Das Metaversum schafft neue schwarze Löcher voll digitaler Unsicherheit

Das Metaversum (englisch „Metaverse“) definiert sich als ein Netzwerk miteinander verbundener virtueller Welten, die Virtual-Reality-(VR) und/oder Augmented-Reality-(AR) Technologien nutzen, um den Anwendern ein intensiveres Erlebnis zu bieten. Das Konzept existiert bereits seit rund drei Jahrzehnten, stammt ursprünglich aus dem Science-Fiction-Roman „Snow Crash“ und lieferte bereits das Fundament für Online-Plattformen wie Second Life. In den letzten Monaten hat insbesondere das Unternehmen Meta (früher Facebook) sich dahingehend engagiert und das Interesse daran – beispielsweise mit Initiativen rund um die VR-Brille Meta Quest 2 – weiter befeuert.

Die Vorteile und Möglichkeiten dieser virtuellen Welten sind enorm: Über die reine Unterhaltung hinaus können sie zur Verbesserung der Arbeitsproduktivität in entfernten Arbeitsumgebungen oder für Bildungsaufgaben (E-Learning) genutzt werden. Wie jedes vernetzte Werkzeug birgt jedoch auch das Metaversum potenzielle Gefahren im Bereich der Cybersicherheit.

Bei der Risikobetrachtung fallen folgende Punkte besonders ins Gewicht:

Phishing: Erfolgreiche Phishing-Angriffe sind schon lange keine Seltenheit mehr. Mittlerweile nutzen Hacker auch gezielt die Popularität des Metaversums und damit verbundener Bereiche, um Nutzer auf Seiten mit bösartigen Inhalten zu führen. Cybersecurity-Schulungen spielen in dem Zusammenhang eine Schlüsselrolle, um zu verhindern, dass Anwender Opfer von Social-Engineering-Betrügereien werden. Darüber hinaus ist es aber auch notwendig, weitere Maßnahmen zu ergreifen. Laut einer Pulse-Umfrage unter Cybersicherheitsexperten sind 35 Prozent der Meinung, dass Unternehmen vor Phishing im Metaversum am besten durch Cybersicherheitslösungen geschützt sind. 31 Prozent setzen auf Mitarbeiterschulungen.
Aufzeichnung von Benutzerbewegungen: Eine neue Herausforderung für die Cybersicherheit im Metaversum besteht darin, dass die dabei eingesetzten Geräte permanent Benutzerdaten aufzeichnen – und das in weitaus größerem Umfang als jemals zuvor: Von den VR-Brillen werden beispielsweise Körper-, Kopf-, Hand- und sogar Augenbewegungen erfasst. Aus der Kombination dieser Bewegungsanalysen lässt sich für jede Person eine einzigartige Signatur erstellen. Einige Unternehmen forschen bereits daran, diese biometrischen Parameter in Authentifizierungstechnologien für Metaverse-Räume oder sogar für kommerzielle Zwecke zu nutzen. Das Vorbild ist Alexa mit der Aufzeichnung von Nutzergesprächen. Daher müssen die Aufzeichnungen von Körperparametern – wie alle anderen persönlichen Daten der Nutzer – besonders behandelt und geschützt werden.
Aufzeichnung der physischen Umgebung des Nutzers: AR/VR-Trackingsysteme verwenden Kameras und Sensoren auf dem Headset aus mehreren Winkeln in Verbindung mit Techniken, die der Photogrammetrie ähneln, um eine 3D-Ansicht des Raums zu erhalten, in dem sich der Nutzer befindet. Die Software kombiniert die virtuelle Umgebung mit dem tatsächlichen physischen Raum des Nutzers. Das Problem ist, dass diese Sensoren in der Praxis 3D-Karten der Umgebung erstellen, die auch die Wohnung und das Büro des Nutzers umfassen können. Theoretisch sollten diese Karten die Geräte selbst nicht verlassen. Aber eine Garantie, dass Unternehmen die Daten nicht in irgendeiner Weise anderweitig sammeln, gibt es wohl kaum. Dies führt zu Szenarien, die nicht nur Risiken für die Cybersicherheit, sondern auch für die physische Sicherheit der Nutzer mit sich bringen: Einbrecher oder andere Kriminelle könnten diese Karten nutzen, wenn sie zum Beispiel im Dark Web zum Verkauf angeboten werden.
Identitätsmissbrauch: Beim Zugriff auf Metaverse-Räume verwenden Nutzer entweder ihren echten Namen oder einen Avatar. In beiden Fällen könnten böswillige Cyber-Akteure in den Besitz der Anmeldedaten gelangen und mit der gestohlenen Identität auftreten. Dies stellt besonders in geschäftlichen Metaverse-Umgebungen ein Risiko dar, in denen es beispielsweise um sensible Daten oder finanzielle Transaktionen jeder Art geht.

Angesichts dieser Bedrohungen stehen Metaverse-Plattformen per se in der Pflicht, sämtliche Nutzerdaten zu schützen. Anwender und Organisationen, die sich an diesen Räumen beteiligen, können jedoch nicht blind darauf vertrauen. Es besteht grundsätzlich immer die Gefahr, dass ihre Daten von Dritten genutzt werden oder im Zuge von Datenschutzverletzungen ans Licht der Öffentlichkeit geraten. Aus diesem Grund müssen sie mit den dort geteilten Informationen äußerst sorgsam umgehen. Es sollte zudem darauf geachtet werden, der Gefahr des Identitätsdiebstahls von Anfang an vorzubeugen. Unternehmen müssen den Zugang zu ihren Metaverse-Plattformen streng kontrollieren – in Übereinstimmung mit den von der Geschäftsleitung, der Personalabteilung oder der IT-Abteilung festgelegten Richtlinien. Zudem sollte eine fortschrittliche und sichere Multifaktor-Authentifizierung (MFA) zum Einsatz kommen, um Anmeldeinformationen zusätzlich zu schützen.