Datenschutz
Das Metaverse wirft neue Sicherheitsfragen auf
Foto: A. Solano - shutterstock.com
Unternehmen und Behörden bauen bereits virtuelle Welten auf für städtische Dienstleistungen, Meetings und Konferenzen, Community Building und Handel. Sie erstellen auch virtuelle Anwendungen für Reisen, Autoverkäufe, Produktion und Architektur in einem Markt, der laut dem Finanzdienstleister Citi bis 2030 einen Wert von 13 Billionen Dollar und 5 Milliarden Nutzer haben wird.
"Genauso wie das Internet, E-Commerce, soziale Medien, Smartphones und Remote Computing in den vergangenen zwei Jahrzehnten die Art und Weise verändert haben, wie Betriebe arbeiten und ihre Mitarbeiter und Kunden erreichen, experimentieren Unternehmen jetzt mit dem Metaverse, weil sie dies als eine Erweiterung früherer Transformationen sehen", sagt Cathy Barrera, Gründungsökonom beim Messeveranstalter Prysm Group, der Weiterbildungsprogramme für Führungskräfte zum Metaverse und der Blockchain anbieten will.
Lesetipp: Darkverse – die dunkle Seite des Metaverse
In diesen 3D-Welten tauchen neue Datenschutz- und Sicherheitsfragen auf. Im Metaverse mit ähnlichen Risiken zu rechnen wie in der heutigen Internetwelt, zum Beispiel Phishing, Pharming, Imitation, Desinformation und Ransomware. Es wird sich auch auf die Privatsphäre der Verbraucher auswirken, da die Menge an umfangreichen und detaillierten Daten, die von diesen Anwendungen gesammelt werden, ein lockendes Ziel für Kriminelle und Vermarkter darstellen. "Metaverse-Technologien werden die Erfassung von viel mehr Daten erfordern, als das bereits in den sozialen Medien der Fall ist. Zum Beispiel wie Sie Ihren Kopf drehen und wohin Ihre Augen gerichtet sind, nur um die Anzeigen richtig zu positionieren", erklärt Barerra.
Neue Grenzen der Täuschung
Social Engineering ist im heutigen Internet 2.0 bereits weit verbreitet. Ransomware-Betreiber nutzen einen guten Aufhänger, um Menschen dazu zu bringen, auf Links in E-Mails zu klicken. Bösartige Anzeigen werden über soziale Medien und sogar über Videokonferenz- und Chat-Plattformen geschaltet.
Stellen Sie sich nun das 3D-Internet vor, in dem ein Avatar, der wie ein Chef aussieht, einen Buchhalter bittet, Geld zu überweisen, eine Metaverse-Version des heutigen BEC-Betrugs (Business Email Compromise). Betrüger könnten auch Benutzerkonten hacken, um in Räume für Forschung und Entwicklung einzudringen und geistiges Eigentum abzuschöpfen.
Einige dieser Fälle sind bereits bekannt. Arkose Labs, ein Unternehmen für Online-Kontosicherheit und Betrugsprävention, berichtete, dass im Jahr 2021 Metaverse-Unternehmen 80 Prozent mehr Bot-Attacken und 40 Prozent mehr menschlichen Angriffen ausgesetzt sind als andere Online-Unternehmen. Diese Angriffe wurden entwickelt, um herkömmliche Verteidigungsmaßnahmen zu umgehen, und konzentrierten sich auf digitalen Identitätsdiebstahl. Motive dafür sind Mikrotransaktionsbetrug, Spam, Betrug und unlauterer Wettbewerb.
Sicherheitsexperten verweisen zwar auf Authentifizierungs- und Zugangskontrollen zum Schutz vor Betrug und Angriffen im Metaverse. Doch die wachsende Zahl von Plattformen, um auf das Metaverse zuzugreifen, verfügen möglicherweise nicht über sichere Mechanismen zur Erkennung von Betrug, sagt Paul Carlisle Kletchka, Analyst für Governance, Risiko und Compliance (GRC) bei Lynx Technology Partners, einem Anbieter von GRC-Dienstleistungen.
"Eine der größten Schwachstellen sind fehlende standardisierte Sicherheitsprotokolle oder -mechanismen auf den verschiedenen Plattformen", so der Sicherheitsexperte. Dadurch hönnten Cyberkriminelle das Metaverse für Identitätsdiebstahl, Betrug oder böswillige Angriffe auf andere Anwender nutzen. Da Programme und Dateien aus dem Metaverse heruntergeladen werden könnten, enthalten diese laut Kletchka möglicherweise Malware.
Dadurch könnte das Gerät eines Nutzers infiziert werden und ein Angreifer in die Systeme des Unternehmens eindringen. "Eine weitere Bedrohung ist Piraterie: Da sich das Metaverse noch in einem frühen Entwicklungsstadium befindet, gibt es keine Gesetze oder Vorschriften, die speziell für das Metaverse geschrieben wurden, um das geistige Eigentum in dieser digitalen Umgebung zu schützen," Resümiert er.
Mehr gesammelte Daten, die geschützt werden müssen
Unternehmen müssen sich gemeinsam mit ihren CISOs mit diesen neuen Risiken für ihre Geschäfts- und Nutzerdaten auseinandersetzen, sagt Michael Brümmer, Leiter der Abteilung Global Data Breach Resolution bei Experian. Er prognostiziert, dass das Wachstum des Metaverse neue Angriffsflächen eröffnen wird. Der Security-Experte verweist auch auf fehlende Standards und Vorschriften und vergleicht das neue Medium mit dem "Wilden Westen". Zumindest sei die Authentifizierung zur Anmeldung auf den Plattformen zu schwach.
Brümmer, der die jährliche Experian-Prognose für 2023 zum Thema Datenschutzverletzungen verfasst hat, verweist auch mangelnde Durchsetzungsmechanismen für Datenschutzverletzungen, "die Hand in Hand mit einem Mangel an Regulierung gehen".
Zudem weist der Datenschutzexperte auf die große Menge an gesammelten Daten hin: "Schauen Sie sich die Oculus-Headsets von Meta oder die Investitionen von Microsoft in Chatbot-Dienste an." Man solle bedenken, welche Daten Headsets und Apps sammeln. Dazu zählen etwa Benutzername, Passwort, Kreditkarte, Geräte-ID, Pulsfrequenz, Bewegungen, womit Sie in einer Stadtumgebung interagieren, und Geolocation-Historie. "All das ist eine Unbekannte in Bezug auf die geltenden Vorschriften," Sagt er.
Der Virtual-Reality-Spezialist Louis Rosenberg erklärt in einem Podcast zum Thema Metaverse , wie diese und andere Daten leicht genutzt werden könnten, um Käufer zu beeinflussen und stärker zu polarisieren, wie es derzeit auf Social-Media-Plattformen passiert. Ein KI-gestützter Marketing-Chatbot, der sich als eine weitere Person in einer virtuellen Welt ausgibt, könnte einem potenziellen Kunden von einem neuen Auto erzählen, das er gekauft hat. Diese Form der räuberischen Täuschung kann viel weiter gehen als bei den heutigen sozialen Plattformen, da intelligente Algorithmen den Sprachstil, die Mimik, den Pulsschlag, den Blutdruck und die Herzfrequenz der Zielperson überwachen, so dass sie "ultimative Überzeugungsarbeit" leisten könnte, so Rosenberg.
3D-Vorschriften werden sich von 2D-Vorschriften unterscheiden
Die meisten der heutigen Metaverse-Erlebnisse sind zwar grafisch und immersiv, aber immer noch zweidimensional. Brümmer von Experian sagt jedoch voraus, dass 2023 das Jahr der Headset-gestützten künstlichen Realität (AR) und virtuellen Realität (VR) sein wird, für die die heutigen Vorschriften nicht gelten werden. Die Anwältin für Datenschutz, Liz Harding, meint jedoch, dass neuere Gesetze wie die DSGVO zumindest einige Richtlinien bieten könnten, insbesondere in globalen Welten.
Harding, die als stellvertretende Vorsitzende für Technologietransaktionen und Datenschutz bei der Anwaltskanzlei Polsinelli tätigt ist, betont, dass es bei Metaverse-Technologien große Fragen bezüglich der Rechtsprechung gibt. "Angenommen, ich bin in den USA und habe einen Kollegen in Deutschland. Wir treffen uns im Metaverse und es werden Daten gesammelt oder das Treffen wird aufgezeichnet. Dann wird es schwer sein zu argumentieren, dass nur die Gesetze des Landes gelten, in dem die Plattform gehostet wird, vor allem, wenn man wissentlich Menschen aus anderen Ländern in diese Interaktionen einbezieht."
Den physischen Standort von Personen nachzuverfolgen und ihre genauen Standortdaten zu erfassen, um internationale Gesetze einzuhalten, könnte zu einem Verstoß führen, so die Rechtsexpertin. Dies gelte vor allem, wenn keine angemessenen Maßnahmen ergriffen werden, um die Gesetze einzuhalten, zum Beispiel eine entsprechende Zustimmung einzuholen, so Harding weiter. "Außerdem stellt sich die Frage, welche Art von Community welche Art von Daten präsentiert. Medizinische, personalbezogene und andere sensible Daten zu erheben, führt zu zusätzlichen Verpflichtungen, um Datenschutzbestimmungen einzuhalten."
Fokus auf aktuelle Best Practices
Gartner prognostiziert, dass das Metaverse bis 2030 einen tiefgreifenden Einfluss auf Mitarbeitererfahrungen haben wird. Das betrifft alle Bereiche von Transaktionen zwischen Mitarbeitern und Kunden, über das Lernen, die Beschaffung, das Mitarbeiter-Onboarding bis hin zu Collaboration-Aktivitäten und virtuellen Büroräumen. Einige davon werden zweckgebundene "Miniversen" sein, während andere große, gemeinsam genutzte Plattformen beinhalten werden. Plattformanbieter wie Meta, Microsoft, Apple, Sony, Amazon Web Services, Google, NVIDIA Omniverse und Epic Games pumpen derzeit Milliarden von Dollar in Plattformen und Headsets, um diesen neuen Markt zu dominieren.
Um Nutzer und Daten in diesem aufstrebenden virtuellen Markt zu schützen, empfiehlt Pablo Lecea, technischer Direktor bei Globant, sich auf die bereits heute verwendeten Best Practices zu konzentrieren. Globant unterstützt Unternehmen bei der Entwicklung von Metaversen und setzt dabei Bedrohungsmodellierung, sichere Entwicklung, Verschlüsselung, Authentifizierung, Verifizierung, sichere Datenerfassung und Speicherrichtlinien ein, die mit den geltenden Gesetzen in Einklang stehen.
In Bezug auf CISO-Bereiche verweist Lecea auf das Future of Privacy Forum in den USA, das sich für strengere Richtlinien und Kontrollen zum Schutz von sensorischen, akustischen und biometrischen Informationen aus VR-Geräten einsetzt. "Dem Future of Privacy Forum zufolge kann eine zwanzigminütige Virtual-Reality-Sitzung mehr als zwei Millionen eindeutige Datenpunkte pro Benutzer erfassen, während eine herkömmliche Social-Media-Sitzung 55.000 Datenpunkte pro Benutzer erfasst", stellt er fest. Diese Daten müssten geschützt werden, daher sei ein Sicherheitsrahmen, um diese Anwendungen zu entwickeln, sehr wichtig. (jm)
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.