Wie das Metaverse von Cyberkriminellen genutzt wird

Im Moment ist gerade vielerorts das „Metaverse“ im Entstehen. Die Facebook-Mutter Meta rund um Mark Zuckerberg will hier mitspielen, ebenso wie Microsoft. Künftig soll man im Metaversum arbeiten und etwa Besprechungen abhalten können und alle sehen dabei einen virtuellen Avatar. Es lassen sich auch  virtuelle Güter kaufen, wie etwa Bilder, Immobilien oder Schmuck für die Haare. Experten des Cybersicherheitsunternehmens Trend Micro warnen jetzt davor, dass schon bald ein „Darkverse“ entstehen könnte. Gemeint ist damit, dass sich Cyberkriminalität rasch auf die neuen Plattformen im Netz ausbreiten könnte. 

Alles, das wir aus der bisherigen Online-Welt kennen, könnte bald auch dort passieren: Erpressung sowie Daten- und Identitätsdiebstahl. „Aus Sicht der Cyberkriminellen ist das ein profitables Geschäftsmodell. Mit Kriminalität wird auch dort Geld zu verdienen sein“, erklärt Udo Schneider, Sicherheitsexperte bei Trend Micro der futurezone. 

Betrügereien mit NFTs

„Es gab bereits erfolgreiche Betrugsversuche, bei denen virtuelle Güter gestohlen wurden“, sagt Schneider. Davon betroffen waren etwa Non Fungible Tokens (NFTs). Diese dienen im Metaverse dazu, um Eigentum nachzuweisen. Nutzern wurden NFTs des Bored Ape Yacht Clubs über einen Cyberangriff im Wert von 200 Ethereum (357.000 Dollar) gestohlen. Die Identität eines echten Community-Managers war verwendet worden und so wurden zahlreiche NFT-Besitzer*innen dazu gebracht, auf einen bestimmten Link zu klicken, der angebliche „exklusive Geschenke“ bereitstellen sollte. Doch statt Gratis-Geschenke bedeutete der Link-Klick für die Opfer am Ende ein NFT weniger in ihrer Sammlung. Damit unterschrieben die Nutzer nämlich einen Blankotransfer, mit dem sie ihre NFTs abgetreten hatten. 

Damit wird Online-Betrug, so wie wir ihn bereits von herkömmlichen Online-Plattformen kennen, noch einmal um eine Dimension erweitert. NFTs sind für Cyberkriminelle daher ein beliebtes Ziel. „Natürlich werden Menschen deshalb NFTs verlieren“, sagt auch Otmar Lendl von der Internet-Feuerwehr CERT.at zur futurezone. „Überall, wo Geld ist, ist auch Kriminalität unterwegs“, sagt Lendl.

„Wir haben auch schon einige Ransomware-Gruppen gesehen, die es gezielt auf Ethereum- und Bitcoin-Wallets abgesehen haben. In solchen Fällen werden bestimmte Dateitypen im Verschlüsselungscode bewusst adressiert“, erklärt Schneider. Das führt am Ende dazu, dass Besitzer*innen auf ihre Kryptowallets nicht mehr zugreifen können, weil die Dateien verschlüsselt sind. Der Zugriff zum eigenen Vermögen in Kryptowährungen ist damit gekappt. Das ist insofern problematisch, da Strafverfolgungsbehörden hier relativ wenig Handhabe haben, um weiterzuhelfen.

Polizei ausgesperrt

„Es ist ein Riesenproblem, dass es im digitalen Bereich keinen Wert von Eigentum gibt, den man per Polizei zurückholen kann. Gestohlene Güter zurückzugeben wird im Metaverse richtig schwierig", sagt Lendl. „NFTs wie Bitcoin sind an Wallets gebunden. Wenn das Wallet weg ist, oder ich den Schlüssel verliere oder er gestohlen wird, ist es ganz weg.“

Auch Schneider fürchtet, dass die Polizei es im Metaverse schwer haben wird. Das liegt daran, dass dort nichts öffentlich stattfindet und die Chaträume so programmiert werden können, dass  die Polizei keinen Zutritt hat. „Zutrittslinks können etwa nur einmalig verwendet werden. Dadurch lassen sich virtuelle Räume besser kontrollieren“, so Schneider über die technischen Möglichkeiten, die Polizei von sämtlichen Aktivitäten im Metaverse auszusperren.

Geldwäsche mit überteuerten, virtuellen Gütern

Zum Problem könnte außerdem werden, dass sich im Metaverse leicht Geld waschen lässt: Kriminelle können dort virtuelle Immobilien für überteuertes Geld kaufen und verkaufen. „Wenn ich als Wallet-Besitzer*in keinen Fehler mache, gibt es keine Chance, mich zu erkennen“, erklärt Schneider. Außerdem werde auf das Konzept der „Money Mules“ gesetzt. „Das sind Privatleute, die ihre Wallets für Transaktionen bereitstellen und die dann einen Teil der Summe, die über ihr Wallet läuft, behalten dürfen“, erklärt Schneider. Damit sei es technisch unmöglich, nachzuweisen, woher Transaktionen kommen und wohin sie gehen, denn die Anzahl der Transaktionen ist schlichtweg zu hoch, um alles nachvollziehen zu können. „Strafverfolgungsbehörden müssen hier auf den Dummen hoffen, der seine Wallet ID einfach angibt“, so Schneider.

„Die IT-Security-Branche muss jetzt eingreifen oder riskieren, dass sich vor unserer digitalen Haustür ein neuer Wilder Westen entwickelt, warnt der IT-Experte. In Österreich wurde bislang laut Lendl von CERT.at noch kein konkreter Fall gemeldet, bei dem es um Cybercrime im Metaverse ging. „Ich bin da aber extrem skeptisch, dass die jetzigen Ideen des Metaverse in der beworbenen Form halten werden“, sagt Lendl.