Avatar entführt – welche Risiken birgt das Metaverse?

Das Metaverse ist auf dem Vormarsch. Eine virtuelle Realität, die die physische Welt mit der virtuellen und erweiterten Dimension verbindet und so zu einer gemeinsamen Wirklichkeit wird. Mit Avataren, durch die Individuen Teil dieser Welt sind und in dieser ein echtes Leben führen. Diese neue Welt eröffnet neue Chancen in vielerlei Dimensionen: im Alltag bei Arbeit und Freizeit, bei Forschung, Bildung und Wirtschaft. Viele Menschen bekommen so Zugang zu Aktivitäten, die in der physischen Welt nur wenigen Menschen vorbehalten sind. So weit, so gut. 

Doch in all diesen neuen Möglichkeiten stecken auch Risiken, die bislang in den Hintergrund geraten sind. Zum Cyber Security Awareness Monat möchten wir auf diese neuen Bedrohungen aus der virtuellen Realität aufmerksam machen. Die folgende Geschichte soll beispielhaft zeigen, welche Bedrohungen im Metaverse lauern können und wie sich Privatpersonen wie Unternehmen schützen können.

Geiselnahme im Metaverse

Donnerstag, 19 Uhr. Endlich Feierabend. Während ich mein Abendessen zubereite, überlege ich, welchen Ort ich heute erkunden möchte. Mir ist nach Abenteuer. Für 20 Uhr habe ich mich mit Freundinnen für ein Training im virtuellen Sportstudio verabredet. Voller Vorfreude laufe ich ins Wohnzimmer und setze meine VR-Brille auf. Meine Entscheidung ist auf Venezuela gefallen; ein Helikopterflug über die „Angels Falls“. Mit 979 m Höhe zählen sie zu den höchsten freifallenden Wasserfällen der Welt. Aufgrund der abgeschiedenen Lage inmitten des südamerikanischen Dschungels mit undurchdringlichem Dickicht, ist es für mich ein optimaler virtueller Sightseeing Spot. Nach fünfzehn Minuten Flug und atemberaubenden Aufnahmen kehre ich in meine Home Lounge zurück und wähle die Sportanwendung aus. Meine beiden Trainingspartnerinnen sollten in fünf Minuten dazukommen, bis dahin warte ich im Studio und sehe mir die neuen Kursangebote an. 

Plötzlich verfärbt sich der sonst so bunte Raum schwarz-weiß. Ein technischer Bug? Aus der Tür, aus welcher eigentlich die Trainer in das Studio kommen, erscheint eine verpixelte Person mit einem rot leuchtenden Malware-Symbol auf dem Oberkörper. Mein Atem stockt. Ich bekomme Gänsehaut. Ein durchaus gelungener Auftritt für einen Hacker. Die Gestalt kommt langsam auf mich zu und noch bevor sie direkt vor mir steht, kann ich meine Versteinerung lösen und reiße mir mein VR-Headset vom Kopf. Ich atme tief durch und hoffe, dass ich gleich wieder in meiner Lounge auf meiner Startseite starten kann. Mit zitternden Händen setze ich mein Headset wieder auf. Wo bin ich nun gelandet? Graue, massive Felswände und eine Decke voller Spinnenweben. Um mich herum sieht es aus wie in einem Kerker. Es ertönt eine schrille Melodie, wie aus einem Horrorfilm. Mein Puls rast. An der Wand steht in roter Schrift „Überweise uns $10.000 in Bitcoins und wir entlassen Dich wieder in die Freiheit.“ Darunter stehen die Details zur Überweisung.

Fassungslos nehme ich meine VR-Brille ab. Mein Avatar wurde entführt. Ich greife zu meinem Handy und möchte die 110 wählen, aber zögere. Kann mir die Polizei helfen, wenn ich ihnen sage, dass mein Avatar zur Geisel genommen wurde? Sollte ich es zunächst bei der Hotline des IT-Supports der Plattform versuchen? Hektisch schreibe ich meinen Freundinnen eine SMS: „Ich wurde gehackt!! Kann nicht ins Training, versuche Hilfe zu erreichen.“ Nach drei langen Atemzügen klappe ich meinen Laptop auf und recherchiere, wie mein virtuelles Ich, auch ohne die Überweisung an Kriminelle, wieder seine Freiheit erhalten könnte.

Diese fiktive Story ist leider keine Science-Fiction, sondern kann schon bald Realität sein. 

Die Anzahl der Cyberangriffe steigt weiterhin an und die Attacken werden qualitativ immer hochwertiger bzw. zielgerichteter. Auch im Web 3.0 sind Cyberkriminelle bereits sehr aktiv, vor allem im Hacken von sogenannten Non-fungible Tokens (NFTs); digitalen, einzigartigen Assets. Neben dem oben beschriebenen Fall im privaten Umfeld sind ähnliche Szenarien im beruflichen Kontext denkbar. Zahlreiche Unternehmen positionieren sich im Metaverse, derzeit für neuartige Kundenzugänge und innovative Customer Experience. Zunehmend verwenden immer mehr Teams die virtuelle Dimension zur Verbesserung der Kollaboration, aber auch für die Interaktion mit Kunden. Während des Statusmeeting mit dem Kunden unangemeldeten Besuch von einem Cyberkriminellen zu haben, der schlimmstenfalls vorher noch bei vertraulichen Gesprächen mitgehört hat und nun mit der Veröffentlichung der Informationen droht, ist eine äußerst unangenehme Vorstellung.

Rechtzeitig digitale Schutzschilder aufstellen

Derzeit gibt es noch viele ungeklärte Fragen zur Regulierung und Haftung im Kontext der Informationssicherheit im Metaverse. Dennoch und gerade deshalb sollten sich Privatpersonen und Unternehmen frühzeitig schützen. Wir empfehlen, das Prinzip „Zero Trust“ bei der Architektur umzusetzen. Ausgewählte Handlungsfeldern dazu sind hier gelistet: 

  • Sicherheitsmechanismen integrieren – Nach dem Konzept Security by Design muss die Sicherheit der Software und Hardware bereits zu Beginn der Entwicklung berücksichtigt werden.
  • Tests durchführen – Use Cases sowie „Misuse Cases“ sollten in der Entwicklung designt werden und Anwendungen müssen gründlich vor dem Go-live getestet werden.
  • Lücken finden – Schwachstellen müssen proaktiv und regelmäßig gesucht und adressiert werden. 
  • Identitäten schützen – Alle Identitäten, die der natürlichen Personen, ihrer Avatare sowie die der Geräte sollten authentifiziert werden. 
  • Vertraulichkeit bewahren – Sensible Informationen aus Meetings und Service-Anwendungen, wie Pläne zur Produktentwicklung oder Körpermaße des Kunden, müssen gegen Diebstahl sowie Offenlegung geschützt werden.
  • Integrität aufrechterhalten – Produktionsdaten, Kundeninteressen, Transaktionen u.Ä. müssen vor Manipulation geschützt werden.
  • Verfügbarkeit herstellen – Die Systeme müssen hinsichtlich Performance untersucht und optimiert werden, um die kontinuierliche Verfügbarkeit sicherzustellen.
  • Incidents abwehren – Incident Response Pläne müssen entwickelt und Prozesse zur Reaktion auf Incidents vorbereitet werden.

Verschiedene Institutionen haben sich bereits zusammengeschlossen, um an Rahmenwerken und Standards zu arbeiten. Darüber hinaus benötigen wir Definitionen, wie Ethik und Verbraucherschutz durchgesetzt werden können, und Regelungen, wie Strafverfolgung in der virtuellen Welt erfolgt.

Follow us

Contact us

Dr. Silvia Knittl

Dr. Silvia Knittl

Director, Cyber Security & Privacy, PwC Germany

Tel.: +49 151 15480524

 Andrea  Schmitt

Andrea Schmitt

Senior Managerin, PwC Germany

Hide