Das Metaverse wird kommen – und zwar schneller, als man denkt. Gartner prognostiziert, dass bis 2026 ein Viertel der Menschen mindestens eine Stunde pro Tag im Metaverse verbringen wird. Für Unternehmen wird es mit neuen Geschäftsmodellen und Arbeitsweisen wahrscheinlich einen Mehrwert schaffen, von dem wir heute nur träumen können, aber bei der Cybersecurity ist das Metaverse eine gewaltige Herausforderung.
Das Metaverse wird wahrscheinlich einen ebenso großen Einfluss auf die Welt haben wie zuvor das Internet. Es ist also dringend erforderlich, dass sich die Sicherheitsbranche jetzt zusammenfindet, um gemeinsam Lösungen für die zahlreichen Herausforderungen der Zukunft zu diskutieren.
(Bild: DIgilife - stock.adobe.com)
Laut Accenture wird das Metaverse „die Art und Weise verändern, wie Unternehmen mit Kunden interagieren, wie Arbeit erledigt wird, welche Produkte und Dienstleistungen Unternehmen anbieten, wie sie diese herstellen und vertreiben und wie sie ihre Unternehmen führen.“ Aus der Perspektive der Cybersecurity ist das Metaverse jedoch eine Herausforderung. Die meisten Unternehmen tun sich heute schon schwer mit der Sicherung der vorhandenen Daten und Infrastruktur. In der multidimensionalen Welt des Metaverses wird dies exponentiell schwieriger werden.
Das Metaverse ist immer noch ein bewegliches Ziel. Es befindet sich derzeit in einem Entwicklungsstadium wie das Internet Anfang der 1990er Jahre. Aber anders als damals haben wir heute eine viel bessere Vorstellung von der Art der Bedrohungen, die in leistungsstarken digitalen Ökosystemen auftreten können. Deshalb können wir uns auch viel besser auf das vorbereiten, was als nächstes kommt. Es ist entscheidend, dass die Security-Branche die Herausforderungen des Metaverse erörtert und sie jetzt entschärft, bevor sie zu einem Problem werden.
Welche Risiken birgt das Metaverse?
Viele Menschen sind mit den aktuellen Sicherheitsherausforderungen vertraut, denen sich digitale Organisationen gegenübersehen. Das Metaverse wird ähnliche Herausforderungen mit sich bringen, nur angepasst an die verschiedenen Formen des Engagements, der Interaktion und des Zugangs, die mit immersiven, virtuellen Umgebungen einhergehen. Vor diesem Hintergrund sind es vor allem vier Schlüsselfragen, die sich alle CISOs und Technologie-Teams heute über das Metaverse stellen sollten.
Frage 1: Wie lassen sich personenbezogene Daten (und andere sensible Daten) im Metaverse schützen?
Personenbezogene Daten (PII) müssen geschützt werden, allein schon aufgrund gesetzlicher Vorschriften wie der DSGVO, dem California Consumer Privacy Act (CCPA) und dem chinesischen Personal Information Protection Law (PRPL).
Diese gelten natürlich auch für das Metaverse. Allerdings wird die Menge an personenbezogenen und anderen sensiblen Daten, die Unternehmen zur Bereitstellung von Metaverse-Erfahrungen erfassen, speichern und verwalten werden, exponentiell ansteigen. Ein Großteil dieser Daten wird hierbei von Technologien stammen, die die digitale/physische Verwischung ermöglichen, die das Metaverse definiert, wie z. B. biometrische Geräte, intelligente Lautsprecher/Mikrofone und Virtual-Reality-Headsets. Data Governance, Endpoint- und Netzwerksicherheit werden mit der zunehmenden Menge an personenbezogenen Daten erheblich an Bedeutung gewinnen. Dabei müssen diese Funktionen so bereitgestellt werden, dass die Leistung des zugrunde liegenden Netzwerks nicht beeinträchtigt wird. Schließlich würde ein zeitverzögertes, ruckelndes Metaverse schnell seine Abonnenten verlieren.
Frage 2: Wie können Benutzer authentifiziert werden?
Eine weitere Herausforderung, die wir von aktuellen Unternehmenstechnologien kennen, ist die Überprüfung der Identität von Personen, wenn sie auf sensible digitale Dienste wie Bankanwendungen oder Unternehmensnetzwerke zugreifen. Heute wird dies oft durch eine Multi-Faktor-Authentifizierung erreicht, aber dieser Ansatz wird im Metaverse nicht funktionieren. Wir betreten eine Welt der Avatare, die 3D-Umgebungen in Echtzeit bevölkern werden. Es ist kaum denkbar, dass eine Person ihre virtuelle Sitzung verlässt und ihr Headset abnimmt, um einen Authentifizierungsvorgang in der realen Welt durchzuführen. Unternehmen und Organisationen des öffentlichen Sektors benötigen daher zuverlässige Methoden, um sicher zu sein, dass der Avatar einer Person auch wirklich von dieser Person gesteuert wird und dass der Avatar nicht gefälscht oder „deepfaked“ wurde. Woran werden die Nutzer erkennen können, ob es sich wirklich um die andere Partei handelt, mit der sie interagieren wollen? Insbesondere wenn sie genau wie diese Person aussieht und sich auch so verhält? Und wie werden wir in der Lage sein, dem Strom dieser Identitäten zwischen verschiedenen Metaverse-Plattformen zu vertrauen?
Es gibt eine Reihe von Möglichkeiten, wie dies gelingen kann: So gibt es beispielsweise zahlreiche Ansätze, bei denen biometrische Daten verwendet werden, um ein „normales Verhalten“ zu ermitteln. Das Verhalten und die Eigenheiten von Nutzern sind so individuell wie Fingerabdrücke. Entsprechend können Sicherheitsteams automatisch alarmiert werden, wenn sich der Avatar eines Nutzers ungewöhnlich verhält. Weitere mögliche Ansätze sind die Verwendung der Iris-Mustererkennung, um einen spezifischen Avatar mit einem individuellen VR-Headset zu verknüpfen, oder die Einbettung eindeutiger verschlüsselter Identifikatoren in Avatare zum Schutz vor Fälschungen. Im Zuge der weiteren Entwicklung dieser Technologie werden sich auch noch weitere Mechanismen und Ansätze herausbilden.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Frage 3: Wie können Nutzer vor Mobbing, Belästigung und Ausbeutung geschützt werden?
Wir alle kennen die dunkle Seite der Social-Media-Plattformen: Aggression, Mobbing, Belästigung und Ausbeutung. Es gibt keinen Grund zu glauben, dass diese Missstände nicht auch das Metaverse betreffen werden. Da es sich jedoch um eine immersive 3D-Erfahrung handelt, werden die psychologischen Auswirkungen eines solchen Verhaltens für die Opfer wahrscheinlich noch gravierender sein. Avatare sind Erweiterungen des Benutzers und eng mit dessen Identität verknüpft. Für viele Menschen wird sich eine Erfahrung im Metaverse genauso real anfühlen wie im täglichen Leben. Dies gilt umso mehr, wenn Innovationen wie haptische Handschuhe und taktile Feedback-Mechanismen das Gefühl der Berührung in das Metaverse bringen.
Bereits im Anfangsstadium des Metaverses gibt es erhebliche Probleme. So hat Meta Platforms nach Beschwerden von weiblichen Nutzern seiner Plattform Horizon Worlds über Übergriffe eine „persönliche Grenze“ eingeführt, die ihre Avatare mit einem drei Meter hohen Schild umgibt. Jedes Unternehmen muss sich Gedanken darüber machen, wo die Grenzen zwischen der physischen und der virtuellen Welt verlaufen, welche Sorgfaltspflicht es den Nutzern gegenüber hat und wie die Sicherheit der Nutzer am besten mit der Nutzbarkeit des Metaverses in Einklang gebracht werden kann. Was aber, wenn es Schwachstellen im Code gibt und die Grenzen kompromittiert werden können? Welche Haftung übernimmt das Unternehmen, wenn dieser Sicherheitsmechanismus versagt?
Letztendlich erfordert die Lösung dieses Problems eine klare Gesetzgebung darüber, was in digitalen Bereichen nicht zulässig ist, sowie die Fähigkeit, diese neuen Gesetze zu überwachen. Doch wie soll dies geregelt und überwacht werden? Wer wird die zentrale Behörde sein, wenn diese Umgebungen die Grenzen der Gerichtsbarkeit überschreiten, ganz zu schweigen von den Plattformen des Metaverse? Unternehmen können jedoch mit ihren eigenen Moderationsteams helfen, ähnlich wie sie es jetzt bei missbräuchlichen Inhalten auf Social-Media-Plattformen tun. Wie in dieser Stellungnahme des Weltwirtschaftsforums dargelegt, wird eine Lösung auch darin liegen, „Anreize für ein besseres Verhalten zu schaffen und positive Interaktionen zu belohnen.“
Frage 4: Wie lässt sich diese Art von schnell wachsender Angriffsfläche in den Griff bekommen?
Schon heute stellen die Zunahme von Geräten, das Wachstum von Daten und die steigende Angriffsfläche eine große Herausforderung dar. Das Metaverse wird diese Herausforderung noch weiter vergrößern. Wie bereits erwähnt, wird das Metaverse eine breite Palette an zugehöriger Hardware mit sich bringen, die an die Unternehmensnetzwerke angeschlossen wird. Dabei ist jedes Gerät auf seine eigene Weise anfällig und benötigt eine Sicherheitsüberwachung und -verwaltung. Unternehmen und ihre Sicherheitsteams müssen jedoch auch über den Schutz des menschlichen Gehirns nachdenken, das im Metaverse ebenfalls Teil der Angriffsfläche wird.
Es ist eine Binsenweisheit, dass Menschen oft das schwächste Glied in einem Unternehmen sind. Nicht umsonst ist Social Engineering für einen Großteil der erfolgreichen Angriffe verantwortlich. In immersiven, virtuellen Welten wird es leichter sein, psychologische Manipulationen vorzunehmen und Fehlinformationen zu verbreiten, die Kriminelle auf verschiedene Weise ausnutzen könnten. So wurde beispielsweise das Metaverse von Sensorium Corp. bereits zur Verbreitung von Fehlinformationen über Impfstoffe missbraucht.
Entsprechend ist die Schulung der Mitarbeiter über Sicherheitsbedrohungen und lauernde Fallen genauso wichtig wie die Einrichtung eines soliden Cyberschutzes. In der Metaverse-Zukunft werden solche Schulungen wahrscheinlich auch psychologische Resilienztechniken und Programme zur Erkennung von manipulativem oder zwanghaftem Verhalten umfassen müssen. Die Menschen sollten sich jederzeit unterstützt fühlen und in der Lage sein, alles zu melden, was ihnen nicht geheuer ist.
Die Sicherheit des Metaverses beginnt jetzt
Diese vier Fragen stellen nur einige der Herausforderungen dar, die das Metaverse mit sich bringen wird. Es ist wichtig und erfreulich, dass bereits jetzt hierüber diskutiert wird und Problemfelder durchdacht werden. Zumal es noch viele weitere Herausforderungen gibt, wie z. B. die Verhinderung des Missbrauchs virtueller Welten durch Terroristen (das Metaverse würde sich als äußerst effektives Übungsfeld für potenzielle Angriffe eignen) und die Bekämpfung von Betrugsversuchen, die auf virtuelle Vermögenswerte abzielen (NFT-Betrug gibt es ja bereits). Unternehmen sollten dies jedoch nicht zum Anlass nehmen, das Metaverse nicht zu erkunden.
Das Metaverse wird wahrscheinlich einen ebenso großen Einfluss auf die Welt haben wie zuvor das Internet. Unternehmen, die sich nicht beteiligen, werden es in den kommenden Jahren wahrscheinlich schwer haben, im Wettbewerb zu bestehen. Es ist jedoch dringend erforderlich, dass sich die Sicherheitsbranche jetzt zusammenfindet, um gemeinsam Lösungen für die zahlreichen Herausforderungen der Zukunft zu diskutieren. Experten für Cybersicherheit und -risiken sind am besten gerüstet, um Unternehmen durch diese Herausforderungen zu führen und die digitale Agenda insgesamt zu unterstützen. Sie kennen die Schwierigkeiten und Komplexität und verfügen über eine große Erfahrung, die hier eingebracht werden kann. Noch ist Zeit, sich auf das Metaverse vorzubereiten. Je mehr wir jetzt tun und je mehr Fragen wir stellen, desto größer ist die Chance, dass das Metaverse maximalen Nutzen bei minimalem Risiko bringt.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/07/97/07979550bc313aa202a7481391f76ce6/0129212062v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/03/e403d8463e7796490cc475b2403f6db3/0128970281v2.jpeg "Crowdstrike und Nord Security ermöglichen KMU umfassende Cybersicherheit über die Falcon-Plattform. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/c4/9ac49e87ca2e15d5c87112420f91805f/0129092634v1.jpeg "Security-Analysten im Security Operations Center (SOC) korrelieren Telemetrie, Identitäten und Netzwerkdaten, um autonome Angriffsmuster frühzeitig zu erkennen und Eindämmungsschritte zu automatisieren. (Bild: © whitestorm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/47/0c/470cd42d292d6a0ef0b9fae9cf263e17/0122953785v2.jpeg "Mithilfe von KI ist es möglich, eine digitale Version von verstorbenen Personen zu erhalten. Doch neben ethischen Bedenken, gibt es auch Risiken aus Sicht der IT-Sicherheit. (Bild: DIgilife - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b2/d2/b2d29c4fb5b817cc6cd53467bcc37633/0126170189v2.jpeg "KI verändert die Bedrohungslandschaft in Umfang, Geschwindigkeit und Raffinesse grundlegend. Unternehmen stehen vor der Herausforderung, nicht nur technologische Potenziale, sondern auch die damit verbundenen Risiken zu beherrschen. (Bild: © ImageFlow - stock.adobe.com)")