Die Sicherheit in Extended-Reality-Umgebungen war bislang ein unterbelichtetes Thema. Während Consumer-VR sich schwächer entwickelt, nutzen Unternehmen XR-Technologie zunehmend für komplexe 3D-Aufgaben: Ingenieure arbeiten mit räumlichen Kartierungen, Luftfahrtkonzerne bauen Trainingsumgebungen auf. Genau für diese professionellen Anwendungen bringt VitalID ein neues Sicherheitskonzept mit sich.
Das System funktioniert nach einem eleganten Prinzip: Die durch Atmung und Herzschlag entstehenden niederfrequenten Vibrationen im Schädel erzeugen charakteristische harmonische Muster. Diese sind aufgrund der individuellen Kopf- und Gesichtsstruktur bei jedem Menschen unterschiedlich. VitalID erfasst diese Signale über die integrierten Bewegungssensoren des XR-Headsets und extrahiert biometrische Merkmale aus den Frequenzverhältnissen. Ein adaptives Filterverfahren reduziert Bewegungsstörungen, während Deep-Learning-Modelle eine kontinuierliche und hochgenaue Authentifizierung während der gesamten XR-Sitzung ermöglichen.
Das Konzept ist nicht völlig neu. Bereits vor einem Jahrzehnt zielte SkullConduct darauf ab, die Benutzeridentifikation in tragbaren Computergeräten durch Schädelleitfähigkeit zu lösen. Das Nymi Band bietet Authentifizierung über EKG-Daten. VitalID unterscheidet sich jedoch durch seinen passiven Ansatz: Keine zusätzliche Hardware, keine explizite Benutzeraktion erforderlich.
Ein Patent für VitalID wurde bereits angemeldet, und die Technologie wird zur Lizenzierung angeboten. Sie kann auf SDK- oder Betriebssystem-Ebene integriert werden. Allerdings sollte VitalID nicht als universelle Lösung missverstanden werden. Ralph Rodriguez, Chef der Sicherheitsfirma Daon, betont, dass die Technologie am besten als kontinuierliches Reauthentifizierungs-Signal innerhalb einer XR-Sitzung verstanden werden sollte — nicht als vollständiger Ersatz für umfassende Identitätssicherheit mit Phishing-Resistenz und Kontowiederherstellungsoptionen.
Rodriguez sieht jedoch großes Potenzial: “In XR-Umgebungen kann sich Authentifizierung nicht auf ein einmaliges Ereignis beim Login beschränken. Wenn Headsets zu Gateways für Unternehmensanwendungen, Finanzdienstleistungen und Gesundheitsdaten werden, verschiebt sich die Frage von ‘Wer hat sich angemeldet?’ zu ‘Ist die gleiche vertrauenswürdige Person noch present?’” Dies trifft den Kern des Problems, das Rutgers mit VitalID adressiert.
Für deutsche Unternehmen, die in professionellen XR-Anwendungen tätig sind, könnte VitalID als Zusatzebene der Sicherheit relevant werden — allerdings als Teil eines umfassenden, mehrschichtigen Authentifizierungssystems.