IT-Security: Adhoc-Dienste wenig sicher


Berlin/Wien (06.02.2014) -

"Grade F" für login.thomsonone.com
(Copyright: qualys.com)

Im Bereich der Pflichtpublizität versprechen die Hochglanzbroschüren und Websites der Adhoc-Dienstleister bei der IT-Sicherheit der jeweiligen Portale zur Veröffentlichung und Verbreitung von Kapitalmarktmeldungen oft mehr, als sie halten. Das beginnt bereits beim Login des Kunden auf der Startseite des Dienstes, wie IT-Fachleute festgestellt haben.

Ein Webservice ist immer nur so sicher wie das schwächste Glied in der Sicherheitskette. Die sichere Datenverschlüsselung macht die Qualität eines Dienstes aus. Aus diesem Grund sind alle Dienstleister permanent gefordert, aktuelle IT-Security-Empfehlungen umzusetzen. Dass viele Anbieter diesen Anforderungen nicht bzw. nur unzureichend nachkommen, zeigen Ergebnisse mit dem in Fachkreisen anerkannten Prüf-Service von Qualys SSL Labs https://bit.ly/1gLQ08S. Die Webportale werden dabei nach dem US-Notensystem mit "Grade A+/A" (1,0) bis "Grade F" (5,0) bewertet.

Unter die Lupe genommen wurden die relevanten Player DGAP (EQS), Thomson ONE (Thomson Reuters), euro adhoc (APA-OTS) und pressetext.adhoc (pressetext). Außerdem wurden Portale von Institutionen bewertet, die für Pflichtpublizität zuständig sind. Zu diesen zählen die Deutsche Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), die Deutsche Börse und der Bundesanzeiger Verlag mit seiner Publikationsplattform.

Noten Adhoc-Dienstleister

EQS/DGAP ir-cockpit.equitystory.com Grade F
euro adhoc easy.euroadhoc.com Grade F
pressetext.adhoc adhoc.pressetext.com Grade A+
Thomson ONE login.thomsonone.com Grade F

Noten Institutionen

BaFin www.bafin.de Grade A
Bundesanzeiger Verlag www.publikations-plattform.de Grade A-
Deutsche Börse www.deutsche-boerse.com Grade B

RC4 nicht mehr angesagt

Hauptgrund für das schlechte Abschneiden der Webportale einzelner Dienstleister mit "Grade F" (Note 5) sind veraltete und inzwischen unsichere Verschlüsselungsalgorithmen und Protokolle. Dazu zählt zum Beispiel die noch immer von vielen Unternehmen eingesetzte RC4-Verschlüsselung von RSA Security.

Im Zusammenhang mit unsicherer Verschlüsselung sorgen jüngst auch andere RSA-Produkte durch Edward Snowdens NSA-Enthüllungen für Zündstoff, berichtet der Spiegel https://bit.ly/1ipy14E.

Hohes Risiko bei SSL 2.0

Dringender Handlungsbedarf besteht zudem bei der SSL-2.0-Verschlüsselung. Sie ist bei einzelnen Dienstleistern nach wie vor aktiv gesetzt und ermöglicht versierten Hackern das Lauschen und Mitlesen von vertrauenswürdigen Inhalten und Kontodaten.

Vor diesem Hintergrund empfiehlt es sich für börsennotierte Unternehmen, nicht nur ihre eigenen Webangebote regelmäßigen Sicherheitstests zu unterziehen, sondern auch jene ihrer Dienstleister zu überprüfen.


pressetext.redaktion,
Florian Fügeman

Advertising