Cybersicherheit und das Metaverse: virtuelle und reale Bedrohungen

Der amerikanische Romanautor Neal Stephenson prägte den Begriff Metaverse (Metaversum) in seinem 1992 erschienenen Buch Snow Crash. Seitdem nutzen Futuristen und Cyber-Enthusiasten ihn, um ein breites Spektrum immersiver virtueller Welten zu beschreiben, in denen alles Mögliche passieren kann – angefangen bei täglichen Meetings und Liebesaffären bis hin zu tödlichen Kämpfen und Intrigen auf fernen Planeten.

Diese Idee einer „anderen Welt“ innerhalb unserer Computer begleitet uns nun seit mehr als 60 Jahren. Sie tauchte erstmals 1933 in Science-Fiction-Erzählungen von Laurence Manning auf und erlangte im 1984 veröffentlichten epischen Roman Neuromancer von William Gibson ganz neue Dimensionen. Es folgten Dutzende Arbeiten anderer Schriftsteller, die Filmprojekte wie die düstere Welt in Matrix (1999) und die viel buntere und fröhlichere Kulisse in Ready Player One (2018) inspirierten. Darüber hinaus gibt es eine Reihe erfolgreicher virtueller Spiele wie World of WarcraftMinecraft und Fortnite.

Mittlerweile lässt sich das Metaverse in Augmented Reality (AR) und Virtual Reality (VR) einteilen und auch die Auswahl neuer digitaler Geräte wird immer größer und reicht von einfachen Headsets und tragbaren Geräten bis hin zu Gaming-Stühlen, Anzügen, Walkingpads und Laufbändern mit haptischem Feedback. Allein die Hardware-Umsätze sollen 2022 rund 10 Milliarden USD erreichen. Vor Kurzem prognostizierte außerdem Statista massives Wachstum allein bei Headsets: So sollen bis 2023 mehr als 26 Millionen Geräte verkauft werden. Und dem globalen Marktforschungsinstitut Brainy Insights zufolge wird der weltweite Gesamtumsatz bis 2030 auf knapp 1 Billion USD klettern.

Wie Internet, Metaverse und Business verschmelzen

Die Definition des Metaverse wurde mittlerweile verfeinert und geht nun über dreidimensionale Konstrukte hinaus, in denen echte Menschen – von animierten Avataren dargestellt – virtuelle Welten erkunden und Massively-Multiplayer-Online-Games spielen. Es gibt jetzt Designs für lukrative Marketplaces und interaktive Touren. Hinzu kommt nun auch das „Krypto-Metaverse“, in dem Nutzer Kryptowährungen und eindeutige Token erwerben, mit denen sie sowohl virtuelle als auch reale Dienstleistungen und Produkte kaufen können. Und dabei kratzen wir nur an der Oberfläche dessen, was das Metaverse für die Geschäftswelt zu bieten hat.

Große Namen wie Facebook/Meta Platforms und Microsoft/AltspaceVR tätigen umfassende Investitionen, um die Träume von Nutzern sowie das Versprechen massiver Umsätze zu erfüllen, und kleine wie große Entertainment-Unternehmen und Videospiel-Publisher stehen bereits in den Startlöchern, um frei gewordenen Platz mit Content zu füllen. Laut einem kürzlich erschienenen Artikel von Axios, in dem eine Studie von McKinsey zitiert wird, sollen Investitionen rund um das Metaverse im Jahr 2022 voraussichtlich 120 Milliarden USD erreichen, wobei die Gesamtausgaben bis 2030 auf 5 Billionen USD wachsen werden.

Das Metaversum ist in seiner Entwicklung an einen Punkt angelangt, an dem es komplett abhängig von der Portabilität und Vielseitigkeit des Internets ist. Unterstützt durch das wachsende globale Netzwerk von Computern und Servern, müssen sich die Erbauer der unzähligen AR-/VR-Welten lediglich darauf konzentrieren, eine verlässliche Plattform und atemberaubende Designs zu liefern. Heutige Nutzer bevorzugen möglichst schnelle Verbindungen zum Netzwerk, da Schnelligkeit im Metaverse essenziell ist, um das Risiko der von Gamern so verhassten Lags zu reduzieren. Das alles klingt wie das Paradies auf Erden, oder?

Die Gefahren, die in unseren Träumen lauern

Das Metaverse verschmilzt die Träume von Usern, Content-Erstellern und Medienunternehmen auf aufregende neue Weisen. Fans der neuesten Blockbuster und Serien werden voller Begeisterung die AR-/VR-Welten durchstreifen, die für sie konzipiert wurden. Ambitionierte Designer werden Orte kreieren, in denen unsere Avatare in unglaublichen dreidimensionalen Welten in einer endlosen Zahl von Szenarien miteinander interagieren. Dies ist nicht nur eine neue Dimension in der Internetentwicklung, die an Science-Fiction heranreicht, sondern wird auch die neueste Anlaufstelle für alle sein, die bereitwillig ihr Geld für die entsprechenden Geräte und Services ausgeben möchten.

Und dieser Traum geht weit über das Gaming hinaus. Immer mehr Studenten besuchen interaktive virtuelle Klassenzimmer mit voll immersiven und inspirierenden Vorlesungen und praktischen Einheiten. Das Metaversum bietet auch Platz für geschäftliche Meetings, Mitarbeiterschulungen, Familientreffen, virtuelle Haus/-Wohnungsbesichtigungen, Fashion- und Shoppingtouren sowie Video-Previews zu sämtlichen Urlaubsorten, an denen Kameras installiert sind.

Doch tief im Inneren dieser Traumwelt schlummern bekannte Gefahren. Wir müssen uns mit Themen befassen wie dem Datenschutz und der Gesundheit der Anwender (insbesondere Sucht und missbräuchliche Nutzung). Da die Technologie noch relativ neu ist und es keine standardmäßigen Sicherheitsprotokolle gibt, ist auch das Sicherheitsrisiko entsprechend hoch.

AR/VR ergänzt die ohnehin schon vollgepackte Liste von IoT-Geräten und bildet eine neue Kategorie digitalen Equipments, das Hacker und andere Kriminelle ins Visier nehmen werden.

Erfahren Sie, in welchen Bereichen Metaverse und Cybersicherheit aufeinandertreffen

Wenn Science-Fiction zur Realität wird, sind wir erst einmal fasziniert. Auch wenn es viele Pessimisten gibt, gewinnen dennoch diejenigen, die schon immer an die vielen neuen Möglichkeiten geglaubt haben. Die zahlreichen Einschränkungen, die das Metaverse bisher gebremst haben, wie etwa fehlende Infrastrukturen und Technologien, fallen nach und nach weg. Doch jetzt haben wir eine neue Verantwortung, die enormen Investitionen zu schützen und die Sicherheit aller zu gewährleisten.

Während die Ransomware-Angriffe zwischen Januar und Juni um 23 % zurückgingen, zeigt das Halbjahres-Update für den SonicWall Cyber Threat Report 2022, dass die Angriffe dieses Jahr bereits die Gesamtzahlen für die kompletten Jahre 2017, 2018 und 2019 übertreffen. All diese neuen Geräte, die an das Internet angeschlossen werden, sind anfälliger, als wir denken, und bieten Bedrohungsakteuren neue Angriffsvektoren: Die Malware-Attacken auf IoT-Geräte sind dieses Jahr um mehr als 123 % gestiegen. Ohne zusätzlichen Schutz sind Unternehmen und deren Kunden in Gefahr, Opfer verheerender Cyberangriffe zu werden. Das gilt umso mehr, wenn sich Designer und Hersteller bei ihren Geräten und Services nicht an einheitliche Cybersecurity-Protokolle halten.

Hier ist Ihre Gelegenheit, sich einen Vorsprung zu sichern. Buchen Sie Ihren Platz für die zehnte MINDHUNTER-Folge „Cybersecurity and the Metaverse: Virtual and Real Threats“ (Cybersicherheit und das Metaverse: virtuelle und reale Bedrohungen“ und erfahren Sie von den Experten, wie Sie in der virtuellen und in der realen Welt alle schützen können.

Warum ein sicherer Netzwerkzugriff die Grundlage für 5G ist

Der neueste Mobilfunkstandard 5G setzt neue Maßstäbe in Sachen drahtlose Performance. 5G verbessert nicht nur die Durchsatzgeschwindigkeit, Effizienz und Latenz, sondern unterstützt auch eine enorme Menge an Geräten und gleichzeitigen Verbindungen.

Die softwaredefinierte Architektur von 5G einschließlich 5G-Sicherheit ermöglicht Anwendungsfälle, die davor nicht denkbar waren. Als erste Generation von Mobilfunktechnologien überhaupt wurde 5G von Grund auf mit besonderem Augenmerk auf Virtualisierung und cloudbasierten Technologien entwickelt. Dank cloudbasierter Technologien kann Software jetzt getrennt von spezifischer physischer Hardware mittels Software-defined-Networking (SDN) und Network-Function-Virtualization (NFV) ausgeführt werden.

Die mobile Sicherheit hat sich seit der 4G-Ära signifikant weiterentwickelt. Der heutige 5G-Standard bietet eine Reihe leistungsstarker Sicherheitsfunktionen wie etwa Features zur Benutzerauthentifizierung, Traffic-Verschlüsselung, sicheren Signalübertragung und Privatsphäre der Benutzer. Da es sich hierbei aber um eine neue Technologie handelt, die sich immer noch weiterentwickelt, fehlt für das Konzept der 5G-Sicherheit eine offizielle Definition.

Obwohl sich 5G-Netze noch in der Implementierungs- und Ausbauphase befinden, wittern Cyberkriminelle bereits ihre Chance. Vor allem die Einführung ungetesteter und ungeprüfter 5G-fähiger Produkte und Dienstleistungen bietet ideale Voraussetzungen, um die neue Technologie und Architektur für kriminelle Zwecke auszunutzen.

Mit der zunehmenden Verbreitung von 5G brauchen Unternehmen ein höheres Maß an Netzwerksicherheit und -zuverlässigkeit, um sowohl ihre Nutzer als auch geschäftskritische Anwendungen zu schützen. Im Folgenden finden Sie ein paar Gründe:

  • 5G fördert die digitale Transformation, schafft aber auch neue Chancen für Cyberkriminelle.
  • Die Migration von Anwendungen und Netzwerkfunktionen in die Cloud sowie das Network-Slicing sorgen für neue Angriffsflächen.
  • Durch eine ständig steigende Zahl von Endgeräten sowie die Einführung dezentraler bzw. Remote-Work-Modelle werden die Netzwerkgrenzen täglich neu definiert.
  • Herausforderungen rund um die Netzwerktransparenz und die Sichtbarkeit von Bedrohungen verursachen eine größere Angriffsfläche und schaffen neue Einfallstore für Cyberkriminelle.
  • Diese erweiterte und nicht definierte Sicherheitsgrenze lässt sich schwer in den Griff bekommen und überwachen.

5G und ein sicherer Netzwerkzugriff

Für Sicherheitsteams stellen der Schutz ihres Netzwerks sowie dessen Anpassung an 5G eine wahre Herkulesaufgabe dar. Unter anderem müssen sie die richtigen Richtlinien für Nutzer, Geräte und Anwendungen implementieren. Organisationen sollten hier auf Modelle wie Zero-Trust-Network-Access (ZTNA) setzen. Damit können Sicherheitsteams einen granularen Least-Privilege-Zugriff einrichten sowie die Authentifizierung und Autorisierung jedes Benutzers und jedes Gerätes innerhalb des Netzwerks durchsetzen. Dadurch sinkt die Wahrscheinlichkeit, dass Bedrohungsakteure das Netzwerk infiltrieren, um ein Vielfaches.

ZTNA macht Schluss mit implizitem Vertrauen und prüft jede Zugriffsanfrage. Das ist genau die Art von Sicherheit, die wir künftig brauchen. Ein Zero-Trust-Framework gewährleistet eine umfassende Transparenz und Kontrolle der 5G-Infrastruktur, einschließlich vernetzter Geräte, Netzwerkschnittstellen, Anwendungen und Workloads. In Kombination mit einem transparenten Einblick in Benutzer- und Geräteaktivitäten hilft ein Zero-Trust-Sicherheitsansatz Organisationen dabei, verschiedene Sicherheitsbedrohungen in kürzester Zeit zu identifizieren und Maßnahmen dagegen einzuleiten.

ZTNA lässt sich flexibel an verschiedene Systeme anpassen. Bei einer 5G-Zero-Trust-Architektur handelt es sich um eine durchgängige Architektur – einschließlich Funkzugangsnetz, Transportnetz und Kernnetz –, die mehrere Ebenen umfasst. Die logischen Elemente einer Zero-Trust-Architektur (wie gemäß NIST SP 800-207 definiert) sorgen für die Vertrauenswürdigkeit im Hinblick auf Benutzeridentität und Geräte, eine durchgängige Transparenz sowie eine Kontrolle über jedes Gerät, das über beliebige Cloud-Implementierungsmodelle auf das Netzwerk zugreift. Im Anschluss wird die logische Zero-Trust-Architektur für 5G (gemäß NIST SP 800-207) dargestellt, die von 3GPP-basierten Systemen angewendet werden kann:

This graphic illustrates zero trust architecture (zta) and policy components described in the article.

Die Policy-Engine (PE) und der Policy-Administrator (PA) bilden gemeinsam den Policy-Decision-Point (PDP), der Entscheidungen trifft, die vom Policy-Enforcement-Point (PEP) durchgesetzt werden. Policy-Frameworks werden in 3GPP-basierten Systemen angewendet, um den Zugriff auf Ressourcen in unterschiedlichen Sicherheitsdomänen zu verwalten.

Bei der Implementierung von Zero-Trust-Prinzipien für die 5G-Sicherheit können Organisationen die Sicherheit in vielerlei Hinsicht verbessern:

  • Least-Privilege-Prinzip: Dieses Prinzip ermöglicht einen präzisen kontextbasierten Zugriff auf 5G-Netzwerkfunktionen.
  • Identitätsprüfung: Hier werden alle Nutzer und Geräte definiert, die einen Zugriff auf geschützte Ressourcen benötigen.
  • Netzwerksegmentierung: Sensible Daten und kritische Anwendungen werden durch Netzwerksegmentierung geschützt, wodurch auch Lateral Movement (seitliche Ausbreitung von Bedrohungen) verhindert wird.
  • Sicherheitsrichtlinien: Präzise 5G-Sicherheitsrichtlinien werden für eine granulare Kontrolle über Daten und Anwendungen implementiert.
  • Kontinuierliche Prüfung: Es gibt kein implizites Vertrauen – stattdessen wird jede Phase der digitalen Interaktion kontinuierlich geprüft.
  • Schutz von Cloud-native-Network-Function(CNF)-Workloads: CNF auf Public oder Private Clouds werden während des gesamten Continuous-Integration-/Continuous-Deployment-Lebenszyklus geschützt.
  • Überwachung und Auditing: Sämtliche Interaktionen zwischen Nutzern, Geräten und Netzwerkfunktionen werden auf verschiedenen Ebenen überwacht.

Das Fazit lautet: ZTNA für 5G bietet Unternehmen die Möglichkeit, die Art und Weise, wie Benutzer, Anwendungen und Infrastrukturen gesichert werden, zu überdenken – und sicherzustellen, dass sie auf eine Art und Weise gesichert werden, die für moderne Cloud-, SDN-basierte und Open-Source-Umgebungen skalierbar und nachhaltig ist und gleichzeitig einen reibungsloseren, effizienteren Weg zur digitalen Transformation unterstützt.