Im Bereich der Pflichtpublizität versprechen die Hochglanzbroschüren und Websites der Adhoc-Dienstleister bei der IT-Sicherheit der jeweiligen Portale zur Veröffentlichung und Verbreitung von Kapitalmarktmeldungen oft mehr, als sie halten. Das beginnt bereits beim Login des Kunden auf der Startseite des Dienstes, wie IT-Fachleute festgestellt haben.
Ein Webservice ist immer nur so sicher wie das schwächste Glied in der Sicherheitskette. Die sichere Datenverschlüsselung macht die Qualität eines Dienstes aus. Aus diesem Grund sind alle Dienstleister permanent gefordert, aktuelle IT-Security-Empfehlungen umzusetzen. Dass viele Anbieter diesen Anforderungen nicht bzw. nur unzureichend nachkommen, zeigen Ergebnisse mit dem in Fachkreisen anerkannten Prüf-Service von Qualys SSL Labs. Die Webportale werden dabei nach dem US-Notensystem mit "Grade A+/A" (1,0) bis "Grade F" (5,0) bewertet.
Unter die Lupe genommen wurden die relevanten Player DGAP (EQS), Thomson ONE (Thomson Reuters), euro adhoc (APA-OTS) und pressetext.adhoc. Ausserdem wurden Portale von Institutionen bewertet, die für Pflichtpublizität zuständig sind. Zu diesen zählen die Deutsche Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), die Deutsche Börse und der Bundesanzeiger Verlag mit seiner Publikationsplattform.
Noten Adhoc-Dienstleister:
EQS/DGAP: ir-cockpit.equitystory.com: Grade F
Euro adhoc: easy.euroadhoc.com: Grade F
Pressetext.adhoc: adhoc.pressetext.com: Grade A+
Thomson ONE: login.thomsonone.com: Grade F
Noten Institutionen:
Bafin: bafin.de: Grade A
Bundesanzeiger Verlag: publikations-plattform.de: Grade A-
Deutsche Börse: deutsche-boerse.com: Grade B
Hauptgrund für das schlechte Abschneiden der Webportale einzelner Dienstleister mit "Grade F" (Note 5) sind veraltete und inzwischen unsichere Verschlüsselungsalgorithmen und Protokolle. Dazu zählt zum Beispiel die noch immer von vielen Unternehmen eingesetzte RC4-Verschlüsselung von RSA Security. Im Zusammenhang mit unsicherer Verschlüsselung sorgen jüngst auch andere RSA-Produkte durch Edward Snowdens NSA-Enthüllungen für Zündstoff, berichtet der Spiegel http://bit.ly/1ipy14E.
Dringender Handlungsbedarf besteht zudem bei der SSL-2.0-Verschlüsselung. Sie ist bei einzelnen Dienstleistern nach wie vor aktiv gesetzt und ermöglicht versierten Hackern das Lauschen und Mitlesen von vertrauenswürdigen Inhalten und Kontodaten.
Vor diesem Hintergrund empfiehlt es sich für börsennotierte Unternehmen, nicht nur ihre eigenen Webangebote regelmässigen Sicherheitstests zu unterziehen, sondern auch jene ihrer Dienstleister zu überprüfen.
Der Online-Stellenmarkt für ICT Professionals