Angetestet: Der Avira Identity Scanner

– Anzeige – Der Sicherheitsanbieter Avira hat sein Angebot um ein neues Produkt, den Avira Identity Scanner erweitert. Dieser soll eine stetige Kontrolle persönlicher Information gewährleisten, die durch Hacks und Datenlecks im Internet auftauchen. Ich habe mir das Produkt einmal angesehen.


Anzeige

Hinweis: Der Beitrag konnte nur entstehen, weil die Avira GmbH mir sowohl eine Jahreslizenz für das Produkt bereitgestellt, als auch den Aufwand zum Testen des Identity Scanners bezahlt hat. Es handelt sich also um einen sponsored Post (Werbung).

Hintergrundinformationen zum Thema

Hier im Blog befasse ich mich ja häufiger mit Sicherheitsthemen. Datenlecks wie bei den Unternehmen Equifax oder Swisscom zeigen, wie schnell eine Vielzahl an
personenbezogener Informationen in die Hände Dritter gelangen  können. Vom Equifax-Hack waren ca. 45 % der US-Bürger (143 Millionen) betroffen. Das Datenleck bei der Swisscom wurde im Februar 2018 bekannt. Unbekannte hatten sich unberechtigten Zugriff auf Kundennamen, Adressen, Telefonnummern und Geburtsdaten verschafft.
Dies betraf etwa 10 Prozent der Schweizer Bevölkerung.

In  einer  kürzlich  von  Avira durchgeführten  Umfrage  in  Deutschland,  Österreich  und  der  Schweiz, empfanden lediglich 55 Prozent der Teilnehmer, dass Online-Tracking von persönlichen Informationen, des Surfverhaltens oder der verwendeten Apps sowie Geolokalisierung ein Eingriff in ihr Privatleben sei. Außerdem zeigte sich, dass 53 Prozent der Befragten schon einmal ihren vollständigen Namen und ihre E-Mail-Adresse direkt in ein Online-Formular eingegeben haben, gefolgt von Privatanschrift (48 Prozent),
Geburtsdatum (46 Prozent) und Telefonnummer (37 Prozent). Laut einer Ofcom-Studie waren 12 Prozent der Deutschen im  Jahr 2017 von unautorisierten  Zugriffen auf  ihre  E-Mail-,  Social-Media-  oder Bankkonten betroffen, wobei 7 Prozent Opfer von Identitätsdiebstahl wurden.

Eine von mir für Online-Konten seit Jahren verwendete E-Mail-Adresse wurde durch Hacks gleich mehrfach bei verschiedenen Online-Anbietern entwendet. Ich prüfe zwar gelegentlich, ob und welche Daten von mir durch Datenlecks im Internet auftauchen. Aber dies erfordert Aufwand und Sachkenntnis, was nicht jeder Nutzer bzw. jede Nutzerin leisten kann und will. Ideal wäre es, wenn man einer Software bzw. einem Dienst die Kontrolle der eigenen digitalen Identität überlassen könnte. Diese soll Alarm schlagen, wenn Daten im Dark-Net oder öffentlich im Internet auftauchen, die dort eher nichts zu suchen haben.


Anzeige

Von daher fand ich es spannend, als ich von Avira angefragt wurde, ob ich den Identity Scanner testen wolle. Die neue Software, so verspricht es der Hersteller, bietet eine  stetige Kontrolle persönlicher Daten im Web. Dazu überwacht der Avira Identity Scanner neben wichtigen Dokumenten und Kenndaten auch diverse persönliche und  finanzielle  Informationen des Nutzers und geht damit weit über das hinaus, was verschiedene
kostenlose Produkte auf dem Markt leisten. Der Scanner bietet Schutz rund um die Uhr,  indem er sowohl das sichtbare Web als auch das Dark Web scannt. Ziel ist es, möglichen Sicherheitsverletzungen auf die Spur zu kommen. Findet der Scanner unrechtmäßig  veröffentlichte Informationen, kann der Scanner den Nutzer sofort per E-Mail oder SMS informieren.

Die Software schützt also die Identität des Anwenders, indem sie potenzielle Cyber-Risiken erkennt, die für Identitätsdiebstahl oder  Online-Betrug ausgenutzt werden könnten. Um kompromittierte Daten schnell und effizient für Dritte unzugänglich zu
machen, geben qualifizierte Mitarbeiter des Avira Teams Usern bei Bedarf hilfreiche Handlungsempfehlungen, so der Hersteller.

Wo gibt es den Identity Scanner, was kostet er?

Der Avira Identity Scanner lässt sich über den Shop des Unternehmens über das Menü Shop –> Privatanwender –> auf der Seite Avira Identity Scanner ordern. Einfach nach der Auswahl auf die Schaltfläche Preise und Lizenzen ansehen klicken.

Avira Identity Scanner

Das Unternehmen bietet zur Zeit eine Monatslizenz für 3,95 Euro und eine Jahreslizenz für 39,95 Euro an. Zum Test wurde von mir eine Jahreslizenz verwendet.

Der Shop bietet Zahlungsmethoden wie PayPal, Kreditkarte oder Lastschrift an. Bei meinem Test ist mir aufgefallen, dass es Probleme mit dem Google Chrome 66.0.3359.139 gibt. So brachte die Schaltfläche Andere Zahlungsmethode keine Reaktion. Die benutzte Chrome Erweiterung 'The Great Suspender' hatte ich für den Test der Zahlungsmethode deaktiviert. Ich bin dann zum Firefox 60 gewechselt und konnte die Zahlungsmethoden abrufen.

Was ich an dieser Stelle genial finde: Der Avira Identity Scanner läuft in der Cloud, es braucht also nichts heruntergeladen und installiert zu werden. Ein einfacher Browser auf einem beliebigen Endgerät reicht, um den Avira Identity Scanner zu verwenden.

Registrierung nach dem Kauf erforderlich

Nach dem Kauf des Produkts erhält man per Mail eine Bestellnachricht, in der auch eine Schaltfläche zum Aktivieren des Produkts zu finden ist. Existiert noch kein persönliches Benutzerkonto bei Avira, ist dieses über das Formular Registrieren anzulegen.

Avira Registrierung

Beim Test hatte ich auf dem Smartphone nicht bis zum Ende dieser Nachricht gescrollt und so die Aktivierung versäumt. Als ich später die Webseite idscan.avira.com zum Zugriff auf das Produkt aufrief, wurde mir zwar die Seite mit dem Registrierungs- und Anmeldeformular gezeigt. Wegen der fehlenden Produktaktivierung war die Registrierung nicht möglich. Da ich zudem im Formular zur Registrierung die OAuth-Authentifizierung mittels Facebook zum Test wählte, gab es Folgeprobleme. Denn als ich im Nachgang versuchte, das gekaufte Produkt über die betreffende Schaltfläche in der Bestätigungsmail zu aktivieren, meldete der Browser eine abgelaufene Sitzung.

Abgelaufene Sitzung

Erinnerungsmäßig habe ich mehrere Anläufe in verschiedenen Browsern versucht, bis ich über das Registrierungsformular und eine erneute Anmeldung bei Facebook mein Benutzerkonto bei Avira anlegen konnte. Die Umleitungen zwischen der Facebook-Anmeldeseite und dem Avira-Registrierungsformular scheinen (zumindest in meiner Umgebung) nicht immer reibungslos zu funktionieren. Inzwischen habe ich die testweise eingerichtete Anmeldung über Facebook über die Einstellungen des Facebook-Kontos wieder aufgehoben.

Nach erfolgreicher Registrierung konnte ich die abgefragten Profildaten in den angebotenen Formularen eingeben. Bei der Registrierung fragt Avira übrigens auch das Geburtsdatum ab, welches zur Verifizierung bei Kontakten mit dem Support verwendet wird.

Den Identity Scanner getestet

Nach der erfolgreichen Registrierung und Anmeldung am Benutzerkonto gelangt man im Browser zur Übersichtsseite des Avira Identity Scanner.

Übersichtsseite des Avira Identity Scanner

Auf einen Blick sieht man eventuell erkannte Warnmeldungen. Bei der ersten Anmeldung beziehen sich diese auf die bei der Registrierung des Benutzerkontos angegebene E-Mail-Adresse. In meinem Fall habe ich eine E-Mail-Adresse angegeben, von der ich weiß, dass diese bei Datenlecks mehrfach erbeutet wurde.

  • Über das Burger-Menü in der linken oberen Ecke lässt sich auf diverse Optionen wie beispielsweise das Benutzerprofil zugreifen.
  • Über die auf der Seite angebotenen Schaltflächen prüfen Sie Warnmeldungen oder greifen auf das Support Center mit Tipps und Handlungsempfehlungen zu.
  • Die Schaltfläche Suchdaten ermöglicht es, die eigenen Suchdaten anzusehen und weitere Suchkriterien für den Identity Scanner hinzuzufügen (siehe folgende Abbildung).

Suchdaten verwalten

Der Identity Scanner kann sowohl Finanzdaten (Kreditkarten, IBANs) als auch Dokumente und Ausweise sowie persönliche Angaben, die in der Seite Suchdaten eingetragen sind, bei den Scans berücksichtigen. Nach der Registrierung im Avira Identity Scanner kann der Nutzer folgende Datenkategorien überwachen lassen:

  • Ein Vorname
  • Ein Nachname
  • Zehn Adressen (Straße/Wohnort/Postleitzahl)
  • Zehn E-Mail-Adressen
  • Zehn Telefonnummern
  • Ein Geburtsdatum
  • Zehn Benutzernamen
  • Zehn Kreditkartendaten
  • Zehn Bankkonten
  • Zehn IBAN-Nummern
  • Eine Führerscheinnummer
  • Zwei Reisepassnummern
  • Eine Personalausweisnummer

Dieser Umfang sollte für private Zwecke ausreichen. Per Burger-Menü lässt sich anschließend zur Übersichtsseite oder zu anderen Seiten wechseln. Sobald die betreffenden Informationen bereitgestellt wurden, überwacht die Online-Monitoring-Funktion des Avira Identity Scanner kontinuierlich, ob persönliche Daten des Nutzers im öffentlichen Web oder Dark Web vorliegen. Wird eine Übereinstimmung gefunden, sendet die Software automatisch eine Alarmmeldung per E-Mail oder SMS.

Warnmeldungen Identity Scanners

Wurde der Benutzer alarmiert, kann er die Daten mithilfe der Benutzeroberfläche im Punkt Warnmeldungen prüfen einsehen. In obiger Abbildung habe ich die Detailansicht für eine dieser Warnungen eingeblendet. Der aufgeführte Fall war mir bekannt, da 2013 Webseiten von Adobe gehackt und Benutzerdaten samt Passwort abgezogen wurden.

Auf der betreffenden Webseite werden erste Ratschläge und Handlungsempfehlungen im Umgang mit gemeldeten Problemen aufgezeigt. Bei Bedarf lässt sich die Schaltfläche Zum Support Center anwählen. Dort werden dann gezielte Hinweise gegeben, wie der Nutzer reagieren soll (z.B. bei entwendeten Bankdaten die Bank kontaktieren, bei Ausweisdokumenten die ausstellende Behörde informieren etc.).

Das umfasst auch weiterführende Webseiten wie der Behördenfinder in DACH oder Sperr-Rufnummern für EC- und Kreditkarten bei Banken. Allerdings wird im Support Center nur ein Standardtext angeboten. Bei Bedarf kann man aber den Avira-Support kontaktieren, um sich weitere Informationen und Hilfestellung zum betreffenden Fall geben zu lassen.

Eine Einschätzung zum Produkt

Ich habe den Avira Identity Scanner nach bestimmten Kenndaten von mir suchen lassen und das Produkt einige Stunden getestet. Die Software hinterlässt bei mir einen durchaus positiven Eindruck. Das Produkt dürfte für Benutzer/innen, die sich vor einem Identitätsklau schützen und schnell bei einem auftretenden Datenleck informiert werden möchten, sinnvoll sein.

Ich habe bei einigen Daten eine Gegenprobe mittels Drittanbieterdiensten veranlasst. Erstaunlich war, dass die Treffer nicht deckungsgleich waren. Drittanbieterdienste führten Datenlecks auf, die der Avira Identity Scanner nicht kannte. Umgekehrt listete mir das Avira-Produkt Datenquellen auf, die ich mit anderen Tools nicht gefunden habe. Eine 100 prozentige Abdeckung leistet wohl keines der Produkte.

Etwas ans Rätseln haben mich Warnmeldungen gebracht, die sich auf Seiten beziehen, die ich niemals genutzt habe, geschweige denn, dass ich dort mit den Daten angemeldet war. Beispielweise sind die Seiten Database_USA_Hobbies und memoraleak.com erwähnt. Keine Ahnung, wie die Daten dort hin gelangen – möglicherweise hat sich jemand bei der Mailadresse bei diesem Anbieter vertippt.

Hier hätte ich mir mehr Informationen und ggf. einen Hinweis auf 'falsche Alarme' in der betreffenden Warnseite gewünscht. Sinnvoll könnte auch eine Funktion zur Unterstützung der Kennwortwahl für ein Online-Konto sein. Dort könnte beispielsweise angezeigt werden, ob ein eingegebenes Kennwort bereits in Passwortlisten, die bei Brute-Force-Angriffen verwendet werden, enthalten ist.

Fragen und Antworten

Zur Konfigurierung der Suchfilter muss ich als Benutzer ja sehr sensitive Daten (Konto, Kreditkartendaten etc.) eingeben, wenn ich meine Identitätsinformationen suchen lassen möchte. In diesem Kontext sind bei mir im Rahmen des Produkttests einige Fragen auftaucht, die sich möglicherweise auch der eine oder andere Produktnutzer stellt. Avira hat mir auf diese Fragen die nachfolgenden Antworten geliefert.

Frage: Wie schützt mich AVIRA denn davor, dass diese Daten entwendet und/oder von Dritten eingesehen werden?

Antwort: Avira legt höchsten Wert auf die Sicherheit der eingesetzten Umgebungen. Das Sicherheitskonzept basiert auf einer mehrschichtigen Sicherheitsstrategie, die Datenspeicherung, Datenzugriff und Datenübertragung durch mehrstufige Kontrollen reglementiert. Diese Strategie umfasst folgende Komponenten:

  • Unternehmensspezifische Sicherheitsrichtlinien
  •  Organisatorische Sicherheit
  •  Personelle Sicherheit
  •  Betriebssicherheit
  •  Zugriffskontrolle
  •  Systementwicklung, Wartung und Support
  •  Einhaltung rechtlicher Vorgaben

Avira speichert und verarbeitet alle Kundendaten für Identity Scanner in Deutschland ‒ nach den strengen Vorgaben des deutschen und EU-Datenschutzgesetzes. Beim System- und Prozessdesign kommen Best Practices der Branche zum Einsatz. Das bedeutet, dass wie im Bankensektor die höchste Verschlüsselungsstufe implementiert ist und Vorfälle überwacht werden, um in Echtzeit darauf reagieren zu können.

Im Bereich der Betriebssicherheit sind die Avira Umgebungen mit Malwareschutz, Intrusion Detection, Dateiintegritätsüberwachung, zentralisiertem Log-Management, Schwachstellenmanagement, Netzwerksicherheit, Betriebssystem-Härtung sowie robusten Verfahren zum Umgang mit Sicherheitsvorfällen und Forensik ausgestattet. Alle sensiblen Daten werden mit höchster Verschlüsselung nach Branchenstandards verschlüsselt, beispielsweise mit AES-256, TLS 1.0 oder höher.

Frage: Wie werden die Daten bei Avira gespeichert?

Antwort: Beim Identity Scanner kommt der verschlüsselte Speicher auf Amazon S3 zum Einsatz. Weitere Informationen zu Amazon S3 finden Sie auf dieser Amazon-Seite

Alle Daten werden mittels AES-256-Verschlüsselung auf Amazon S3 gespeichert. Bei der Verschlüsselung mit 256 Bit handelt es sich um einen international anerkannten und eingesetzten Verschlüsselungsstandard mit sehr hoher Sicherheitsrate. Dieser kann selbst mit einem Brute-Force-Angriff nicht geknackt werden. Zusätzlich werden auch alle Austauschverbindungen zwischen System und zwischen Anwendungskomponenten verschlüsselt. Hier kommt beispielsweise bei der Datenübertragung ein SSL Zertifikat zum Einsatz.

Frage: Wie erfolgt die Suche nach den angegebenen Filterkriterien?

Es stellt sich die Frage, ob der Identity Scanner mit den Daten Suchanfragen an Suchmaschinen oder Datenbanken im Internet stellt und wie gewährleistet ist, dass über diesen Weg keine sensitiven Daten abgefangen werden.

Antwort: Um einen sicheren Suchdurchlauf durchzuführen, werden alle im Avira Identity Scanner hinterlegten Klardaten eines Nutzers mittels SHA-256-Funktion in Derivate umgewandelt. Beim Hashing von Kundendaten wird mit einem Verschlüsselungsalgorithmus eine komplett unabhängige Zeichenfolge erzeugt, aus der die Klardaten des Nutzers nicht rekonstruiert werden können.

Die Hashes der Kundendaten werden in einer separaten, entkoppelten Datenbank (Überwachungsdatenbank) gespeichert. In dieser dedizierten Umgebung werden ebenfalls keine Klardaten zum Durchführen von Scanvorgängen nach exponierten Daten gespeichert.

Nachdem die Hashes von den Klardaten entkoppelt wurden, werden die Hashes der Kundendaten aus der Überwachungsdatenbank mithilfe eines Algorithmus mit einer Liste bekannter Risiken, die im Threat Data Lake gehostet wird, verglichen. Der Threat Data Lake enthält die identifizierten und exponierten Daten, die ebenfalls mittels SHA-256 zu Hashes umgewandelt worden sind. Im Rahmen der Überwachung werden dementsprechend nur Hashes mit Hashes verglichen – Klardaten der Nutzer kommen nicht zum Einsatz. Als zusätzlicher Schutzmechanismus werden alle Serverumgebungen, auch diejenigen die nur Hashes enthalten, mittels AES-256-Standard verschlüsselt sowie Scanprotokolle nicht gespeichert.

Wird anschließend eine Übereinstimmung gefunden, wird ein Bericht an die Hauptdatenbank gesendet. In dieser PCI-konformen Umgebung wird schließlich der Hash mit dem Klardatenwert verglichen. Stimmen auch diese Werte miteinander überein, wird der Endnutzer mit einer Alarmmeldung informiert.

Frage: Wer kann bei Avira diese Daten einsehen?

Wenn ich sensitive Daten in mein Profil eintrage, stellt sich die Frage: Haben Avira-Mitarbeiter der Hotline beispielsweise Zugriff auf mein Profil sowie meine Suchkriterien und können die Finanzdaten für Bankkonten oder Kreditkarten eingesehen werden?

Antwort: Das Thema Datenschutz ist Avira generell sehr wichtig. Speziell bei dem Produkt Identity Scanner wird mit Hinblick auf die Vielfalt der sensiblen Daten der Nutzer mit größter Umsicht vorgegangen. Dies beinhaltet unter anderem die Einhaltung der deutschen bzw. europäischen Datenschutzbestimmungen.

Die Infrastruktur besitzt Konformität mit dem vom PCI Security Standards Council regelmäßig herausgegebenen Payment Card Industry Data Security Standard („PCI-DSS") und stellt mit einem gut dokumentierten Programm nachweislich sicher, dass Avira diese Standards kontinuierlich einhalten.

Um Nutzern aber einen bestmöglichen Schutz vor Identitätsdiebstahl zu bieten und auf Nachfragen beim Kundensupport reagieren zu können, müssen einige grundlegende Kundeninformationen wie beispielsweise das oben erwähnte Geburtsdatum dem Kundenservice zugänglich sein.

Andere Daten wie etwa PCI-Daten (sprich Kontodaten, Kreditkarteninformationen etc.) werden maskiert und sind für keinen Avira Mitarbeiter sichtbar. Mitarbeiter, die Zugang zu Informationswerten und persönlichen Daten haben, sind zudem von der elektronischen Übertragung von Informationswerten und Daten über persönliche oder entfernbare Speichermedien ausgeschlossen.

Frage: Welche Vorteile bietet der Identity Scanner gegenüber anderen Diensten?

Antwort: Der Identity Scanner bietet eine Komplettlösung mit einem größeren Leistungsumfang und einem besseren Preis-Leistungs-Verhältnis als andere kostenpflichtige Produkte. Viele auf dem Markt erhältliche Produkte (so auch die meisten kostenfreien Produkte) fokussieren sich auf E-Mail-Adressen und lassen zahlreiche weitere Cyber-Risiken außer Acht. Der Identity Scanner überwacht eine breite Auswahl persönlicher und finanzieller Informationen sowie Daten aus wichtigen Dokumenten und Ausweisen. Die Überwachung all dieser Daten findet nicht einmalig statt sondern kontinuierlich rund um die Uhr.

Nachdem der Nutzer eine Alarmmeldung per E-Mail oder SMS erhalten hat, kann er das Problem mithilfe der Softwarelösung prüfen. Wenn ein Nutzer der Ansicht ist, dass persönliche Informationen unrechtmäßig im Surface Web publiziert wurden, unterstützt ihn die Funktion Online-Cleaner dabei, diese Daten zu entfernen oder zu sperren.

Alternativ kann der Nutzer den Kundenservice kontaktieren, um das potenzielle Problem zu lösen. Anders als ähnliche Lösungen bietet Avira Identity Scanner nicht nur die Dokumentation, sondern auch Unterstützung durch ein Expertenteam.

Frage: Es gibt im AVIRA Identity Scanner Treffer zu Seiten, die dem Nutzer möglicherweise nichts sagen. Was kann der Benutzer dann tun?

Antwort: Die Bandbreite an potenziellen Ursachen für Datenschutzprobleme ist sehr groß. Der Anspruch des Support Centers ist daher, den Nutzern einen ersten Überblick zu verschaffen. Sollte dies nicht weiterhelfen, dann sollten sich Identity Scanner Nutzer direkt mit dem Telefonsupport in Verbindung setzen, um individuelle Nachfragen mit den Avira Experten zu besprechen.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.