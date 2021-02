per Mail teilen

Im vergangenen Frühjahr mussten viele Menschen von heute auf morgen ins Homeoffice ausweichen. Videokonferenzen und andere Online-Formate erlebten einen Boom. Dabei blieb anfangs teilweise die Sicherheit auf der Strecke. Auch die von Aktionären.

Andreas Mayer aus Schwäbisch Hall ist Professor für Informatik an der Hochschule Heilbronn. Hier lehrt er seine Studierenden, wie sie Software möglichst sicher programmieren, zum Beispiel für den medizinischen Bereich. Doch im Zuge der Corona-Pandemie weckte etwas anderes sein Interesse: Mayer ist seit 20 Jahren begeisterter Aktionär und fragte sich, wie es eigentlich um die Sicherheit der kurzerhand möglich gemachten virtuellen Hauptversammlungen steht.

Pressestelle SWR Hochschule HN (Portrait); Montage SWR

Er begann zu forschen, steckte neun Monate Arbeit in das Projekt, nahm sich über 620 virtuelle Hauptversammlungen vor – darunter auch die von Dax- und MDax-Konzernen. Dabei fand er Schwachstellen, die sich teilweise auch ohne Spezialkenntnisse und viel Aufwand ausnutzen ließen.

"Um meine Ergebnisse kurz zusammenzufassen: 72 Prozent hatten zum Teil erhebliche Sicherheitslücken." Prof. Dr. Andreas Mayer

Manipulierte Stimmabgaben möglich

So konnten zum Beispiel eingeladene Aktionäre die Daten der anderen Aktionäre sehen. Zudem gab es für Angreifer die Möglichkeit durch automatisiertes Sperren von Zugängen, kurz vor einer Veranstaltung eine Hauptversammlung platzen zu lassen. Diese kosten bei großen Konzernen schon einmal siebenstellige Summen, sagt Mayer. Besonders gravierend aber sei die Möglichkeit gewesen, die Stimmabgabe der Aktionäre zu manipulieren, ohne dass diese es mitbekamen.

Größere Hauptversammlungen werden von Dienstleistern organisiert. Diese kümmern sich zum Beispiel um die Halle, juristische Dinge, Einladungen und mehr. Mit der Pandemie waren auch sie plötzlich gezwungen, komplett ins Internet auszuweichen. Mayer entschied sich am Ende seiner Untersuchung, die Unternehmen auf die Schwachstellen ihrer virtuellen Hauptversammlungen hinzuweisen.

Unternehmen nahmen Hinweise "sehr ernst"

Die betroffenen Unternehmen hätten seine Anregungen und Erkenntnisse "sehr ernst genommen und schnell gehandelt", sagt Mayer. Mittlerweile seien alle von ihm entdeckten Schwachstellen geschlossen worden. Jetzt kann er die Öffentlichkeit informieren. Eine Vorgehensweise, die sich "Responsible Disclosure" nennt.

Ergebnisse werden beim IT-Sicherheitskongress des BSI vorgestellt

Die Ergebnisse seiner Studie wird er am Mittwoch beim IT-Sicherheitskongress des Bundesamts für Sicherheit in der Informationstechnik (BSI) vorstellen, einem der größten Kongresse dieser Art. Neben Professor Andreas Mayer wird auch sein Doktorrand Maximilian Westers auf dem Kongress Ergebnisse seiner Forschung präsentieren. Dabei geht es um die Sicherheit von "Single Sign-On", also der Möglichkeit, sich mit einem einzigen Zugang bei vielen unterschiedlichen Online-Diensten anzumelden.