:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5b/22/5b22bde70a798882fd87b424b08db454/0114239498.jpeg "(Bild: Alexander – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3c/313c4d5d5853b79cb0b6e35922a67b12/0114113318.jpeg ""Umfassender Cyberschutz auf allen Ebenen", ein Interview von Oliver Schonschek, Insider Research, mit Waldemar Bergstreiser von Kaspersky. (Bild: Vogel IT-Medien / Kaspersky / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/9d/ab/9dab51056cf30c7d100f1bd2daa971f7/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/04/c904bf7dc0be07350005f7dba734f6ff/0113097994.jpeg "Die kostenlose Open-Source-Lösung Matomo bietet ähnlichen Funktionsumfang wie Google Analytics. (Bild: T.Joos)")
:quality(80)/p7i.vogel.de/wcms/e9/99/e99974b8c8a989906f6ae3a16662902a/0114174522.jpeg "Der neue BSI-Standard 200-4 bietet eine praxisnahe Anleitung, um ein BCMS (Business Continuity Management System) im eigenen Unternehmen aufzubauen und zu etablieren. (Bild: PX Media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Vier Fragen, die sich jeder CISO über das Metaverse schon heute stellen sollte Die Sicherheit des Metaverse beginnt jetzt!
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Das Metaverse wird kommen – und zwar schneller, als man denkt. Gartner prognostiziert, dass bis 2026 ein Viertel der Menschen mindestens eine Stunde pro Tag im Metaverse verbringen wird. Für Unternehmen wird es mit neuen Geschäftsmodellen und Arbeitsweisen wahrscheinlich einen Mehrwert schaffen, von dem wir heute nur träumen können, aber bei der Cybersecurity ist das Metaverse eine gewaltige Herausforderung.
Laut Accenture wird das Metaverse „die Art und Weise verändern, wie Unternehmen mit Kunden interagieren, wie Arbeit erledigt wird, welche Produkte und Dienstleistungen Unternehmen anbieten, wie sie diese herstellen und vertreiben und wie sie ihre Unternehmen führen.“ Aus der Perspektive der Cybersecurity ist das Metaverse jedoch eine Herausforderung. Die meisten Unternehmen tun sich heute schon schwer mit der Sicherung der vorhandenen Daten und Infrastruktur. In der multidimensionalen Welt des Metaverses wird dies exponentiell schwieriger werden.
Das Metaverse ist immer noch ein bewegliches Ziel. Es befindet sich derzeit in einem Entwicklungsstadium wie das Internet Anfang der 1990er Jahre. Aber anders als damals haben wir heute eine viel bessere Vorstellung von der Art der Bedrohungen, die in leistungsstarken digitalen Ökosystemen auftreten können. Deshalb können wir uns auch viel besser auf das vorbereiten, was als nächstes kommt. Es ist entscheidend, dass die Security-Branche die Herausforderungen des Metaverse erörtert und sie jetzt entschärft, bevor sie zu einem Problem werden.
Welche Risiken birgt das Metaverse?
Viele Menschen sind mit den aktuellen Sicherheitsherausforderungen vertraut, denen sich digitale Organisationen gegenübersehen. Das Metaverse wird ähnliche Herausforderungen mit sich bringen, nur angepasst an die verschiedenen Formen des Engagements, der Interaktion und des Zugangs, die mit immersiven, virtuellen Umgebungen einhergehen. Vor diesem Hintergrund sind es vor allem vier Schlüsselfragen, die sich alle CISOs und Technologie-Teams heute über das Metaverse stellen sollten.
Frage 1: Wie lassen sich personenbezogene Daten (und andere sensible Daten) im Metaverse schützen?
Personenbezogene Daten (PII) müssen geschützt werden, allein schon aufgrund gesetzlicher Vorschriften wie der DSGVO, dem California Consumer Privacy Act (CCPA) und dem chinesischen Personal Information Protection Law (PRPL).
Diese gelten natürlich auch für das Metaverse. Allerdings wird die Menge an personenbezogenen und anderen sensiblen Daten, die Unternehmen zur Bereitstellung von Metaverse-Erfahrungen erfassen, speichern und verwalten werden, exponentiell ansteigen. Ein Großteil dieser Daten wird hierbei von Technologien stammen, die die digitale/physische Verwischung ermöglichen, die das Metaverse definiert, wie z. B. biometrische Geräte, intelligente Lautsprecher/Mikrofone und Virtual-Reality-Headsets. Data Governance, Endpoint- und Netzwerksicherheit werden mit der zunehmenden Menge an personenbezogenen Daten erheblich an Bedeutung gewinnen. Dabei müssen diese Funktionen so bereitgestellt werden, dass die Leistung des zugrunde liegenden Netzwerks nicht beeinträchtigt wird. Schließlich würde ein zeitverzögertes, ruckelndes Metaverse schnell seine Abonnenten verlieren.
Frage 2: Wie können Benutzer authentifiziert werden?
Eine weitere Herausforderung, die wir von aktuellen Unternehmenstechnologien kennen, ist die Überprüfung der Identität von Personen, wenn sie auf sensible digitale Dienste wie Bankanwendungen oder Unternehmensnetzwerke zugreifen. Heute wird dies oft durch eine Multi-Faktor-Authentifizierung erreicht, aber dieser Ansatz wird im Metaverse nicht funktionieren. Wir betreten eine Welt der Avatare, die 3D-Umgebungen in Echtzeit bevölkern werden. Es ist kaum denkbar, dass eine Person ihre virtuelle Sitzung verlässt und ihr Headset abnimmt, um einen Authentifizierungsvorgang in der realen Welt durchzuführen. Unternehmen und Organisationen des öffentlichen Sektors benötigen daher zuverlässige Methoden, um sicher zu sein, dass der Avatar einer Person auch wirklich von dieser Person gesteuert wird und dass der Avatar nicht gefälscht oder „deepfaked“ wurde. Woran werden die Nutzer erkennen können, ob es sich wirklich um die andere Partei handelt, mit der sie interagieren wollen? Insbesondere wenn sie genau wie diese Person aussieht und sich auch so verhält? Und wie werden wir in der Lage sein, dem Strom dieser Identitäten zwischen verschiedenen Metaverse-Plattformen zu vertrauen?
Es gibt eine Reihe von Möglichkeiten, wie dies gelingen kann: So gibt es beispielsweise zahlreiche Ansätze, bei denen biometrische Daten verwendet werden, um ein „normales Verhalten“ zu ermitteln. Das Verhalten und die Eigenheiten von Nutzern sind so individuell wie Fingerabdrücke. Entsprechend können Sicherheitsteams automatisch alarmiert werden, wenn sich der Avatar eines Nutzers ungewöhnlich verhält. Weitere mögliche Ansätze sind die Verwendung der Iris-Mustererkennung, um einen spezifischen Avatar mit einem individuellen VR-Headset zu verknüpfen, oder die Einbettung eindeutiger verschlüsselter Identifikatoren in Avatare zum Schutz vor Fälschungen. Im Zuge der weiteren Entwicklung dieser Technologie werden sich auch noch weitere Mechanismen und Ansätze herausbilden.
Frage 3: Wie können Nutzer vor Mobbing, Belästigung und Ausbeutung geschützt werden?
Wir alle kennen die dunkle Seite der Social-Media-Plattformen: Aggression, Mobbing, Belästigung und Ausbeutung. Es gibt keinen Grund zu glauben, dass diese Missstände nicht auch das Metaverse betreffen werden. Da es sich jedoch um eine immersive 3D-Erfahrung handelt, werden die psychologischen Auswirkungen eines solchen Verhaltens für die Opfer wahrscheinlich noch gravierender sein. Avatare sind Erweiterungen des Benutzers und eng mit dessen Identität verknüpft. Für viele Menschen wird sich eine Erfahrung im Metaverse genauso real anfühlen wie im täglichen Leben. Dies gilt umso mehr, wenn Innovationen wie haptische Handschuhe und taktile Feedback-Mechanismen das Gefühl der Berührung in das Metaverse bringen.
Bereits im Anfangsstadium des Metaverses gibt es erhebliche Probleme. So hat Meta Platforms nach Beschwerden von weiblichen Nutzern seiner Plattform Horizon Worlds über Übergriffe eine „persönliche Grenze“ eingeführt, die ihre Avatare mit einem drei Meter hohen Schild umgibt. Jedes Unternehmen muss sich Gedanken darüber machen, wo die Grenzen zwischen der physischen und der virtuellen Welt verlaufen, welche Sorgfaltspflicht es den Nutzern gegenüber hat und wie die Sicherheit der Nutzer am besten mit der Nutzbarkeit des Metaverses in Einklang gebracht werden kann. Was aber, wenn es Schwachstellen im Code gibt und die Grenzen kompromittiert werden können? Welche Haftung übernimmt das Unternehmen, wenn dieser Sicherheitsmechanismus versagt?
Letztendlich erfordert die Lösung dieses Problems eine klare Gesetzgebung darüber, was in digitalen Bereichen nicht zulässig ist, sowie die Fähigkeit, diese neuen Gesetze zu überwachen. Doch wie soll dies geregelt und überwacht werden? Wer wird die zentrale Behörde sein, wenn diese Umgebungen die Grenzen der Gerichtsbarkeit überschreiten, ganz zu schweigen von den Plattformen des Metaverse? Unternehmen können jedoch mit ihren eigenen Moderationsteams helfen, ähnlich wie sie es jetzt bei missbräuchlichen Inhalten auf Social-Media-Plattformen tun. Wie in dieser Stellungnahme des Weltwirtschaftsforums dargelegt, wird eine Lösung auch darin liegen, „Anreize für ein besseres Verhalten zu schaffen und positive Interaktionen zu belohnen.“
Frage 4: Wie lässt sich diese Art von schnell wachsender Angriffsfläche in den Griff bekommen?
Schon heute stellen die Zunahme von Geräten, das Wachstum von Daten und die steigende Angriffsfläche eine große Herausforderung dar. Das Metaverse wird diese Herausforderung noch weiter vergrößern. Wie bereits erwähnt, wird das Metaverse eine breite Palette an zugehöriger Hardware mit sich bringen, die an die Unternehmensnetzwerke angeschlossen wird. Dabei ist jedes Gerät auf seine eigene Weise anfällig und benötigt eine Sicherheitsüberwachung und -verwaltung. Unternehmen und ihre Sicherheitsteams müssen jedoch auch über den Schutz des menschlichen Gehirns nachdenken, das im Metaverse ebenfalls Teil der Angriffsfläche wird.
Es ist eine Binsenweisheit, dass Menschen oft das schwächste Glied in einem Unternehmen sind. Nicht umsonst ist Social Engineering für einen Großteil der erfolgreichen Angriffe verantwortlich. In immersiven, virtuellen Welten wird es leichter sein, psychologische Manipulationen vorzunehmen und Fehlinformationen zu verbreiten, die Kriminelle auf verschiedene Weise ausnutzen könnten. So wurde beispielsweise das Metaverse von Sensorium Corp. bereits zur Verbreitung von Fehlinformationen über Impfstoffe missbraucht.
Entsprechend ist die Schulung der Mitarbeiter über Sicherheitsbedrohungen und lauernde Fallen genauso wichtig wie die Einrichtung eines soliden Cyberschutzes. In der Metaverse-Zukunft werden solche Schulungen wahrscheinlich auch psychologische Resilienztechniken und Programme zur Erkennung von manipulativem oder zwanghaftem Verhalten umfassen müssen. Die Menschen sollten sich jederzeit unterstützt fühlen und in der Lage sein, alles zu melden, was ihnen nicht geheuer ist.
Die Sicherheit des Metaverses beginnt jetzt
Diese vier Fragen stellen nur einige der Herausforderungen dar, die das Metaverse mit sich bringen wird. Es ist wichtig und erfreulich, dass bereits jetzt hierüber diskutiert wird und Problemfelder durchdacht werden. Zumal es noch viele weitere Herausforderungen gibt, wie z. B. die Verhinderung des Missbrauchs virtueller Welten durch Terroristen (das Metaverse würde sich als äußerst effektives Übungsfeld für potenzielle Angriffe eignen) und die Bekämpfung von Betrugsversuchen, die auf virtuelle Vermögenswerte abzielen (NFT-Betrug gibt es ja bereits). Unternehmen sollten dies jedoch nicht zum Anlass nehmen, das Metaverse nicht zu erkunden.
Das Metaverse wird wahrscheinlich einen ebenso großen Einfluss auf die Welt haben wie zuvor das Internet. Unternehmen, die sich nicht beteiligen, werden es in den kommenden Jahren wahrscheinlich schwer haben, im Wettbewerb zu bestehen. Es ist jedoch dringend erforderlich, dass sich die Sicherheitsbranche jetzt zusammenfindet, um gemeinsam Lösungen für die zahlreichen Herausforderungen der Zukunft zu diskutieren. Experten für Cybersicherheit und -risiken sind am besten gerüstet, um Unternehmen durch diese Herausforderungen zu führen und die digitale Agenda insgesamt zu unterstützen. Sie kennen die Schwierigkeiten und Komplexität und verfügen über eine große Erfahrung, die hier eingebracht werden kann. Noch ist Zeit, sich auf das Metaverse vorzubereiten. Je mehr wir jetzt tun und je mehr Fragen wir stellen, desto größer ist die Chance, dass das Metaverse maximalen Nutzen bei minimalem Risiko bringt.
Über den Autor: David Fairman ist Chief Security Officer APAC von Netskope.
(ID:48418661)
:quality(80)/p7i.vogel.de/wcms/83/94/839429b28c68102a28ca250405fd2ed4/0108980668.jpeg "Das Metaverse soll für Milliarden von Nutzern über jeden Webbrowser, jedes mobile Endgerät oder AR/VR-System zugänglich sein. Es wird Cyberkriminellen mit seinen Unmengen an Daten und vernetzten Systemen eine noch größere Angriffsfläche bieten. (Bild: wacomka - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/66/2366bed2d51df69407ff6effde1460bf/0106136863.jpeg "Es ist schwer vorherzusagen, was das Metaverse für die Unternehmen und ihre IT-Sicherheit bedeuten wird. Eines ist jedoch sicher: Wer den Standard, das zugrundeliegende Prinzip, beherrscht, wird am Ende auch das Metaversum beherrschen. (Bild: Tierney - stock.adobe.com)")