Digital Business Communications

Die virtuelle Hauptversammlung – Überlegungen zur IT-Sicherheit

In diesem Jahr findet bereits die dritte Hauptversammlungssaison vorwiegend virtuell statt. Was im Jahr 2020 aufgrund des gesellschaftsrechtlichen COVID-19-Gesetzes (COVID-19-GesG) möglich wurde, ist seither Usus. So hielten laut der Studie von Van Le und Müllner 2021 alle ATX-Unternehmen ihre Hauptversammlung virtuell ab, bei den VÖNIX-Unternehmen waren es 95 Prozent – deutlich mehr Unternehmen als noch 2020 (siehe auch Studie von Kovarova-Simecek, Loidl und Klinz).

Ein Beitrag von Christiane Fürst, Lukas Kroisenbrunner und Viktoria Strobl

Viele Unternehmen haben Gefallen an der virtuellen Variante gefunden. So können Antworten zu den Fragen der Aktionär*innen bereits im Vorhinein vorbereitet werden. Ebenfalls können durch dieses Format und den niederschwelligen Zugang mehr (internationale) Aktionär*innen erreicht werden. Aus technischer und organisatorischer Sicht werden die Prozesse immer effizienter, einfacher und günstiger.

IT-Sicherheit trifft auf die digitale Hauptversammlung

Die virtuelle Hauptversammlung hat für Unternehmen also viele neue Möglichkeiten geschaffen. Ein Punkt, der dabei nur selten genügend Aufmerksamkeit erhält (wie auch die Forschungsergebnisse von Van Le und Müllner zeigen), ist die IT-Sicherheit. Grund dafür ist sicherlich auch der Fakt, dass es im DACH-Raum bis dato keine bösartigen Angriffe auf digitale Hauptversammlungen (HV) gab. Genau diese Herangehensweise kann allerdings fatal sein. So betonte Jochen Hense in seinem Vortrag am diesjährigen Symposium Financial Communications: „Alles was hackbar ist, wird früher oder später gehackt!“ Deswegen dürfe man sich keinesfalls in falscher Sicherheit wiegen und müsse solchen Attacken vorbeugen.

Mittels der sogenannten CIA-Triade (siehe Abbildung) könne man die drei Bereiche identifizieren, die es am meisten zu schützen gilt. Darunter versteht man Confidentiality (Geheimhaltung der Daten), Integrity (Schutz vor Veränderung der Daten) und Availability (verfügbare IT-Systeme). Alle aufgezeigten Gefahrenbereiche würden bei Ransomware-Attacken angegriffen werden. Im Zuge dessen werden die Daten verschlüsselt und vom Unternehmen für die Entschlüsselung und Geheimhaltung der Daten hohe Zahlungen gefordert.

Solche Angriffe auf IT-Systeme können schwerwiegende Folgen mit sich bringen. Dies zeigte letztes Jahr auch der Fall der PALFINGER AG. Das Unternehmen produziert Kran- und Hebelösungen. Mit einer Cyberattacke schafften es die Angreifer*innen, die Produktion komplett lahmzulegen. Dies hatte zur Folge, dass einige Werke des Unternehmens bis zu zwei Wochen stillstanden.

Mittels der sogenannten CIA-Triade (siehe Abbildung) könne man die drei Bereiche identifizieren, die es am meisten zu schützen gilt. Darunter versteht man Confidentiality (Geheimhaltung der Daten), Integrity (Schutz vor Veränderung der Daten) und Availability (verfügbare IT-Systeme). Alle aufgezeigten Gefahrenbereiche würden bei Ransomware-Attacken angegriffen werden. Im Zuge dessen werden die Daten verschlüsselt und vom Unternehmen für die Entschlüsselung und Geheimhaltung der Daten hohe Zahlungen gefordert.

Solche Angriffe auf IT-Systeme können schwerwiegende Folgen mit sich bringen. Dies zeigte letztes Jahr auch der Fall der PALFINGER AG. Das Unternehmen produziert Kran- und Hebelösungen. Mit einer Cyberattacke schafften es die Angreifer*innen, die Produktion komplett lahmzulegen. Dies hatte zur Folge, dass einige Werke des Unternehmens bis zu zwei Wochen stillstanden.

Hauptversammlung-IT-Security-1
CIA-Triade (Eigene Darstellung)

Hackversuche auf digitale HVs zeigen Gefahren

Wie gravierend die Gefahr von Hacker-Angriffen während digitaler HVs sind, zeigt eine Feldstudie aus Deutschland. Hierfür wurden die von der OWASP gesammelten zehn häufigsten Software-Schwachstellen an den Systemen digitaler HVs von DAX-Unternehmen getestet. Die Ergebnisse zeigten große Mängel: In 72 Prozent der Fälle waren schwere Schwachstellen identifizierbar. „Das sind auch noch keine technisch komplexen Methoden, die können unsere IT-Security-Studierenden auch schon nach ein paar Semestern ausführen“, warnt Hense ebenso wie der Studienautor, der davon spricht, dass nur an der Oberfläche gekratzt wurde.

Dies könnte am fehlenden Problembewusstsein dem Thema gegenüber liegen, da es bei digitalen Hauptversammlungen im deutschsprachigen Raum bis dato noch keine gröberen Vorkommnisse bezüglich Hacker-Angriffen gab. Hense betonte jedoch, dass sich dies bei jeder digital stattfinden Hauptversammlung ändern könnte.

Angriffspotenziale (Use Cases)

Angriffsflächen auf Systeme ergeben sich auf vielerlei Weise. So könne man sich im Zuge der Abstimmprozesse unerlaubt Zugriff verschaffen. Allein die Freigabe von Ton und Bildschirm, die in Deutschland im Zuge der Q&As mit dem Vorstand üblich ist, können bereits Schwachstellen sein.

In Österreich werden digitale HVs ohne direkten Zugriff der Aktionär*innen auf das System abgewickelt, doch auch dabei entstehen Sicherheitslücken. Beispielsweise stelle die Kommunikation mit den Stimmrechtsvertreter*innen via E-Mail großes Potenzial für Angriffe dar. Denn „Angriffe sind auch ohne Zugriff auf das System möglich. Der Zugriff macht es mir nur viel einfacher“, erklärt der IT-Security-Experte. Im deutschsprachigen Raum hat es, wie bereits erwähnt, noch keine Hacker-Angriffe auf digitale Hauptversammlungen gegeben, dennoch warnt Hense. Kein Unternehmen dürfe sich in Sicherheit wiegen und beispielsweise denken, es sei zu unwichtig für solch einen Angriff.

Wird eine HV gehackt, kann dies gravierende Folgen mit sich bringen. Der IT-Experte betont jedoch in seinem Vortrag, dass es nicht nur „böse“ Hacker*innen gibt. Es wird in der Branche zwischen Black Hats und White Hats unterschieden. Die Black-Hat-Hacker verfolgen stets ein bösartiges Ziel mit ihren Angriffen und wollen beispielsweise Geld erpressen oder sensible Informationen leaken. White-Hat-Hacker hingegen verfolgen andere Ziele. Sie zeigen den betroffenen Unternehmen ungefragt Schwachstellen in ihrem System auf und fordern dafür keine Gegenleistung.

Wie kann man sich schützen?

Hense betonte in seinem Vortrag, dass Unternehmen sich intensiv mit ihren IT-Systemen auseinandersetzen müssten, um die Wahrscheinlichkeit für einen erfolgreichen Angriff auf digitale Hauptversammlungen zu reduzieren. Hierbei wurde bewusst von Wahrscheinlichkeiten gesprochen, da es nie einen 100-prozentigen Schutz vor einem Hack gibt. Präventive Maßnahmen können jedoch helfen, eine hohe Anzahl an Versuchen abzublocken. Solche Maßnahmen sind beispielsweise Web-Server-Verschlüsselungen oder die Nutzung von Multifactor-Authentifizierungen, sichereren Passwörtern und hauseigenen Servern. Vor jeglicher Anschaffung sei man immer mit der Einschätzung einer unabhängigen Prüfinstanz wie dem TÜV gut beraten. Empfehlenswert sei auch, sich gegen sogenannte DoS (Denial of Service)-Attacken vom Hersteller absichern zu lassen, weil das die häufigsten Angriffe der Hacker-Gruppen sind.

Ausblick

Was können wir zukünftig von der virtuellen HV erwarten? Die Unternehmen haben durchaus Gefallen am neuen Format und den neuen Möglichkeiten gefunden. Das Interesse ist sogar so groß, dass nun in Deutschland ein Gesetzesentwurf für den dauerhaften Verbleib der virtuellen HV vorliegt. Für Unternehmen stellt die virtuelle HV eine effiziente Form dar, die Aktionär*innen und Interessensverbände wohl nur dulden werden, wenn sie keine Einschränkung ihrer Rechte befürchten müssen. Daher könnte vor allem bei Unternehmen mit wenigen Aktionär*innen bzw. vielen institutionellen Aktionär*innen der Fokus auf der rein virtuellen HV bleiben. Bei Unternehmen mit vielen Retail-Aktionär*innen, wie etwa der Österreichischen Post AG, wird die Präsenz-Veranstaltung nach wie vor attraktiv bleiben.

Vor diesem Hintergrund könnte zukünftig eine Hybrid-HV stärker in die Diskussion rücken. So könnten Aktionär*innen nämlich sowohl persönlich als auch virtuell teilnehmen. Das würde der Vereinbarung von Effizienz und Interaktion entsprechen. Ob der hohen Kosten dürfte diese Variante von Unternehmen jedoch (noch) wenig erstrebenswert sein.

In beiden Fällen sollte jedenfalls nicht die IT-Sicherheit vernachlässigt werden, weil digitale HVs für Hacker-Gruppen mit zunehmender Etablierung in den Fokus rücken und sie somit aktiv nach Eintrittsmöglichkeiten suchen werden.

In diesem Jahr findet bereits die dritte Hauptversammlungssaison vorwiegend virtuell statt. Was im Jahr 2020 aufgrund des gesellschaftsrechtlichen COVID-19-Gesetzes (COVID-19-GesG) möglich wurde, ist seither Usus. So hielten laut der Studie von Van Le und Müllner 2021 alle ATX-Unternehmen ihre Hauptversammlung virtuell ab, bei den VÖNIX-Unternehmen waren es 95 Prozent – deutlich mehr Unternehmen als noch 2020 (siehe auch Studie von Kovarova-Simecek, Loidl und Klinz).

Ein Beitrag von Christiane Fürst, Lukas Kroisenbrunner und Viktoria Strobl

Viele Unternehmen haben Gefallen an der virtuellen Variante gefunden. So können Antworten zu den Fragen der Aktionär*innen bereits im Vorhinein vorbereitet werden. Ebenfalls können durch dieses Format und den niederschwelligen Zugang mehr (internationale) Aktionär*innen erreicht werden. Aus technischer und organisatorischer Sicht werden die Prozesse immer effizienter, einfacher und günstiger.

IT-Sicherheit trifft auf die digitale Hauptversammlung

Die virtuelle Hauptversammlung hat für Unternehmen also viele neue Möglichkeiten geschaffen. Ein Punkt, der dabei nur selten genügend Aufmerksamkeit erhält (wie auch die Forschungsergebnisse von Van Le und Müllner zeigen), ist die IT-Sicherheit. Grund dafür ist sicherlich auch der Fakt, dass es im DACH-Raum bis dato keine bösartigen Angriffe auf digitale Hauptversammlungen (HV) gab. Genau diese Herangehensweise kann allerdings fatal sein. So betonte Jochen Hense in seinem Vortrag am diesjährigen Symposium Financial Communications: „Alles was hackbar ist, wird früher oder später gehackt!“ Deswegen dürfe man sich keinesfalls in falscher Sicherheit wiegen und müsse solchen Attacken vorbeugen.

Mittels der sogenannten CIA-Triade (siehe Abbildung) könne man die drei Bereiche identifizieren, die es am meisten zu schützen gilt. Darunter versteht man Confidentiality (Geheimhaltung der Daten), Integrity (Schutz vor Veränderung der Daten) und Availability (verfügbare IT-Systeme). Alle aufgezeigten Gefahrenbereiche würden bei Ransomware-Attacken angegriffen werden. Im Zuge dessen werden die Daten verschlüsselt und vom Unternehmen für die Entschlüsselung und Geheimhaltung der Daten hohe Zahlungen gefordert.

Solche Angriffe auf IT-Systeme können schwerwiegende Folgen mit sich bringen. Dies zeigte letztes Jahr auch der Fall der PALFINGER AG. Das Unternehmen produziert Kran- und Hebelösungen. Mit einer Cyberattacke schafften es die Angreifer*innen, die Produktion komplett lahmzulegen. Dies hatte zur Folge, dass einige Werke des Unternehmens bis zu zwei Wochen stillstanden.

Hauptversammlung-IT-Security-1
CIA-Triade (Eigene Darstellung)

Hackversuche auf digitale HVs zeigen Gefahren

Wie gravierend die Gefahr von Hacker-Angriffen während digitaler HVs sind, zeigt eine Feldstudie aus Deutschland. Hierfür wurden die von der OWASP gesammelten zehn häufigsten Software-Schwachstellen an den Systemen digitaler HVs von DAX-Unternehmen getestet. Die Ergebnisse zeigten große Mängel: In 72 Prozent der Fälle waren schwere Schwachstellen identifizierbar. „Das sind auch noch keine technisch komplexen Methoden, die können unsere IT-Security-Studierenden auch schon nach ein paar Semestern ausführen“, warnt Hense ebenso wie der Studienautor, der davon spricht, dass nur an der Oberfläche gekratzt wurde.

Dies könnte am fehlenden Problembewusstsein dem Thema gegenüber liegen, da es bei digitalen Hauptversammlungen im deutschsprachigen Raum bis dato noch keine gröberen Vorkommnisse bezüglich Hacker-Angriffen gab. Hense betonte jedoch, dass sich dies bei jeder digital stattfinden Hauptversammlung ändern könnte.

Angriffspotenziale (Use Cases)

Angriffsflächen auf Systeme ergeben sich auf vielerlei Weise. So könne man sich im Zuge der Abstimmprozesse unerlaubt Zugriff verschaffen. Allein die Freigabe von Ton und Bildschirm, die in Deutschland im Zuge der Q&As mit dem Vorstand üblich ist, können bereits Schwachstellen sein.

In Österreich werden digitale HVs ohne direkten Zugriff der Aktionär*innen auf das System abgewickelt, doch auch dabei entstehen Sicherheitslücken. Beispielsweise stelle die Kommunikation mit den Stimmrechtsvertreter*innen via E-Mail großes Potenzial für Angriffe dar. Denn „Angriffe sind auch ohne Zugriff auf das System möglich. Der Zugriff macht es mir nur viel einfacher“, erklärt der IT-Security-Experte. Im deutschsprachigen Raum hat es, wie bereits erwähnt, noch keine Hacker-Angriffe auf digitale Hauptversammlungen gegeben, dennoch warnt Hense. Kein Unternehmen dürfe sich in Sicherheit wiegen und beispielsweise denken, es sei zu unwichtig für solch einen Angriff.

Wird eine HV gehackt, kann dies gravierende Folgen mit sich bringen. Der IT-Experte betont jedoch in seinem Vortrag, dass es nicht nur „böse“ Hacker*innen gibt. Es wird in der Branche zwischen Black Hats und White Hats unterschieden. Die Black-Hat-Hacker verfolgen stets ein bösartiges Ziel mit ihren Angriffen und wollen beispielsweise Geld erpressen oder sensible Informationen leaken. White-Hat-Hacker hingegen verfolgen andere Ziele. Sie zeigen den betroffenen Unternehmen ungefragt Schwachstellen in ihrem System auf und fordern dafür keine Gegenleistung.

Wie kann man sich schützen?

Hense betonte in seinem Vortrag, dass Unternehmen sich intensiv mit ihren IT-Systemen auseinandersetzen müssten, um die Wahrscheinlichkeit für einen erfolgreichen Angriff auf digitale Hauptversammlungen zu reduzieren. Hierbei wurde bewusst von Wahrscheinlichkeiten gesprochen, da es nie einen 100-prozentigen Schutz vor einem Hack gibt. Präventive Maßnahmen können jedoch helfen, eine hohe Anzahl an Versuchen abzublocken. Solche Maßnahmen sind beispielsweise Web-Server-Verschlüsselungen oder die Nutzung von Multifactor-Authentifizierungen, sichereren Passwörtern und hauseigenen Servern. Vor jeglicher Anschaffung sei man immer mit der Einschätzung einer unabhängigen Prüfinstanz wie dem TÜV gut beraten. Empfehlenswert sei auch, sich gegen sogenannte DoS (Denial of Service)-Attacken vom Hersteller absichern zu lassen, weil das die häufigsten Angriffe der Hacker-Gruppen sind.

Ausblick

Was können wir zukünftig von der virtuellen HV erwarten? Die Unternehmen haben durchaus Gefallen am neuen Format und den neuen Möglichkeiten gefunden. Das Interesse ist sogar so groß, dass nun in Deutschland ein Gesetzesentwurf für den dauerhaften Verbleib der virtuellen HV vorliegt. Für Unternehmen stellt die virtuelle HV eine effiziente Form dar, die Aktionär*innen und Interessensverbände wohl nur dulden werden, wenn sie keine Einschränkung ihrer Rechte befürchten müssen. Daher könnte vor allem bei Unternehmen mit wenigen Aktionär*innen bzw. vielen institutionellen Aktionär*innen der Fokus auf der rein virtuellen HV bleiben. Bei Unternehmen mit vielen Retail-Aktionär*innen, wie etwa der Österreichischen Post AG, wird die Präsenz-Veranstaltung nach wie vor attraktiv bleiben.

Vor diesem Hintergrund könnte zukünftig eine Hybrid-HV stärker in die Diskussion rücken. So könnten Aktionär*innen nämlich sowohl persönlich als auch virtuell teilnehmen. Das würde der Vereinbarung von Effizienz und Interaktion entsprechen. Ob der hohen Kosten dürfte diese Variante von Unternehmen jedoch (noch) wenig erstrebenswert sein.

In beiden Fällen sollte jedenfalls nicht die IT-Sicherheit vernachlässigt werden, weil digitale HVs für Hacker-Gruppen mit zunehmender Etablierung in den Fokus rücken und sie somit aktiv nach Eintrittsmöglichkeiten suchen werden.

Share

Share