Vier Fragen, die sich jeder CISO über das Metaverse schon heute stellen sollte Die Sicherheit des Metaverse beginnt jetzt!

Von David Fairman

Anbieter zum Thema

Das Metaverse wird kommen – und zwar schneller, als man denkt. Gartner prognostiziert, dass bis 2026 ein Viertel der Menschen mindestens eine Stunde pro Tag im Metaverse verbringen wird. Für Unternehmen wird es mit neuen Geschäftsmodellen und Arbeitsweisen wahrscheinlich einen Mehrwert schaffen, von dem wir heute nur träumen können, aber bei der Cybersecurity ist das Metaverse eine gewaltige Herausforderung.

Das Metaverse wird wahrscheinlich einen ebenso großen Einfluss auf die Welt haben wie zuvor das Internet. Es ist also dringend erforderlich, dass sich die Sicherheitsbranche jetzt zusammenfindet, um gemeinsam Lösungen für die zahlreichen Herausforderungen der Zukunft zu diskutieren.
Das Metaverse wird wahrscheinlich einen ebenso großen Einfluss auf die Welt haben wie zuvor das Internet. Es ist also dringend erforderlich, dass sich die Sicherheitsbranche jetzt zusammenfindet, um gemeinsam Lösungen für die zahlreichen Herausforderungen der Zukunft zu diskutieren.
(Bild: DIgilife - stock.adobe.com )

Laut Accenture wird das Metaverse „die Art und Weise verändern, wie Unternehmen mit Kunden interagieren, wie Arbeit erledigt wird, welche Produkte und Dienstleistungen Unternehmen anbieten, wie sie diese herstellen und vertreiben und wie sie ihre Unternehmen führen.“ Aus der Perspektive der Cybersecurity ist das Metaverse jedoch eine Herausforderung. Die meisten Unternehmen tun sich heute schon schwer mit der Sicherung der vorhandenen Daten und Infrastruktur. In der multidimensionalen Welt des Metaverses wird dies exponentiell schwieriger werden.

Das Metaverse ist immer noch ein bewegliches Ziel. Es befindet sich derzeit in einem Entwicklungsstadium wie das Internet Anfang der 1990er Jahre. Aber anders als damals haben wir heute eine viel bessere Vorstellung von der Art der Bedrohungen, die in leistungsstarken digitalen Ökosystemen auftreten können. Deshalb können wir uns auch viel besser auf das vorbereiten, was als nächstes kommt. Es ist entscheidend, dass die Security-Branche die Herausforderungen des Metaverse erörtert und sie jetzt entschärft, bevor sie zu einem Problem werden.

Welche Risiken birgt das Metaverse?

Viele Menschen sind mit den aktuellen Sicherheitsherausforderungen vertraut, denen sich digitale Organisationen gegenübersehen. Das Metaverse wird ähnliche Herausforderungen mit sich bringen, nur angepasst an die verschiedenen Formen des Engagements, der Interaktion und des Zugangs, die mit immersiven, virtuellen Umgebungen einhergehen. Vor diesem Hintergrund sind es vor allem vier Schlüsselfragen, die sich alle CISOs und Technologie-Teams heute über das Metaverse stellen sollten.

Frage 1: Wie lassen sich personenbezogene Daten (und andere sensible Daten) im Metaverse schützen?

Personenbezogene Daten (PII) müssen geschützt werden, allein schon aufgrund gesetzlicher Vorschriften wie der DSGVO, dem California Consumer Privacy Act (CCPA) und dem chinesischen Personal Information Protection Law (PRPL).

Diese gelten natürlich auch für das Metaverse. Allerdings wird die Menge an personenbezogenen und anderen sensiblen Daten, die Unternehmen zur Bereitstellung von Metaverse-Erfahrungen erfassen, speichern und verwalten werden, exponentiell ansteigen. Ein Großteil dieser Daten wird hierbei von Technologien stammen, die die digitale/physische Verwischung ermöglichen, die das Metaverse definiert, wie z. B. biometrische Geräte, intelligente Lautsprecher/Mikrofone und Virtual-Reality-Headsets. Data Governance, Endpoint- und Netzwerksicherheit werden mit der zunehmenden Menge an personenbezogenen Daten erheblich an Bedeutung gewinnen. Dabei müssen diese Funktionen so bereitgestellt werden, dass die Leistung des zugrunde liegenden Netzwerks nicht beeinträchtigt wird. Schließlich würde ein zeitverzögertes, ruckelndes Metaverse schnell seine Abonnenten verlieren.

Frage 2: Wie können Benutzer authentifiziert werden?

Eine weitere Herausforderung, die wir von aktuellen Unternehmenstechnologien kennen, ist die Überprüfung der Identität von Personen, wenn sie auf sensible digitale Dienste wie Bankanwendungen oder Unternehmensnetzwerke zugreifen. Heute wird dies oft durch eine Multi-Faktor-Authentifizierung erreicht, aber dieser Ansatz wird im Metaverse nicht funktionieren. Wir betreten eine Welt der Avatare, die 3D-Umgebungen in Echtzeit bevölkern werden. Es ist kaum denkbar, dass eine Person ihre virtuelle Sitzung verlässt und ihr Headset abnimmt, um einen Authentifizierungsvorgang in der realen Welt durchzuführen. Unternehmen und Organisationen des öffentlichen Sektors benötigen daher zuverlässige Methoden, um sicher zu sein, dass der Avatar einer Person auch wirklich von dieser Person gesteuert wird und dass der Avatar nicht gefälscht oder „deepfaked“ wurde. Woran werden die Nutzer erkennen können, ob es sich wirklich um die andere Partei handelt, mit der sie interagieren wollen? Insbesondere wenn sie genau wie diese Person aussieht und sich auch so verhält? Und wie werden wir in der Lage sein, dem Strom dieser Identitäten zwischen verschiedenen Metaverse-Plattformen zu vertrauen?

Es gibt eine Reihe von Möglichkeiten, wie dies gelingen kann: So gibt es beispielsweise zahlreiche Ansätze, bei denen biometrische Daten verwendet werden, um ein „normales Verhalten“ zu ermitteln. Das Verhalten und die Eigenheiten von Nutzern sind so individuell wie Fingerabdrücke. Entsprechend können Sicherheitsteams automatisch alarmiert werden, wenn sich der Avatar eines Nutzers ungewöhnlich verhält. Weitere mögliche Ansätze sind die Verwendung der Iris-Mustererkennung, um einen spezifischen Avatar mit einem individuellen VR-Headset zu verknüpfen, oder die Einbettung eindeutiger verschlüsselter Identifikatoren in Avatare zum Schutz vor Fälschungen. Im Zuge der weiteren Entwicklung dieser Technologie werden sich auch noch weitere Mechanismen und Ansätze herausbilden.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Frage 3: Wie können Nutzer vor Mobbing, Belästigung und Ausbeutung geschützt werden?

Wir alle kennen die dunkle Seite der Social-Media-Plattformen: Aggression, Mobbing, Belästigung und Ausbeutung. Es gibt keinen Grund zu glauben, dass diese Missstände nicht auch das Metaverse betreffen werden. Da es sich jedoch um eine immersive 3D-Erfahrung handelt, werden die psychologischen Auswirkungen eines solchen Verhaltens für die Opfer wahrscheinlich noch gravierender sein. Avatare sind Erweiterungen des Benutzers und eng mit dessen Identität verknüpft. Für viele Menschen wird sich eine Erfahrung im Metaverse genauso real anfühlen wie im täglichen Leben. Dies gilt umso mehr, wenn Innovationen wie haptische Handschuhe und taktile Feedback-Mechanismen das Gefühl der Berührung in das Metaverse bringen.

Bereits im Anfangsstadium des Metaverses gibt es erhebliche Probleme. So hat Meta Platforms nach Beschwerden von weiblichen Nutzern seiner Plattform Horizon Worlds über Übergriffe eine „persönliche Grenze“ eingeführt, die ihre Avatare mit einem drei Meter hohen Schild umgibt. Jedes Unternehmen muss sich Gedanken darüber machen, wo die Grenzen zwischen der physischen und der virtuellen Welt verlaufen, welche Sorgfaltspflicht es den Nutzern gegenüber hat und wie die Sicherheit der Nutzer am besten mit der Nutzbarkeit des Metaverses in Einklang gebracht werden kann. Was aber, wenn es Schwachstellen im Code gibt und die Grenzen kompromittiert werden können? Welche Haftung übernimmt das Unternehmen, wenn dieser Sicherheitsmechanismus versagt?

Letztendlich erfordert die Lösung dieses Problems eine klare Gesetzgebung darüber, was in digitalen Bereichen nicht zulässig ist, sowie die Fähigkeit, diese neuen Gesetze zu überwachen. Doch wie soll dies geregelt und überwacht werden? Wer wird die zentrale Behörde sein, wenn diese Umgebungen die Grenzen der Gerichtsbarkeit überschreiten, ganz zu schweigen von den Plattformen des Metaverse? Unternehmen können jedoch mit ihren eigenen Moderationsteams helfen, ähnlich wie sie es jetzt bei missbräuchlichen Inhalten auf Social-Media-Plattformen tun. Wie in dieser Stellungnahme des Weltwirtschaftsforums dargelegt, wird eine Lösung auch darin liegen, „Anreize für ein besseres Verhalten zu schaffen und positive Interaktionen zu belohnen.“

Frage 4: Wie lässt sich diese Art von schnell wachsender Angriffsfläche in den Griff bekommen?

Schon heute stellen die Zunahme von Geräten, das Wachstum von Daten und die steigende Angriffsfläche eine große Herausforderung dar. Das Metaverse wird diese Herausforderung noch weiter vergrößern. Wie bereits erwähnt, wird das Metaverse eine breite Palette an zugehöriger Hardware mit sich bringen, die an die Unternehmensnetzwerke angeschlossen wird. Dabei ist jedes Gerät auf seine eigene Weise anfällig und benötigt eine Sicherheitsüberwachung und -verwaltung. Unternehmen und ihre Sicherheitsteams müssen jedoch auch über den Schutz des menschlichen Gehirns nachdenken, das im Metaverse ebenfalls Teil der Angriffsfläche wird.

Es ist eine Binsenweisheit, dass Menschen oft das schwächste Glied in einem Unternehmen sind. Nicht umsonst ist Social Engineering für einen Großteil der erfolgreichen Angriffe verantwortlich. In immersiven, virtuellen Welten wird es leichter sein, psychologische Manipulationen vorzunehmen und Fehlinformationen zu verbreiten, die Kriminelle auf verschiedene Weise ausnutzen könnten. So wurde beispielsweise das Metaverse von Sensorium Corp. bereits zur Verbreitung von Fehlinformationen über Impfstoffe missbraucht.

Entsprechend ist die Schulung der Mitarbeiter über Sicherheitsbedrohungen und lauernde Fallen genauso wichtig wie die Einrichtung eines soliden Cyberschutzes. In der Metaverse-Zukunft werden solche Schulungen wahrscheinlich auch psychologische Resilienztechniken und Programme zur Erkennung von manipulativem oder zwanghaftem Verhalten umfassen müssen. Die Menschen sollten sich jederzeit unterstützt fühlen und in der Lage sein, alles zu melden, was ihnen nicht geheuer ist.

Die Sicherheit des Metaverses beginnt jetzt

Diese vier Fragen stellen nur einige der Herausforderungen dar, die das Metaverse mit sich bringen wird. Es ist wichtig und erfreulich, dass bereits jetzt hierüber diskutiert wird und Problemfelder durchdacht werden. Zumal es noch viele weitere Herausforderungen gibt, wie z. B. die Verhinderung des Missbrauchs virtueller Welten durch Terroristen (das Metaverse würde sich als äußerst effektives Übungsfeld für potenzielle Angriffe eignen) und die Bekämpfung von Betrugsversuchen, die auf virtuelle Vermögenswerte abzielen (NFT-Betrug gibt es ja bereits). Unternehmen sollten dies jedoch nicht zum Anlass nehmen, das Metaverse nicht zu erkunden.

Das Metaverse wird wahrscheinlich einen ebenso großen Einfluss auf die Welt haben wie zuvor das Internet. Unternehmen, die sich nicht beteiligen, werden es in den kommenden Jahren wahrscheinlich schwer haben, im Wettbewerb zu bestehen. Es ist jedoch dringend erforderlich, dass sich die Sicherheitsbranche jetzt zusammenfindet, um gemeinsam Lösungen für die zahlreichen Herausforderungen der Zukunft zu diskutieren. Experten für Cybersicherheit und -risiken sind am besten gerüstet, um Unternehmen durch diese Herausforderungen zu führen und die digitale Agenda insgesamt zu unterstützen. Sie kennen die Schwierigkeiten und Komplexität und verfügen über eine große Erfahrung, die hier eingebracht werden kann. Noch ist Zeit, sich auf das Metaverse vorzubereiten. Je mehr wir jetzt tun und je mehr Fragen wir stellen, desto größer ist die Chance, dass das Metaverse maximalen Nutzen bei minimalem Risiko bringt.

Über den Autor: David Fairman ist Chief Security Officer APAC von Netskope.

(ID:48418661)