Befunde aus dem Recon Rise AI Visibility Index

Von Luke Kotlin, Co-Founder Recon Rise

Wenn ein IT-Sicherheitsverantwortlicher heute ChatGPT, Perplexity oder die Google AI Overviews fragt, welche Security-Awareness-Plattform für ein deutsches Unternehmen mit 800 Mitarbeitern und NIS2-Pflicht in Frage kommt, bekommt er eine Antwort. Sie fällt in 63 Prozent der Fälle zugunsten von SoSafe aus. KnowBe4 erscheint in knapp der Hälfte der Antworten, Proofpoint in gut einem Drittel. Hoxhunt liegt auf Rang vier, MetaCompliance auf fünf. Das ist kein Ranking eines Analystenhauses, kein Test einer Fachredaktion. Es ist das, was die Modelle aus dem öffentlichen Web destillieren, sobald ein Einkäufer eine offene Marktfrage stellt.

Wir von Recon Rise haben diesen Vorgang im April 2026 erstmals systematisch gemessen: 25 reale Kaufprompts, 317 identifizierte Anbieter, 4.724 ausgewertete Citations über drei KI-Plattformen hinweg. Das Ergebnis deckt sich in Teilen mit der gängigen Marktwahrnehmung. In anderen Teilen weicht es deutlich ab. Und gerade diese Abweichungen sind für die Evaluierung relevant.

Vier zentrale Befunde aus dem vollständigen Report sind für IT-Sicherheitsverantwortliche im DACH-Raum besonders relevant. Sie zeigen, wie konzentriert der Markt in der KI-vermittelten Wahrnehmung ist, wie stark sich Rankings je nach Frage verschieben, wie unterschiedlich KI-Plattformen denselben Anbieter bewerten und welche Quellen diese Empfehlungen tatsächlich speisen.

Was gemessen wurde

Die Erhebung misst einen einzigen Wert: ob und wie häufig ein Anbieter in den Antworten von ChatGPT, Google AI Overviews und Perplexity auftaucht, wenn ein deutscher Einkäufer auf Deutsch nach Security-Awareness-Lösungen, Phishing-Simulation, NIS2-Schulungen, Human Risk Management oder einem konkreten Anbietervergleich fragt. Pro Plattform und Prompt wird gezählt, welche Anbieter genannt werden und welche Quellen die Modelle dafür zitieren. Daraus ergibt sich der Visibility Score, also der Anteil der Antworten, in denen ein Anbieter mindestens einmal erwähnt wird, sowie ein Bild der zugrundeliegenden Citation-Landschaft.

Bewusst nicht gemessen wird Produktqualität, Kundenzufriedenheit, Funktionsumfang oder Marktanteil im klassischen Sinne. Der Index sagt nichts darüber aus, welcher Anbieter besser oder schlechter ist. Er sagt etwas darüber aus, welcher Anbieter in der KI-vermittelten Marktwahrnehmung existiert. Und welcher faktisch unsichtbar ist, sobald der Erstkontakt nicht mehr über Google, Gartner oder eine Branchenmesse läuft, sondern über ein Sprachmodell.

Befund 1: Der Markt ist konzentrierter, als die Anbieterzahl vermuten lässt

Von 317 identifizierten Anbietern im DACH-Markt für Security Awareness und Human Risk Management erreichen zehn einen Visibility Score von über zehn Prozent. Alle anderen, also über 96 Prozent der Anbieter, kommen in KI-Antworten praktisch nicht vor. Das ist kein Ranking-Problem, sondern eine Sichtbarkeitsschwelle. Wer unterhalb davon liegt, wird vom Modell schlicht nicht in Erwägung gezogen, selbst wenn er produktseitig konkurrenzfähig ist.

Die Spitze führt SoSafe mit einem Visibility Score von 63,6 Prozent über alle Plattformen hinweg, gefolgt von KnowBe4 (48,0 Prozent) und Proofpoint (35,8 Prozent). Hoxhunt erreicht 31,8 Prozent. Auffällig ist der Bruch danach: MetaCompliance, Guardey, G DATA und Awaretrain liegen geschlossen zwischen 11,6 und 18,4 Prozent. Eine zweite Liga also, die in jeder zweiten bis fünften Antwort genannt wird. Die deutschen Anbieter G DATA und Awaretrain sind in dieser Gruppe vertreten, aber nicht an der Spitze.

Visibility Score nach Anbieter, alle Plattformen, April 2026 (Recon Rise)

Befund 2: Die Themenkategorie verändert das Ranking, teilweise vollständig

Wer den aggregierten Score liest, übersieht den eigentlich relevanten Befund: Die Rangordnung kippt, sobald der Prompt spezifischer wird. Im Themencluster Phishing-Simulation führt nicht SoSafe, sondern Proofpoint mit 54,3 Prozent, vor KnowBe4 (48,5 Prozent) und Hoxhunt (42,5 Prozent). SoSafe, im Gesamtindex souverän erster, fällt in dieser Kategorie auf Rang vier zurück. Im Themencluster NIS2-Schulungen verschiebt sich das Bild erneut. Hier gewinnen Anbieter mit explizitem Compliance-Fokus an Sichtbarkeit, während reine Phishing-Spezialisten zurückfallen. Im Cluster Human Risk Management als Plattformkategorie dominieren wieder die generalistischen Anbieter.

Für die Praxis heißt das: Ein CISO, der KI-Tools zur Vorrecherche nutzt, bekommt je nach Formulierung seiner Frage eine andere Shortlist. Die Frage „Welche Security-Awareness-Plattform passt zu meinem Unternehmen?“ liefert ein anderes Ergebnis als „Welche Phishing-Simulation für DACH-Mittelstand?“, auch wenn der Einkaufsfall identisch ist.

Heatmap: Anbietersichtbarkeit nach Themencluster (Awareness / Phishing / NIS2 / HRM / Compliance), April 2026 (Recon Rise)

Befund 3: Dieselbe Marke, dieselbe Woche, 34 Prozentpunkte Unterschied

Der instabilste Befund der Erhebung betrifft nicht das Ranking, sondern die Plattformvarianz. MetaCompliance erreicht auf ChatGPT einen Visibility Score von 37,1 Prozent. Auf Perplexity liegt der Wert bei 3,0 Prozent. Identische Marke, identische Prompts, identische Woche, 34 Prozentpunkte Differenz. Das ist kein Messrauschen, sondern die direkte Folge unterschiedlicher Retrieval-Architekturen. ChatGPT gewichtet andere Quellen anders als Perplexity, und Google AI Overviews wiederum operiert auf einem dritten Quellengemisch.

Für IT-Sicherheitsverantwortliche bedeutet das: Wenn ein interner Stakeholder oder ein Geschäftsführer die KI-Recherche bereits gemacht hat, bevor er auf die IT zugeht, hängt die ihm präsentierte Marktrealität davon ab, welches Tool er verwendet hat. Eine Shortlist aus ChatGPT sieht anders aus als eine aus Perplexity. Das ist kein Argument gegen KI-gestützte Vorrecherche, sondern eines dafür, sie nicht als Quelle zu behandeln, sondern als ersten Filter, der validiert werden muss.

„Sichtbarkeit in KI-Antworten lässt sich nicht über die eigene Website allein steuern. Was die Modelle empfehlen, ergibt sich aus der gesamten Quellenstruktur, in der sie nach Belegen suchen: die eigene Domain ebenso wie Reviewportale, Fachmedien und Drittnennungen. Wer dort sichtbar werden will, muss diese Struktur verstehen und gezielt aufbauen.“ – Luke Kotlin, Co-Founder Recon Rise

Befund 4: Wer empfohlen wird, wird empfohlen, weil seine Domain zitiert wird

Die meistzitierte einzelne Domain in der gesamten Kategorie ist sosafe-awareness.com. Sie taucht in 8,81 Prozent aller von KI-Modellen gezogenen Quellen-Citations auf. Damit liegt SoSafes eigene Domain vor jedem Branchenmedium, jeder Analystenseite und jedem Wettbewerber. Auf den Plätzen folgen weitere Anbieter-Domains, dann Vergleichs- und Reviewportale, dann Fachmedien.

Das mag für Marketingverantwortliche interessant sein. Für IT-Sicherheitsverantwortliche ist es aus einem anderen Grund relevant: Die KI-Empfehlung speist sich nicht aus unabhängiger redaktioneller Bewertung, sondern aus einer Mischung aus Anbietern selbst, Drittquellen und Reviewportalen. Wer das versteht, kann eine KI-generierte Shortlist sauberer einordnen. Sie ist eine Sichtbarkeitskarte, keine Qualitätskarte.

Top-zitierte Domains in der Kategorie Human Risk Management, alle Plattformen, April 2026 (Recon Rise)

Konsequenzen für den Evaluierungsprozess

Die Daten sind keine Kaufempfehlung. Sie sind eine Diagnose des Informationsraums, in dem heute Vorrecherchen für Awareness- und HRM-Beschaffungen stattfinden. Aus dieser Diagnose lassen sich vier Implikationen für die Praxis ableiten:

1. KI-Shortlists sind unvollständig, strukturell, nicht zufällig

Wenn 96 Prozent der Anbieter in KI-Antworten praktisch nicht erscheinen, gilt das auch für Anbieter, die produktseitig zur eigenen Anforderung passen würden. Eine Shortlist, die ausschließlich aus KI-Vorrecherche entsteht, lässt regelmäßig Anbieter aus, die in Gartner-Reports, BSI-Hinweisen oder bei Branchenkollegen präsent wären. Die Empfehlung lautet: KI-Recherche ergänzen, nicht ersetzen. Das gilt insbesondere bei spezifischen Anforderungen wie deutschsprachigem Content, branchenspezifischen Schulungsmodulen oder On-Premise-Optionen.

2. Den Themen-Prompt bewusst variieren

Da das Ranking sich je nach Themencluster ändert, lohnt es sich, KI-Modelle gezielt mit unterschiedlichen Formulierungen zu befragen (Awareness, Phishing-Simulation, NIS2-Schulung, Human Risk Management) und die Schnittmenge der Anbieter zu betrachten. Anbieter, die in mehreren Clustern auftauchen, sind robuster sichtbar. Anbieter, die nur in einem Cluster genannt werden, haben oft eine engere Spezialisierung. Ob das im konkreten Fall sinnvoll oder unzureichend ist, hängt vom Use Case ab.

3. Plattformvergleich als Validierung

Bevor eine KI-generierte Empfehlung in eine Long- oder Shortlist übergeht, sollte sie auf mindestens zwei Plattformen geprüft werden. Anbieter, die nur auf einer Plattform stark sichtbar sind, geben einen Hinweis auf einseitig verteilte Drittquellen. Das kann legitim sein (etwa bei einem deutschen Anbieter mit starker Präsenz in deutschen Fachmedien, der aber international wenig zitiert ist), oder es ist ein Hinweis auf Lücken. Diagnostisch wertvoll ist beides.

4. NIS2 als eigenständige Suchachse behandeln

Mit Inkrafttreten der NIS2-Pflichten verschiebt sich der Beschaffungsanlass für viele Unternehmen. Aus „wir wollen unsere Awareness verbessern“ wird „wir müssen Awareness-Schulungen nachweisen“. Die KI-Antworten zu NIS2-spezifischen Prompts unterscheiden sich erkennbar vom allgemeinen Awareness-Cluster. Das deutet darauf hin, dass NIS2-Compliance als eigenständiger Markt entsteht und sich auch in den von Modellen bevorzugten Quellen niederschlägt. Wer NIS2 als Pflichtkriterium hat, sollte entsprechend separat suchen.

Wie sichtbar ist Ihr eigenes Unternehmen?

Die Befunde dieses Beitrags betrachten den Markt aus der Perspektive eines Einkäufers. Genauso aufschlussreich ist die Gegenperspektive: Wie sichtbar ist das eigene Unternehmen in genau diesen Antworten? Für Cybersecurity-Anbieter ist das eine direkte Wettbewerbsfrage. Für IT-Sicherheitsverantwortliche, die intern für die eigene Marke, das eigene Tool oder den eigenen Geschäftsbereich verantwortlich sind, ist es ebenfalls eine: Wer in KI-Antworten nicht erscheint, existiert in der zunehmend KI-vermittelten Erstrecherche schlicht nicht.

Die Selbstprüfung ist niederschwellig. Es genügt, fünf bis zehn realistische Kaufprompts zu formulieren, die ein potenzieller Kunde oder Stakeholder eingeben würde, und diese auf ChatGPT, Perplexity und Google AI Overviews zu testen. Erscheint die eigene Marke? Wenn ja, an welcher Position und neben welchen Wettbewerbern? Auf welchen Quellen beruht die Nennung? Wer diese Übung das erste Mal macht, ist meist überrascht, in welche Richtung die Modelle die eigene Kategorie sortieren. Wer sie regelmäßig wiederholt, beginnt zu verstehen, welche Quellenstruktur die KI-vermittelte Marktwahrnehmung in der eigenen Branche prägt. Dort, wo diese Struktur nicht zur eigenen Position passt, lässt sie sich gestalten.

Über den Autor

Luke Kotlin ist Co-Founder von Recon Rise, dem AI Visibility Infrastructure Partner für B2B-Marken im DACH-Raum. Recon Rise baut die Quellenstruktur auf, aus der KI-Modelle ihre Antworten generieren: vom eigenen Webauftritt über Reviewportale bis zu Fachmedien und Drittnennungen. Grundlage ist eine eigene Messsystematik, mit der die Sichtbarkeit von Marken in den Antworten von ChatGPT, Perplexity und Google AI Overviews kontinuierlich erhoben und gestaltet wird.