Wir passen die Versandzeiten individuell an Kundenwünsche an, z. B. an Urlaubszeiten und Zeitzonen.

  • Erweiterte Analysen: Beinhaltet die gleichen KPIs wie die normale Analysefunktion, ermöglicht aber zusätzlich die Gruppierung nach Benutzendengruppen oder erweiterten Daten. Kunden mit Advanced Analytics können die erweiterten Datenfelder in ihren Benutzendenadressen verwenden. Bei den erweiterten Daten kann es sich um zusätzliche Regionen oder Abteilungen handeln, die der Kunde in den Analysen filtern möchte.

  • SCORM-Streaming: Sie erhalten Zugriff auf die Lernmodule als SCORM-Container und können sie in Ihr eigenes Learning Management System einbinden.

  • Unterstützendes Awareness-Material: Sie erhalten unterstützendes digitales Material zu Ihrer Awareness-Kampagne, z. B. Poster, Screensaver, Flyer, Kommunikationsvorlagen.

  • Datenexport: Sie können Auswertungsdaten als Excel- oder CSV-Datei exportieren.

  • Zur Anmeldung auf der SoSafe Lernplattform ist auch die Nutzung eines Single-Sign-On via Azure Active Directory (AD), Google oder einer Benutzerbereitstellung über Okta möglich. Damit sich die Lernplattform gegen das AD authentifizieren kann, ist ein Azure AD in der Cloud Voraussetzung (Hybrid-Setup möglich). Als Protokoll kommt OAuth 2.0 oder SAML in Version 2.0 zum Einsatz, welches sich optimal für den Einsatz in Web-Apps eignet. Es ist lediglich die einmalige Autorisierung unserer Web-App durch den Azure AD Administrator des Kunden erforderlich. Die technischen Voraussetzungen für Single-Sign-On sind auf support.sosafe.de einsehbar. SCIM wird mit den folgenden Einschränkungen unterstützt:

    • Die SCIM-Anbindung an den SoSafe Manager unterstützt nur Datentransfers aus dem Microsoft Azure AD, es werden keine On-Premise Active Directories unterstützt.

    • Die SCIM-Anbindung unterstützt nur die Anbindung eines Azure-Tenants. Alle zu übertragenen Nutzendendaten müssen kundenseitig in einem Azure-Tenant verwaltet werden. Die Anbindung mehrerer Tenants wird nicht unterstützt.

    • Wenn eine SCIM-Anbindung an den SoSafe Manager hergestellt wird, erfolgt die Nutzendenverwaltung ausschließlich über das Azure AD kundenseitig; es ist nicht möglich, parallel weitere Nutzende per Excel- oder CSV-Import in die SoSafe-Datenbank einzuspielen.

Paket "Datenschutz"

Zusätzlich zu oder anstelle der obigen Pakete buchbar.

Paket "Datenschutz Professional":

  • Für das E-Learning können aus den zur Verfügung stehenden interaktiven Lernmodulen und Lernvideos zum Thema Datenschutz die vereinbarte Anzahl oder Auswahl für alle Nutzer des Kunden aktiviert werden. In Absprache mit dem Kunden kann durch SoSafe eine Erinnerungs-Funktion eingestellt werden, die z. B. Nutzer, welche sich noch nicht registriert oder einzelne Module noch nicht absolviert haben, per E-Mail an eine Registrierung/Finalisierung erinnert. 

  • Bei Bedarf wird ein 30-minütiges Gespräch zum Kick-Off telefonisch oder per Webkonferenz durchgeführt, in dem ein SoSafe-Awareness-Experte dem Kunden alle notwendigen technischen Vorbereitungen erklärt und die weiteren Schritte abstimmt.

  • Nutzendenfeedback: Sie können Nutzendenfeedback einsehen und es als CSV-Datei exportieren.

  • Die Auswertung enthält Benchmarks zu allen Kennzahlen im Vergleich zum Kundendurchschnitt.

  • Bei Nutzung der SoSafe-Lernplattform erhalten Nutzenden ein Zertifikat über alle bestandenen Lernmodule.

Packet "Datenschutz Premium":

  • Customization Engine: Ausgewählte Inhalte der E-Learning-Lernmodule können kundenspezifisch angepasst werden. Dazu wird ein Fragebogen zur Verfügung gestellt, mit dem der Kunde die individuellen Besonderheiten (z.B. Passwortlänge, Ansprechpartner für Datenschutz) in einem von SoSafe definierten Rahmen festlegen kann.

  • Branding: Auf den zur Phishing-Simulation zugehörigen Lernseiten wird oben das Logo des Kunden eingeblendet, ebenso auf der Lernplattform von SoSafe. Die Buttons und farblichen Gestaltungselemente der Lernseiten sowie der Lernplattform können farblich an die Corporate Identity des Kunden angepasst werden. Darüber hinaus können die E-Mail-unspezifischen Informationstexte auf den Lernseiten nach Kundenwunsch erstellt oder angepasst werden. Sofern Logo und Farbschema frei verfügbar sind, kann die Einrichtung durch SoSafe erfolgen. Anderenfalls werden die entsprechenden Daten vom Kunden zur Verfügung gestellt. Der Kunde garantiert für die Einbindung, dass er die Nutzungsrechte am Logo innehat und haftet für etwaige Verstöße gegen die Rechte Dritter.

Zusatzpaket "Datenschutz Enterprise":

  • Full-Service-Implementierung: Ihr persönlicher Implementierungsmanager unterstützt und berät Sie bei der erweiterten Konfiguration Ihrer Awareness-Plattform: Best-Practice-Ansätze, Whitelisting, Empfehlungen zur Kommunikation inkl. Vorlagen, Nutzermanagement mit Datenqualitätssicherung.

  • Business Review: Sie erhalten pro Jahr bis zu 4 (vier) Executive Business Reviews. Dies beinhaltet ein 60-minütiges Telefonat mit dem persönlichen Ansprechpartner bei SoSafe. Weiterhin einen Bericht des Inhalts: 1) Zielerreichung (z. B. Deep Dive in relevante Kennzahlen und Produktnutzungsdaten) 2) Benchmarking (z. B. gegen Kundenstammdaten, Branche des Kunden, Unternehmensgröße) 3) Beratung zu Maßnahmen (z.B. zur Verfügungstellung von Kommunikationsunterlagen an Mitarbeitende oder für internes Reporting, Best Practices von vergleichbaren Unternehmen) 4) Unterstützung und Beratung für die langfristige Cyber Security Awareness Strategie des Kunden.

  • Priority Support: Ihr persönlicher Ansprechpartner behandelt all Ihre Support-Anfragen prioritär und unterstützt Sie innerhalb unserer Supportzeiten per E-Mail oder Telefon.

  • Experten-Auswertung: Ergänzend zu den Bestimmungen bezüglich der Nutzendenliste, kann die Liste um Ordnungskriterien ergänzt werden. Dies können z. B. Nutzendengruppen basierend auf den Organisationseinheiten oder Standorten des Kunden sein. Die Auswertungen auf dem Reporting-Dashboard erfolgen dann differenziert nach diesem Ordnungskriterium. Bei der Festlegung des Ordnungskriteriums durch den Kunden sind dabei stets die vereinbarten Bestimmungen des AV-Vertrags zu beachten; so ist z. B. die Mindestgröße einer Nutzendengruppe von 5 Personen aus Gründen des Datenschutzes nicht zu unterschreiten.

  • Experten-Benchmarking: Die Auswertung enthält zusätzliche Benchmarks, z. B. zu Branche und Unternehmensgröße des Kunden – kann vom zuständigen Customer Success Manager angefordert werden.

  • Fortgeschrittenes Scheduling: Wir können die Versandzeiten individuell an Kundenwünsche anpassen, z. B. an Urlaubszeiten und Zeitzonen.

  • SCORM-Streaming: Sie erhalten Zugriff auf die Lernmodule als SCORM-Container und können Sie in Ihr eigenes Learning-Management-System einbinden.

  • Unterstützendes Awareness-Material: Sie erhalten unterstützendes digitales Material zu Ihrer Awareness-Kampagne, z. B. Poster, Screensaver, Flyer, Kommunikationsvorlagen.

  • Datenexport: Sie können Auswertungsdaten als Excel- oder CSV-Datei exportieren.

  • Zur Anmeldung auf der SoSafe-Lernplattform ist auch die Nutzung eines Single-Sign-On via Azure Active Directory (AD), Google oder einer Benutzerbereitstellung über Okta möglich. Damit sich die Lernplattform gegen das AD authentifizieren kann, ist ein Azure AD in der Cloud Voraussetzung (Hybrid-Setup möglich). Als Protokoll kommt OAuth 2.0 zum Einsatz, welches sich optimal für den Einsatz in Web-Apps eignet. Es ist lediglich die einmalige Autorisierung unserer Web-App durch den Azure AD Administrator des Kunden erforderlich. Die technischen Voraussetzungen für Single-Sign-On sind auf support.sosafe.de einsehbar. SCIM wird mit den folgenden Einschränkungen unterstützt:

    • Die SCIM-Anbindung an den SoSafe Manager unterstützt nur Datentransfers aus dem Microsoft Azure AD, es werden keine On-Premise Active Directories unterstützt.

    • Die SCIM-Anbindung unterstützt nur die Anbindung eines Azure-Tenants. Alle zu übertragenen Nutzendendaten müssen kundenseitig in einem Azure-Tenant verwaltet werden. Die Anbindung mehrerer Tenants wird nicht unterstützt.

    • Wenn eine SCIM-Anbindung an den SoSafe Manager hergestellt wird, erfolgt die Nutzendenverwaltung ausschließlich über das Azure AD kundenseitig, es ist nicht möglich parallel weitere Nutzende per Excel- oder CSV-Import in die SoSafe Datenbank einzuspielen.

Paket „Arbeitsschutz"

  • Für das E-Learning können aus den zur Verfügung stehenden interaktiven Lernmodulen zum Thema Arbeitsschutz die vereinbarte Anzahl oder Auswahl für alle Nutzenden des Kunden aktiviert werden. In Absprache mit dem Kunden kann durch SoSafe eine Erinnerungs-Funktion eingestellt werden, die z. B. Nutzenden, welche sich noch nicht registriert oder einzelne Module noch nicht absolviert haben, per E-Mail an eine Registrierung/Finalisierung erinnert. Alle Module sind auf Deutsch und Englisch verfügbar sowie weitere Sprachen auf Anfrage.

Paket „Allgemeines Gleichbehandlungsgesetz"

  • Für das E-Learning können aus den zur Verfügung stehenden interaktiven Lernmodulen zum Thema allgemeines Gleichbehandlungsgesetz die vereinbarte Anzahl oder Auswahl für alle Nutzenden des Kunden aktiviert werden. In Absprache mit dem Kunden kann durch SoSafe eine Erinnerungs-Funktion eingestellt werden, die z. B. Nutzende, welche sich noch nicht registriert oder einzelne Module noch nicht absolviert haben, per E-Mail an eine Registrierung/Finalisierung erinnert. Alle Module sind auf Deutsch und Englisch verfügbar sowie weitere Sprachen auf Anfrage.

Paket „Compliance"

  • Für das E-Learning können aus den zur Verfügung stehenden interaktiven Lernmodulen zum Thema Compliance die vereinbarte Anzahl oder Auswahl für alle Nutzenden des Kunden aktiviert werden. In Absprache mit dem Kunden kann durch SoSafe eine Erinnerungs-Funktion eingestellt werden, die z. B. Nutzende, welche sich noch nicht registriert oder einzelne Module noch nicht absolviert haben, per E-Mail an eine Registrierung/Finalisierung erinnert. Alle Module sind auf Deutsch und Englisch verfügbar sowie weitere Sprachen auf Anfrage.

Zusatzpaket “Multitenancy”

Unser "Multitenancy-Paket" bietet die Möglichkeit, mehrere Anwendungsinstanzen (Tenants) pro Kundenkonto zu nutzen. Die Daten jedes Tenants sind isoliert und bleiben für andere Tenants unsichtbar. Die Konfiguration ist auch pro Tenant für verschiedene Plattformeigenschaften individualisiert, einschließlich, aber nicht beschränkt auf Administratorrechte, Benutzendenlisten, Platzhalter, Branding, Phishing-Simulationsvorlagen, SCORM-Streaming, Phishing-Meldebutton und andere.