content/de-de/images/repository/isc/2021/security-and-privacy-risks-of-ar-and-vr-1.jpg

Was versteht man unter Augmented Reality (AR) und Virtual Reality (VR)?

Augmented Reality (AR) und Virtual Reality (VR) liegen nah beieinander, sind aber nicht dasselbe. In Augmented Reality wird ein reales Bild von der Welt durch digitale Elemente erweitert oder „angereichert“ – visuell, auditiv oder sensorisch. Eines der bekanntesten Beispiele für AR der letzten Jahre war das beliebte Spiel „Pokémon Go“.

Im Gegensatz dazu baut die virtuelle Realität nicht auf der bestehenden Welt auf, sondern schafft eine ganz eigene Cyberumgebung. Eine virtuelle Realität erlebt man in der Regel über eine Schnittstelle, d. h. ein Headset oder eine Brille, statt Inhalten am Bildschirm zu folgen.

Mixed Reality (MR) ist ähnlich wie AR, geht aber noch einen Schritt weiter, indem sie digitale 3D-Inhalte projiziert, die ein Raumgefühl schaffen und veränderbar sind. In MR können Nutzer sowohl mit physischen als auch mit virtuellen Gegenständen und Umgebungen interagieren und spielen – z. B. mit einem virtuellen Ball, der von einem realen Tisch oder einer Wand abprallt.

VR, AR und MR werden unter dem Sammelbegriff Extended Reality (XR) zusammengefasst. Der weltweite Markt für XR-Hardware, -Software und -Dienstleistungen nimmt jedes Jahr zu. Aber gerade der rasante Aufstieg dieser Technologien wirft unter einigen Verbrauchern die Frage auf, wie es um die Sicherheit und Privatsphäre bestellt ist.

Probleme der Augmented Reality bezüglich Sicherheit und Privatsphäre

Bedenken gegen AR

Eine der größten Gefahren der Augmented Reality betrifft den Schutz der Privatsphäre. Die Privatsphäre des Benutzers ist gefährdet, weil die AR-Technologien sehen können, was er tut. AR sammelt sehr viele Informationen darüber, wer der Nutzer ist und was er tut – und das in einem viel größeren Ausmaß als es zum Beispiel Social Media oder andere Formate tun. Das wirft Bedenken und Fragen auf:

  • Wenn sich Hacker Zugang zu einem Gerät verschaffen, ist der potenzielle Verlust an Privatsphäre erheblich.
  • Was machen AR-Unternehmen mit den erfassten Nutzerinformationen und wie schützen sie sie?
  • Wo speichern Unternehmen diese AR-Daten: lokal auf dem Gerät oder in der Cloud? Und wenn die Informationen in der Cloud gespeichert werden: Sind sie dort verschlüsselt?
  • Geben AR-Unternehmen diese Daten an Dritte weiter? Wenn ja: Wie werden sie dort verwendet?

Unzuverlässige Inhalte

AR-Browser machen Augmented Reality-Darstellungen möglich, die Inhalte stammen aber von Drittanbietern und Anwendungen. Da AR relativ neu ist, stellt sich die Frage, wie zuverlässig das ist. Denn die Mechanismen der Erzeugung und Übertragung von authentifizierten Inhalten stecken noch in den Kinderschuhen. Raffinierte Hacker können die AR eines Benutzers durch eine eigene ersetzen und so Menschen in die Irre führen oder falsche Informationen bereitstellen.

Im Cyberspace gibt bereits Möglichkeiten, Inhalte aus authentischen Quellen zu verdrehen, zum Beispiel durch Spoofing, Sniffing und Datenmanipulation.

Social Engineering

Nutzer könnten durch täuschend echte Augmented Reality-Inhalte aufs Glatteis geführt und zum Opfer von Social Engineering-Angriffen werden. So könnten Hacker durch gefälschte Logos oder Anzeigen dem Nutzer eine andere Umgebung vortäuschen und ihn zu Aktionen verleiten, die dem Angreifer nutzen.

Malware

AR-Hacker können schädliche Inhalte in Werbung verstecken. Der ahnungslose Nutzer klickt dann auf Werbeanzeigen, die ihn auf gehackte Webseiten führen oder auf AR-Server, die mit Malware infiziert sind und unzuverlässige visuelle Darstellungen beinhalten – und so die AR-Sicherheit untergraben.

Diebstahl von Netzwerkzugangsdaten

Kriminelle können Netzwerkzugangsdaten von Wearables mit Android als Betriebssystem stehlen. Für Online-Händler, die mit AR und VR angereicherte Einkaufs-Apps verwenden, könnte Hacking eine Cyberbedrohung darstellen. Viele Kunden haben ihre Kartendaten und mobilen Bezahllösungen bereits in ihren Benutzerprofilen hinterlegt. Hacker, die sich darauf Zugriff verschaffen, könnten diese bequeme Form der mobilen Bezahlung nutzen, um in aller Ruhe die Konten leerzuräumen.

Denial-of-Service

Eine weitere mögliche Form des Angriffs auf AR-Sicherheit ist Denial-of-Service. So könnten Anwender, die AR für ihre Arbeit nutzen, zum Beispiel plötzlich vom Informationsstrom abgeschnitten werden, auf den sie angewiesen sind. Vor allem für Mitarbeiter, die diese Technologie für Hilfeleistungen in kritischen Situationen nutzen, könnte das fatale Folgen haben. Zum Beispiel für den Chirurgen, der mit einer AR-Brille arbeitet und plötzlich keinen Zugang mehr zu lebenswichtigen Echtzeitinformationen hat, oder den Fahrer, der ohne Vorwarnung die Straße nicht mehr sieht, weil sich seine AR-Windschutzscheibe in einen schwarzen Bildschirm verwandelt.

„Man-in-the-Middle“-Angriffe

Angreifer auf Netzwerke können die Kommunikation zwischen AR-Browser und -Anbieter, -Kanaleigentümer und den Servern von Drittanbietern abhören. Man-in-the-Middle-Angriffen sind dann ohne Weiteres möglich.

Ransomware

Hacker können sich Zugang zum AR-Gerät eines Nutzers verschaffen und dessen Verhalten und Interaktionen in der AR-Umgebung aufzeichnen. Später können sie mit der Veröffentlichung dieser Aufzeichnungen drohen und ein Lösegeld fordern. Das könnte für Menschen, die nicht möchten, dass ihre Gaming- und anderen AR-Interaktionen öffentlich gemacht werden, sehr unangenehm werden.

Physischer Schaden

Eine der bedeutendsten Schwachstellen für die AR-Sicherheit besteht in der Möglichkeit, AR-Geräten physischen Schaden zuzufügen. Einige Wearables sind widerstandsfähiger als andere, aber jedes Gerät ist physisch angreifbar. Sie funktionsfähig und sicher zu halten – zum Beispiel indem man niemanden mit einem Headset davonlaufen lässt, das leicht verloren gehen oder gestohlen werden kann – ist ein wesentlicher Aspekt.

AR security

Gefahren und Sicherheitsprobleme der virtuellen Realität

VR-Sicherheitsrisiken sind etwas anders gelagert als bei AR, da sich VR in geschlossenen Umgebungen abspielt und keine Interaktion mit der realen physischen Welt stattfindet. Nichtsdestotrotz nehmen VR-Headsets dem Benutzer die Sicht, was gefährlich sein kann, wenn Hacker das Gerät übernehmen. Sie könnten zum Beispiel Inhalte so verändern, dass dem Benutzer schwindlig oder übel wird.

Bedenken gegen VR

Wie bei AR ist auch bei VR die Privatsphäre ein großes Thema. Problematisch erscheinen vor allem die biometrischen Daten, die dabei erfasst werden, wie Iris- oder Retina-Scan, Finger- und Handabdruck, Gesichtsgeometrie und Sprachprofile. Im Folgenden finden Sie einige Beispiele:

  • Finger-Tracking In der virtuellen Welt kann ein Benutzer Handgesten genauso nutzen wie in der realen Welt – zum Beispiel, um einen Code auf einer virtuellen Tastatur einzugeben. Das bedeutet jedoch, dass das System die Eingaben der Finger auf der Tastatur mitschreibt und weitergibt, wenn man beispielsweise eine PIN eintippt. Wenn es einem Angreifer gelingt, an diese Daten zu kommen, kann er die Benutzer-PIN nachvollziehen.
  • Eye-Tracking: Einige VR- und AR-Headsets verfolgen die Augenbewegungen des Nutzers. Diese Daten könnten für schädliche Akteure von zusätzlichem Wert sein. Exakt zu wissen, was ein Benutzer ansieht, könnte einem Angreifer wertvolle Informationen liefern, die er erfassen kann, um die Nutzeraktionen hinterher nachzubilden.

VR- und AR-Tracking-Daten zu anonymisieren ist nahezu unmöglich, weil jeder Mensch ein einzigartiges Bewegungsmuster hat. Anhand von Verhaltens- und biologischen Informationen aus VR-Headsets ist es Forschern gelungen, Benutzer sehr präzise zu identifizieren – was ein echtes Problem darstellt, wenn VR-Systeme gehackt werden.

Ebenso wie Postleitzahlen, IP-Adressen und Sprachprofile sollten VR- und AR-Tracking-Daten als potenzielle personenbezogene Daten betrachtet werden. Schließlich können Dritte anhand dieser Angaben, sei es separat oder in Kombination mit anderen persönlichen oder identifizierenden Daten, einer Person eine Identität zuordnen oder ihre Aktionen nachvollziehen. Daher ist der Schutz der Privatsphäre im Bereich der VR ein hohes Gut.

Ransomware

Angreifer könnten versuchen, Funktionen in VR-Plattformen einzuschleusen, die Benutzer dazu verleiten, persönliche Informationen preiszugeben. Wie bei AR ergeben sich daraus Möglichkeiten für Ransomware-Angriffe, bei denen schädliche Akteure Plattformen sabotieren und das mit einer Lösegeldforderung verknüpfen.

Falsche Identitäten oder „Deepfakes“

Mit lernfähigen Systemen kann man Stimmen und Videos verfälschen und trotzdem täuschend echt aussehen lassen. Gelingt einem Hacker der Zugriff auf die gespeicherten Bewegungsdaten in einem VR-Headset, könnte er damit ein digitales Abbild erschaffen (auch Deepfake genannt) und so die VR-Sicherheit untergraben. Dieses könnte er anschließend im Rahmen eines Social Engineering-Angriffs über das VR-Erlebnis einer anderen Person legen.

Abgesehen von der Cybersicherheit besteht eine der größten Gefahren der virtuellen Realität darin, dass der Benutzer nichts mehr hört und sieht und damit völlig von der Außenwelt abgeschnitten ist. Daher sollte die physische Sicherheit des Benutzers und die Sicherheit seiner Umgebung stets an erster Stelle stehen. Das gilt auch für AR, wo sich die Nutzer jederzeit ihrer Umgebung komplett bewusst bleiben müssen, vor allem je tiefer sie in die virtuelle Umgebung eintauchen.

Weitere kritische Punkte, die im Zusammenhang mit VR gelegentlich genannt werden:

  • Suchtpotenzial
  • Gesundheitliche Auswirkungen, wie Schwindelgefühl, Übelkeit oder Verlust der räumlichen Wahrnehmung (nach längerer Nutzung von VR)
  • Verlust menschlicher Bindungen

Beispiele für AR und VR

Die Einsatzmöglichkeiten von Augmented Reality, Virtual Reality und Mixed Reality sind vielfältig und nehmen ständig zu. Dazu gehören:

  • Gaming – von Ego-Shootern über Strategiespiele bis hin zu Rollenspielen. Das wohl bekannteste AR-Spiel ist Pokémon Go.
  • Profisport – Trainingsprogramme für Amateur- und Profi-Athleten
  • Virtuelle Reisen – virtuelle Ausflüge in Zoos, Safariparks, Kunstmuseen usw., ohne je das Haus zu verlassen
  • Gesundheitswesen – Übungsmöglichkeiten für medizinisches Fachpersonal, z. B. Simulationen für chirurgische Eingriffe
  • Film und Fernsehen – Spektakuläre Einlagen für Filme und Shows

Aber auch in ernsteren Bereichen wird die Technologie bereits eingesetzt. So nutzt die US-Armee beispielsweise digitale Welten, um Soldaten besser auf Missionen vorzubereiten, während die Polizei in China die Technologie einsetzt, um Verdächtige zu identifizieren.

Bedenken hinsichtlich der Privatsphäre von Oculus

Oculus ist eines der bekanntesten VR-Headsets und das Unternehmen, das dahinter steht, gehört zu einer Handvoll von anderen, die die Entwicklung von VR-Spielen im großen Stil vorantreiben. Die Firma wurde 2014 von Facebook übernommen. Im Jahr 2020 kündigte Facebook an, dass in Zukunft die Anmeldung bei den VR-Headsets nur über die Facebook-Zugangsdaten möglich sein werde. In der Folge entbrannte eine heftige Debatte über den Schutz der Privatsphäre bei Oculus.

Kritiker der Entscheidung äußerten Bedenken bezüglich der Art und Weise, wie Facebook Daten sammelt, speichert und nutzt, sowie bezüglich der Möglichkeit von gezielter Werbung und des Zwangs, einen Service nutzen zu müssen, für den man sich andernfalls vielleicht nicht entschieden hätte. Die Ankündigung führte zu einer Welle von Online-Posts von Nutzern, die sich Sorgen um den Datenschutz und die Sicherheit bei Oculus machten und darauf hinwiesen, dass sie ihre Oculus-Headsets nicht mehr verwenden werden. Letzteres wird von Kommentatoren allerdings langfristig nicht als größerer Hinderungsgrund für Oculus angesehen.

Tipps: So gehen Sie bei der Nutzung von VR- und AR-Systemen auf Nummer sicher

Keine allzu persönlichen Daten preisgeben

Geben Sie keine Informationen preis, die zu persönlich sind bzw. deren Angabe nicht absolut erforderlich ist. Ein Konto mit Ihrer E-Mail einzurichten, ist eine Sache, aber Kreditkartendaten sind nur erforderlich, wenn Sie explizit etwas kaufen möchten.

Datenschutzrichtlinien durchlesen

Langatmige Datenschutzrichtlinien oder Geschäftsbedingungen zu überspringen, ist manchmal ganz leicht. Es lohnt sich aber, etwas genauer hinzusehen, um zu erfahren, wie die Betreiber von AR- und VR-Plattformen mit Ihren Daten umgehen und wie sie sie speichern. Werden Ihre Daten zum Beispiel an Dritte weitergegeben? Welche Art von Daten werden erfasst und weitergegeben?

Nutzen Sie ein VPN

Eine Möglichkeit, Ihre Identität und Ihre Privatsphäre im Internet zu schützen, besteht in der Nutzung eines VPN-Services. Wenn Sie sensible Informationen preisgeben müssen, kann ein VPN Ihre Daten vor Missbrauch schützen. Moderne Verschlüsselung und eine geänderte IP-Adresse sorgen dafür, dass Identität und Daten Ihre Privatsache bleiben. Mit der weiteren Entwicklung von AR und VR werden auch VPN-Modelle Schritt halten müssen.

Aktuellste Software für die Firmware

Die Firmware Ihrer VR-Headsets und AR-Wearables sollten Sie immer auf dem neuesten Stand halten. Neben neuen Funktionen und der Verbesserung der vorhandenen Features werden mit Updates auch immer wieder Sicherheitslücken geschlossen.

Schutz durch eine umfassende Antiviren-Software

Grundsätzlich ist der Königsweg zu mehr Sicherheit im Internet eine vorausschauende Cybersicherheitslösung. So bietet zum Beispiel Kaspersky Total Security robusten Schutz vor verschiedenen Online-Bedrohungen, wie Viren, Malware, Ransomware, Spyware, Phishing und weiteren aufkommenden Bedrohungen für die Internetsicherheit.

Verwandte Artikel:

Welche Risiken bestehen für die Sicherheit und Privatsphäre in VR und AR?

Welche Gefahren lauern in Virtual Reality- und Augmented Reality-Systemen? In diesem Artikel erfahren Sie mehr über AR- und VR-Sicherheit und -Privatsphäre, einschließlich Bedenken bezüglich des Datenschutzes bei Oculus.
Kaspersky Logo