Virtuelle Hauptversammlungen mit Anfängerfehlern
Wegen der Pandemie verlegen Aktiengesellschaften ihre Hauptversammlungen ins Internet. Doch bei der Umstellung gab es deutliche Sicherheits-Mängel.
Momentan undenkbar sind Hauptversammlungen wie diese der Deutschen Telekom im Jahr 2018.
(Bild: Deutsche Telekom)
Abstimmungen unbemerkt ändern, fremde Accounts übernehmen, Aktionäre massenhaft aussperren – die Systeme, mit denen viele Unternehmen ihre virtuellen Hauptversammlungen abhielten, waren oft verwundbar. Das wurde auf dem IT-Sicherheitskongress des Bundesamts für Sicherheit in der Informationstechnik festgestellt, dennoch gab es ein optimistisches Fazit: Die Anbieter lernen dazu.
Gemischtes Bild im Schnelltest
Als "leidenschaftlicher Börsianer" hatte Andreas Mayer, Professor für IT-Sicherheit, Rechnernetze und Softwareentwicklung an der Hochschule Heilbronn, die im März durchgebrachte Gesetzesänderung zur Zulassung virtueller Hauptversammlungen verfolgt. Systematisch suchte er die im Bundesanzeiger angekündigten Hauptversammlungen und erfasste 623 verschiedene Veranstaltungen. An 46 Hauptversammlungen nahm er persönlich teil und suchte manuell nach Sicherheitsproblemen.
Mayer konnte acht verschiedene Anbieter identifizieren, auf deren Dienste die Aktiengesellschaften zurückgriffen. Die drei größten Anbieter kamen dabei auf einen Marktanteil von 66,8 Prozent. Zwar erhielten alle Anbieter bei dem SSL-Test gute Noten, beim Test auf sicherheitsrelevante HTTP-Features wie eine Content-Security-Policy oder Zertifikats-Pinning hagelte es jedoch Alarmmeldungen. Fünf Anbieter erhielten die schlechteste Note F, zwei schnitten mit C und einer mit D ab. Auch beunruhigend: Bei fünf von acht Portalen fand Mayer veraltete Software-Bibliotheken, die zumindest theoretisch angreifbar waren.
Genauer Blick offenbart neue Schwächen
In der Analyse der Hauptversammlungen, an denen er selbst teilnehmen konnte, zeigten sich recht schnell weitere Probleme. So vergaben alle verwendeten Systeme Usernamen, die aus einer fortlaufend vergebenen Nummer bestanden. Wurde dazu noch die Falscheingabe des Passwortes mit einer Accountsperre beantwortet, wäre es ein leichtes gewesen, die Durchführung einer Hauptversammlung über eine automatisierte Attacke komplett zu unterbinden oder zumindest zu erschweren. Bei Aktionärsversammlungen, die im vergangenen Jahr unter anderem Entscheidungen zu milliardenschweren Hilfspaketen zu entscheiden hatten, war dies ein kritischer Fehler.
Ansonsten fanden sich viele klassische Fehler. Bei einem Anbieter waren so genannte Cross Site Request Forgery-Angriffe möglich, bei dem ein Teilnehmer einen manipulierten Link anklicken muss und danach unbemerkt die Stimmrechte auf den Angreifer überträgt. Bei drei Anbietern war es gar möglich, per Session Fixation einen fremden Account komplett zu übernehmen. Beim Marktführer fand der Experte gar eine fehlerhaft implementierte Zugriffskontrolle, sodass jeder eingeloggte Aktionär die persönlichen Details aller anderen Teilnehmer auslesen konnte.
Steile Lernkurve
Trotz des schlechten Eindrucks in der ersten Testrunde sieht Mayer die Anbieter auf einem guten Weg. So hatte er alle gefundenen Schwachstellen den Anbietern gemeldet. "Diese reagierten wirklich schnell und professionell", erklärte der Sicherheitsexperte auf dem IT-Sicherheitskongress. Die Anbieter hätten nicht nur die unmittelbar gefundenen Probleme behoben, sondern von sich auch die Angriffsfläche ihrer Systeme aus eigenen Stücken wesentlich verringert. "Einer sicheren Hauptversammlungssaison im Jahre 2021 steht damit nichts im Weg", sagte Mayer.
(anw)
