Informationen sind Geld, insbesondere in den Fällen, wo sie nicht der Allgemeinheit, sondern nur einer Minderheit zur Verfügung stehen. Seit einigen Jahren versuchen große Nachrichtenagenturen, durch die gezielte Ausspionage von Webseiten vorzeitigen Zugang zu Finanzkennzahlen zu erhalten – eine Entwicklung, die aus den USA nun ihren Weg nach Deutschland gefunden hat.
Investor Relations bei Kirchhoff Consult.
Diebstahl von Web-Daten in den USA
Im Jahr 2010 berichtete die internationale Finanzpresse von einem Datenleak bei Disney Corp. Statt einer Veröffentlichung von Quartalszahlen nach Börsenschluss liefen die wesentlichen Ergebniszahlen bereits während der Handelszeiten über den Ticker einer großen Nachrichtenagentur. Im Finanzkalender von Microsoft wurde 2010 die Bekanntgabe der Q2-Ergebnisse angekündigt. Geplant war eine Veröffentlichung nach Börsenschluss. Bereits 70 Minuten vorher liefen die Daten jedoch über die Ticker, obwohl das Unternehmen selbst noch keine Veröffentlichung vorgenommen hatte. Der in der Schweiz und den USA notierte Off-Shore-Spezialist Transocean wollte im Frühjahr 2011 seine Ergebnisse nach Börsenschluss veröffentlichen. Auch hier liefen bereits während der offiziellen Handelszeiten wesentliche Finanzkennzahlen über die Ticker und Terminals einer Nachrichtenagentur.
Auch Deutschland ist betroffen
Börsennotierte Unternehmen in Deutschland sind mittlerweile auch von diesen Vorabveröffentlichungen durch Dritte betroffen. So wurden bereits mehrmals Finanzzahlen vorzeitig auf Tickern angezeigt oder verbreitet, obwohl die Unternehmen selbst noch keine Veröffentlichung vorgenommen hatten. Da im deutschsprachigen Raum Finanzergebnisse vorwiegend am frühen Morgen vor Handelsbeginn veröffentlicht werden, ruft eine verfrühte Veröffentlichung in der Öffentlichkeit bisher keine nennenswerte Aufregung hervor. Für die betroffenen Unternehmen ist die vorzeitige Veröffentlichung jedoch mindestens ein Imageschaden. So erfolgt beispielsweise keine zeitgleiche Veröffentlichung für alle Zielgruppen, sondern die Kunden einiger Nachrichtenagenturen haben einen Vorteil. Investoren, Analysten und Journalisten erhalten unter Umständen erst später Zugang zu diesen Daten. Zudem ist es möglich, dass die Daten unkommentiert verbreitet werden.
Wie erfolgt der Zugriff auf die Ergebnisse?
Wurde Insiderwissen weitergegeben? Gab es einen vorzeitigen Versand? Gab es ein Nachrichtenleck? In der Regel sind es größere Nachrichtenagenturen, die mittels programmierter selbständig agierender Softwareroutinen, so genannter Web-Spider oder Web-Crawler, die Webseiten von interessanten Unternehmen auf Neuigkeiten untersuchen. Dabei werden nicht allein bereits öffentliche Seiten durchsucht, sondern die Software prüft auch vorhandene, aber nicht verlinkte bzw. aktivierte Seiten auf mögliche neue Inhalte. Beispielsweise werden die URLs vorhandener Publikationen geprüft und dann systematisch erweitert, um weitere, aber unveröffentlichte Dokumente zu finden. Wenn nun ein Unternehmen einen Finanzbericht oder eine Presseinformation ins System einstellt, diese aber noch nicht für die Öffentlichkeit bereitstellt, dann kann bei einer ungesicherten Website durch gezieltes Aufrufen unterschiedlicher URLs der Zugriff auf die Publikation möglich sein.
Ein kurzes fiktives Beispiel: Ein Unternehmen veröffentlicht seine Quartalsberichte unter folgenden URLs:
Q1: www.unternehmen.de/ir/finanzberichte/2014/Quartalsberichte/1_2014.pdf
Q2: www.unternehmen.de/ir/finanzberichte/2014/Quartalsberichte/2_2014.pdf
Für einen Web-Crawler ist es nicht wirklich kompliziert, herauszufinden, dass der 9-Monatsbericht unter dem URL-Ende „3_2014.pdf „abgelegt ist. Wenn der Bericht innerhalb der Webseite auf einer ungeschützten Seite eingestellt wird, wäre ein Erfassen möglich, auch wenn der eigentliche Link auf die Datei noch nicht aktiviert ist. Die Software muss dazu gar nicht den entsprechenden Link für Publikationen im Investor Relations-Bereich finden, der auf den Quartalsbericht verlinkt. Dieser wurde vom Unternehmen auch noch nicht aktiviert. Vielmehr greift die Nachrichtenagentur unmittelbar auf das PDF zu. Ein Zugriff kann unter Umständen aber nicht nur auf PDF des Berichtes oder eine Pressemitteilung erfolgen, sondern auch auf einen hinterlegten, aber noch nicht aktiv verlinkten Online-Finanzbericht.
Wie schützen sich Unternehmen und IR-Verantwortliche?
Hier gibt es verschiedene Ansatzpunkte, die sehr stark vom Webauftritt und dem verwendeten Content-Management-System eines Unternehmens abhängen. Ein erster Schritt führt zur IT-Abteilung sowie zu den Verantwortlichen für die Content-Einpflege mit dem Ziel einer entsprechenden Sensibilisierung für das Thema. In diesem Rahmen kann es auch sinnvoll sein, zu prüfen, ob es derartige Angriffe auf die Website bereits im Vorfeld von Veröffentlichungen gab. Unmittelbare Handlungsmöglichkeiten zum Schutz sind beispielsweise die Sperre des Zugriffs auf hinterlegte Dateien durch einen passwortgeschützten Zugang mittels Htaccess, der Einsatz eines Hashcodes um das „Erraten“ eines Dateinamens zu erschweren, als zufällige Erweiterung der URL bis zum Veröffentlichungszeitpunkt sowie der Einsatz eines Seitenschutzes mit individuellen Benutzerpasswörtern der spezifischen Seite.
Fazit
Entscheidend ist zunächst die Sensibilisierung aller Verantwortlichen für diese Form des Leaks beziehungsweise des unberechtigten Abgreifens von Daten. Eine weitere Möglichkeit, die Dateien zu schützen, ist es, nur bestimmten IP-Adressbereichen den Zugriff zu erlauben. Beispiel: Nur Zugriffe aus dem Adressbereich 213.23.229.14 (Zugriffe von Rechnern der Kirchhoff Consult) werden gestattet. Mit der Liveschaltung der Datei wird diese Einschränkung entfernt und die Datei der Weböffentlichkeit zugänglich gemacht. Dies ist durch eine Direktive innerhalb der Htaccess-Datei möglich.
Kurzvita
Dr. Götz Schlegtendal ist Direktor Investor Relations bei Kirchhoff Consult. Schwerpunkte sind Investor Relations, Geschäftsberichte und Integrated Reporting sowie Sondersituationen (Kapitalmaßnahmen, Krisenkommunikation, M&A). Zuvor war er Leiter IR/PR eines Prime Standard-Unternehmens.