In meinem Blogbeitrag „Metaverse – das neue Universe“ – habe ich einige mögliche Sicherheitsrisiken und Probleme skizziert. Ich muss zugeben, das Thema finde ich mega faszinierend, denn die Bedrohungsszenarien sind so vielfältig. Aber wo es Angreifer gibt, gibt es immer wieder schlaue Köpfe die digitale Gegenmaßnahmen entwickeln. Das ist ein faszinierender Aspekt in der IT-Security-Branche, ein stetiger Wettlauf in dem die Gegner auch schon mal die Seiten von gut nah böse, oder umgekehrt, wechseln.
Biometrische Sicherheitsmauer
Ein möglicher Aspekt für die IT-Sicherheit im Metaverse ist die Biometrie. Wenn man mit Virtual Reality (VR)- und Augmented Reality (AR)-Plattformen arbeitet, kann eine biometrische Sperre in die Hardware einbaut werden. Biometrische Daten sind personenbeziehbare oder personenbezogene Informationen zu physischen, physiologischen oder verhaltenstypischen Eigenschaften einer identifizierbaren Person. Diese können die Identifikation sowie Verifikation einer natürlichen Person ermöglichen. Merkmale wie DNA, Gesichtsgeometrie und Fingerabdruck zählen zu den besonderen Kategorien personenbezogener Daten und dürfen in Deutschland nur in Ausnahmefällen verarbeitet werden. Virtual-Reality-Headsets könnten zum Beispiel Iris- oder Retina-Leser enthalten. 
Da für die Erfassung und Auswertung biometrischer Daten in Deutschland die eindeutige Zustimmung der Online-Nutzer grundsätzlich erforderlich ist, setzt dieser Sicherheitsaspekt die Akzeptanz der Nutzer voraus. (Ausnahmen sind beispielsweise die Nutzung biometrischer Daten in der Strafverfolgung – hier gilt natürlich auch das jeweilige Landes-Recht, was wiederum die Frage aufwirft in welchem Rechtsraum sich das Metaverse befindet.) Das würde ich persönlich als fraglich sehen, denn mit der Freigabe von biometrischen Daten besteht die Gefahr, dass diese Daten wiederum missbraucht werden und dementsprechend ein Sicherheitsrisiko darstellen. Ein Angreifer könnte sich Zugang zu gespeicherten biometrischen Daten verschaffen um damit beispielsweise, in der virtuellen Realität, Metaverse-Avatare fälschen oder die Daten für Authentifizierungsvorgänge nutzen.
Blockchain
Cyberkriminelle haben es auf digitale Identitäten und kommerzielle Transaktionen abgesehen. Die Blockchain-Technologie, ein dezentrales Netzwerk, in dem Daten nicht an einem bestimmten Ort gespeichert, sondern über einen Cloud-Dienst verschlüsselt werden, ist die derzeitige Sicherheitslösung für Datensilos im Metaverse. Die jüngsten Blockchain-Angriffe und -Verletzungen zeigen jedoch, dass dieser Weg nicht die gewünschte Datensicherheit im virtuellen Raum bietet.
Staatliche Regulierungen?
Das Metaverse ist eine freie und gesetzlose virtuelle Welt. Regierungen müssten handeln und dem Metaverse Vorschriften und Regeln auferlegen, um den Schutz der Nutzer zu gewährleisten. Ähnlich wie bei anderen Plattformen müssten gesetzliche Regelungen zu virtuellem Diebstahl, wie Phishing-Angriffe, Cyberstalking, Belästigung und mehr aufgestellt werden. Eine riesige Aufgabe, die digitale Welt vor diesen Problemen zu schützen.
Quo vadis Metaverse-Sicherheit?
Eine neue virtuelle Welt, die neue Sicherheitslösungen erfordert, entsteht. Das Metaverse wird sich nicht nur mit den bekannten Cybersecurity-Bedrohungen auseinandersetzen müssen, mit denen Web 2.0-Dienste konfrontiert sind, sondern neue Angriffsvektoren und neue, kreative Bedrohungen entstehen. Das Web 3.0 wird mit Blockchain, Kryptowährungen und dezentraler Datenspeicherung die technischen Grundlagen für das Metaverse liefern, ein neues virtuelles 3D-Universum entsteht sowohl für digitale Begegnungen und Geschäfte als auch den elektronischen Austausch. Immer mehr User experimentieren bereits mit NFTs (Non Fungible Tokens) oder Kryptowährungen.
Eine große Herausforderung liegt in der Erweiterung der Angriffsflächen. Da das Metaverse von AR- und VR-Geräten und der Verbindung zwischen ihnen abhängt, wird man Cyberangriffe sehen, die auf diese neuen Anwendungen und Datensilos ausgerichtet sind.
Endgeräte- und Netzwerksicherheit werden mit der zunehmenden Menge an personenbezogenen Daten erheblich an Bedeutung gewinnen. Dabei müssen diese Funktionen so bereitgestellt werden, dass die Leistung des zugrunde liegenden Netzwerks hoch performant bleibt.
Ich bin sehr gespannt, wie sich Metaverse-Security weiter entwickeln wird, natürlich haben wir bei macmon secure bereits mit den Belden Kollegen begonnen das Thema zu adressieren.
Generell wird das Thema auf vielen Ebenen diskutiert, auf dem Berliner Kommunikationskongress im September bat beispielsweise die globale Kommunikationsagentur Edelman PR dazu einen Workshop an – witzig, bei Edelman PR in Frankfurt habe ich nach dem Studium als Trainee auf einer elektrischen Schreibmaschine meine ersten Pressemeldungen verfasst… was sich in über dreißig Jahren so Alles getan hat…
