Kritik am Metaverse: Wie sieht es mit der Sicherheit aus?

Das Metaversum wird auf vorhersehbare und unerwartete Weise Einzug in unser Leben halten. Allerlei neue Aktivitäten, Erlebnisse und Abenteuer mit Headsets und Mixed Reality werden uns buchstäblich vor den Kopf stoßen, aber andere Auswirkungen werden schwerer zu erkennen sein. Wie bei den meisten, neuen Technologien werden wir beabsichtigte und unbeabsichtigte Innovationen und Erfahrungen erleben, und die Sicherheitsrisiken werden höher sein, als wir uns das zunächst vorstellen können.

Die Neuartigkeit jeder neuen Technologie bietet einen inhärenten Vorteil für Social Engineering. Im Metaverse könnten bspw. Betrugs- und Phishing-Angriffe auf die eigene Identität von einem vertrauten Gesicht ausgehen – im wahrsten Sinne des Wortes – z. B. von einem Avatar, der sich als ein Arbeitskollege ausgibt, anstatt von einer irreführenden Domain oder E-Mail-Adresse.

Da es keine einheitliche Metaverse-Plattform geben wird (wir sprechen schließlich von vielen, unterschiedlichen Welten, nicht von einer), ist auch die Interoperabilität von entscheidender Bedeutung. Vertrauen kann nicht an der Tür eines virtuellen Konferenzraums enden, sondern muss sich auch auf die Interaktionen und Anwendungen innerhalb des Raums erstrecken. Andernfalls werden Sicherheitsunsicherheiten die Menschen behindern, die sich fragen, was sie in einem neuen virtuellen Raum sagen oder tun sollen, und Lücken schaffen, die ausgenutzt werden können.

Das bringt uns zu der Bedeutung dieser frühen Tage für das Metaverse: Zu Beginn dieser Ära haben wir die einmalige Chance, spezifische, zentrale Sicherheitsgrundsätze zu etablieren, die das Vertrauen und den Seelenfrieden für Metaverse-Erfahrungen fördern. Wenn wir diese Gelegenheit verpassen, werden wir die Einführung von Technologien mit großem Potenzial zur Verbesserung der Zugänglichkeit, der Zusammenarbeit und des Geschäftsverkehrs unnötig behindern.

Was können wir also erwarten – und wie können wir eine vertrauenswürdige Umgebung im Metaverse schaffen?

Es ist wichtig, sich daran zu erinnern, dass sich die Geschichte oft wiederholt. Technologische Veränderungen haben die Angewohnheit, uns zu überrumpeln, während wir wegschauen. Bedenken wir, dass der Immobilienboom in virtuellen Welten nicht neu ist – die begehrten Dot-Com-Domains waren in den 90er Jahren bei Maklern und Spekulanten ebenfalls schon heiß begehrt.

Das frühe World Wide Web würde in der Tat den Handel revolutionieren, aber auf eine Art und Weise, die viele in den 90er Jahren noch nicht absehen konnten. In der Zwischenzeit führte die Leichtigkeit, mit der eine Website eingerichtet werden konnte, auch zu einem Goldrausch des Betrugs mit gefälschten Domains, die sich als Banken, Regierungsbehörden und bekannte Markennamen ausgaben. Diese Probleme bestehen bis zum heutigen Tag.

Wir haben diesen Kreislauf immer wieder erlebt. Als Wi-Fi zum ersten Mal für Laptops verfügbar war, waren die Sicherheitsteams in den Unternehmen skeptisch, was die Nutzung anging. Es dauerte nicht lange, bis man keinen Laptop mehr ohne Wi-Fi kaufen konnte – unabhängig davon, ob das Unternehmen in seinen Sicherheitsrichtlinien Wireless berücksichtigt hatte oder nicht.

Als das iPhone und die Android-Telefone auf den Plan traten, wurden sie zu einem massiven Katalysator für BYOD-Richtlinien (Bring your own device) am Arbeitsplatz. Fast über Nacht wurden persönliche Geräte zu einer neuen Kategorie und Unternehmen mussten aufholen. Wir können logischerweise davon ausgehen, dass die vom Metaverse beeinflussten Funktionen und Erfahrungen in ähnlicher Weise auch in Unternehmen Einzug halten werden.

Der Zeit voraus sein

Wir wissen seit langem, dass Sicherheit ein Mannschaftssport ist und dass kein einzelner Anbieter, kein einzelnes Produkt und keine einzelne Technologie allein für den Schutz sorgen kann. Die heutige Kultur des Informationsaustauschs und der Zusammenarbeit in der Verteidiger-Community ist eine monumentale Leistung, die nicht über Nacht entstanden ist. Heute erkennen ISPs, Cloud-Anbieter, Gerätehersteller – selbst Branchenkonkurrenten in diesen Märkten – die Notwendigkeit, in Sicherheitsfragen zusammenzuarbeiten.

An der Schwelle zu einer neuen technologischen Dimension ist es von entscheidender Bedeutung, sich auf die wichtigsten Prioritäten zu einigen, um das Metaversum für Generationen zu sichern – und Identität, Transparenz und ein anhaltendes Gefühl der Einigkeit unter den Verteidigern werden der Schlüssel sein.

Die Identität ist der erste Angriffspunkt für Eindringlinge

Seit Jahren geben sich Betrüger als abgesetzte Prinzen aus, die ihr Vermögen mit Ihnen teilen wollen, oder als Gewinnspiel-Veranstalter, die verzweifelt versuchen, Sie zu erreichen, doch mit dem Aufkommen von E-Mail und Textnachrichten wurden diese Machenschaften für die digitale Welt neu aufgelegt.

Wie könnte Phishing im Metaverse aussehen? Es wird sich nicht um eine gefälschte E-Mail von der eigenen Bank handeln. Es könnte ein Avatar eines Kassierers in einer virtuellen Banklobby sein, der nach persönlichen Daten fragt. Es könnte sich um eine Person handeln, die sich als der eigene Chef ausgibt und  zu einem Treffen in einem bösartigen, virtuellen Konferenzraum einlädt.

Aus diesem Grund ist das Lösen von Identitätsfragen im Metaverse ein wichtiges Anliegen. Unternehmen müssen sich darauf verlassen können, dass die Einführung von Metaverse-fähigen Anwendungen und Erlebnissen ihre Identitäts- und Zugriffskontrolle nicht aushebelt. Das bedeutet, dass wir die Identität für Unternehmen in dieser neuen Welt handhabbar machen müssen.

Zu den konstruktiven Schritten gehört es, Dinge wie die Multi-Faktor-Authentifizierung (MFA) und die passwortlose Authentifizierung in die Plattformen zu integrieren. Transparenz und Interoperabilität werden entscheidend sein. Im Metaverse wird es viele Anbieter von Plattformen und Erfahrungen geben.