:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Von Bitcoin-Diebstahl bis zu virtueller Spionage Diese neuen Gefahren birgt das Metaverse
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/f7/63f7704ca91c1/3a-logo-mailing-250x100.png "3a-logo-mailing-250x100 (Eye Security)"){kind=logo}
Die Cyberabwehr im Metaverse wird eine weit größere Herausforderung darstellen als der Schutz heutiger Netzwerke und Geräte. Denn die Angriffsfläche besteht aus vielen verschiedenen, verbundenen Systemen – und die Möglichkeiten für Angreifer, sich Zugang zu verschaffen, sind fast unbegrenzt. Neben den bekannten Risiken durch Phishing, Ransomware und Datenklau könnten Hacker zum Beispiel Daten modifizieren, Avatare imitieren, gefälschte Informationen in vernetzte Endgeräte einspeisen oder geistige Eigentumsrechte verletzen.
Weil das Metaverse Schnittstellen zwischen der realen und der virtuellen Welt bietet, reichen die Risiken von Bitcoin-Diebstahl und virtuellem Vandalismus bis zu schwerwiegenden Straftaten wie Spionage und sogar Körperverletzung. Kriminelle können Schaden anrichten, indem sie in haptische Handschuhe, VR-Anzüge und Headsets eindringen und deren Bedienung übernehmen. Damit hätten Hackerangriffen weitaus gravierendere Folgen.
Robuste Cybersicherheit muss deshalb von Anfang an in die Infrastruktur eingebunden werden. Andernfalls ist das Metaverse zum Scheitern verurteilt. Um es adäquat zu schützen, ist es wichtig, sich die größten Schwachstellen und Risiken vor Augen zu führen.
Exponentiell größere Angriffsflächen
Das Metaverse soll für Milliarden von Nutzern über jeden Webbrowser, jedes mobile Endgerät oder AR/VR-System zugänglich sein. Menschen werden dort miteinander agieren wie in der realen Welt. Die Angriffsfläche ist die Menge aller potenziellen Interaktionspunkte zwischen Angreifer und Ziel, einschließlich Hardware, Software und den zugehörigen Kommunikationskanälen.
Das beinhaltet alle physischen Geräte, die den Zugang zum Metaverse ermöglichen, wie AR/VR-Headsets, Steuerungen und Sensoren, aber auch IoT-Geräte. Zur Software-Angriffsfläche gehören Programme und Anwendungen, die auf AR/VR-Hardware oder anderen Teilen der Infrastruktur ausgeführt werden und es Nutzern erlauben, mit dem Metaverse zu interagieren. Und schließlich können die Kommunikationskanäle Ziel von Angriffen werden: denkbar sind beinahe unzählige Verbindungen zwischen Nutzern, virtuellen Objekten und physischen Apparaten unter Verwendung von Computercode, Text, Sprache, Video und Berührung.
Neue Herausforderungen für das Identitätsmanagement
Das Identitätsmanagement im Metaverse ist kompliziert, weil die Identität eines Nutzers sich nicht auf seinen Avatar beschränkt. Sie kann auch private Schlüssel für Kryptowährungen und andere digitale Vermögenswerte, Bankdaten, soziale Informationen und Schnappschüsse seiner digitalen Lebensgeschichte beinhalten. Geht eines dieser Elemente verloren oder wird es modifiziert, kann das dazu führen, dass das Opfer seine Identität verliert.
Es gibt mehrere Möglichkeiten, wie Angreifer sich im Metaverse als jemand anders ausgeben können. Zum Beispiel könnten sie die von AR/VR-Geräten gesammelten Verhaltens- und biometrischen Daten ihres Opfers nutzen, um einen gefälschten Avatar zu erstellen, der sich identisch zum Original verhält und von der echten Person nicht zu unterscheiden ist. Eine andere Methode nutzt Bluetooth-Schwachstellen aus, um fremde Wearables in eine bestehende Bluetooth-Kopplung einzufügen. Mit dem gefälschten Avatar könnten Kriminelle andere Nutzer täuschen, sich Zugang zu weiteren Diensten verschaffen, Betrug und andere Verbrechen begehen – und der ursprüngliche Avatar-Besitzer riskiert, dafür zur Rechenschaft gezogen zu werden.
Datenschutz und Datensicherheit
Internetnutzer neigen dazu, aus Bequemlichkeit bei der Sicherheit Abstriche zu machen. Das weit verbreitete Passwort-Recycling ist nur ein Beispiel dafür. Im Metaverse wird es wesentlich mehr Benutzerinteraktionen und Informationsaustausch geben. Datenschutzmaßnahmen müssen deshalb unauffällig und zuverlässig im Hintergrund funktionieren, ohne die Benutzererfahrung zu beeinträchtigen.
Daten werden unter anderem über soziale Medien, Online-Spiele, VR- und AR-Anwendungen gesammelt, aber auch durch Sensoren, Kameras und andere Geräte. Sie können auf vielfältige Weise gespeichert sein; auf Servern, in Datenbanken, auf Edge-, Fog- oder Cloud-Computing-Plattformen, auf Computern, Smartphones, Tablets, AR/VR-Headsets und anderen Endgeräten. Das ergibt zahlreiche Möglichkeiten für Hacker, auf diese Daten zuzugreifen und sie für kriminelle Zwecke zu missbrauchen.
Datenschutz und Datensicherheit sind zwei der kritischsten Themen, die nicht vernachlässigt werden dürfen. Private Nutzerinformationen einschließlich medizinischer und finanzieller Daten, Standortdaten, physiologischer Signale, biometrischer Daten, Lifestyle-Informationen und vieles mehr sind während der Datenerfassung, -verarbeitung, -übertragung und -speicherung bei der Navigation und Interaktion im Metaverse gefährdet.
Dieses Risiko bleibt auch nach Verlassen des Metaverse bestehen. Kriminelle könnten die von Wearables und Nutzern oder Avataren erzeugten Daten manipulieren, klonen, umleiten oder stehlen, etwa um Avatare, digitale Vermögenswerte, aber auch physische Endpunkte zu kompromittieren. Gefälschte Daten wiederum – ob Text, Bild, Video, Audio oder andere Formate – können Betrugs- und Erpressungsversuchen, Social Engineering sowie der Verbreitung von Fake News dienen.
Eindringen in virtuelle Welten
Ein Spezialfall ist der Datenklau über komplexe VR-Systeme, die für die Interaktion mit dem Avatar umfassende Benutzerprofile erstellen: mit mehreren Dimensionen und hoher Granularität für Gesichtsausdrücke, Augen-/Handbewegungen, Sprache, biometrische Merkmale und sogar Gehirnwellenmuster. Fortschrittliche Mensch-Computer-Schnittstellen erlauben die Echtzeitanalyse der Verhaltensdynamik und die 3D-Positionsverfolgung. Bewegungssensoren und eingebaute Kameras können die Bewegung von Augen und Kopf verfolgen, sich alle Objekte und Personen in einem Raum merken und deren Positionen mit Submillimeter-Präzision überwachen.
Hacker, die in ein solches Setup eindringen, können umfassende Informationen über ihr Opfer und seine Umgebung sammeln und diese für Angriffe in der realen Welt verwenden. Ein noch relativ simples Beispiel ist dabei das Verfolgen von Augen- und Fingerbewegungen bei der Eingabe von Passwörtern.
Stalking im Metaverse
Das Verhalten, die Vorlieben und Aktivitäten von Avataren spiegeln oft die Eigenschaften ihrer Besitzer wider. Zeichnet ein Angreifer den digitalen Fußabdruck eines Avatars auf, verletzt er damit nicht nur die Privatsphäre seines Opfers. In einem virtuellen Stalking- oder Spionageangriff könnte er dem Avatar folgen und die digitalen Aktivitäten des Nutzers erfassen, um spätere Social-Engineering-Angriffe zu erleichtern oder die Daten an Dritte weiterzuverkaufen.
Ein neuer Ansatz für die Cybersicherheit
Kurz, der Einfallsreichtum der Angreifer hat keine Grenzen; das Metaverse mit seinen Unmengen an Daten und vernetzten Systemen wird ihnen eine noch größere Spielwiese bieten. Nutzer sind meist nicht in der Lage, Bedrohungen in Echtzeit zu erkennen, und bestehende Cybersicherheitslösungen haben schon bisher beim Schutz vor Viren- oder Ransomware-Angriffen immer wieder versagt. Diese Lücken müssen künftig mit nicht-traditionellen Lösungen geschlossen werden, etwa durch den Einsatz von hardwarebasierten Sicherheitslösungen mit künstlicher Intelligenz (KI).
Solche Lösungen erkennen unbefugte Lese-, Schreib-, Lösch- und Bearbeitungsversuche auf Servern, Endgeräten, AR/VR-Ausrüstung und Speichermedien und schützen Daten sowohl in Bewegung als auch im Ruhezustand. Je nach den Sicherheitseinstellungen werden die gefährdeten Daten sofort gelöscht oder für jeden Nutzer unzugänglich gemacht, egal ob autorisiert oder nicht. So lassen sich Versuche, Daten zu exfiltrieren, vereiteln und Angriffe verhindern.
Wo Nutzer und Software eine Bedrohung nicht aufhalten können, bildet ein solcher Hardwareschutz die letzte Verteidigungslinie. Denn je mehr Angriffsmöglichkeiten es gibt, desto vielschichtiger muss die Abwehr sein.
Über den Autor: Thomas Schwab ist Business Development Manager für X-PHY. Er hat viel Erfahrung im Halbleitervertrieb gesammelt und unter anderem als Applikationsingenieur im Bereich Microcontroller und Speicher gearbeitet. Seit vier Jahren kümmert er sich um die Betreuung der Kunden (technisch und kommerziell) im Bereich Speichersysteme bei Neumüller Elektronik GmbH, dem Distributor des X-PHY in Deutschland.
(ID:48967969)
:quality(80)/p7i.vogel.de/wcms/73/14/731463ec8ad60e2568433345a411c41d/0110815306.jpeg "Das Metaverse lässt sich sicher gestalten, wenn Cybersecurity ein integraler Bestandteil des Systems von Menschen, Prozessen und Technologien wird. (Bild: ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/58/f758afe1546f1205243ad32549a2e54f/0112175009.jpeg "Die Grenzen zwischen virtueller und tatsächlicher Realität verschwimmen im Metaverse und es drohen neue Gefahren. (Bild: wacomka - stock.adobe.com)")