MONOLITH LAW OFFICE+81-3-6262-3248Wochentags 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Krisenmanagement und die Rolle des Anwalts aus dem Informationsleck der Keio Universität lernen

General Corporate

Krisenmanagement und die Rolle des Anwalts aus dem Informationsleck der Keio Universität lernen

Informationslecks durch unbefugten Zugriff treten nicht nur in Unternehmen, sondern auch im Bildungsbereich auf, wobei die Reaktionen etwas anders zu sein scheinen als in Unternehmen.

Insbesondere bei persönlichen Informationen, die hauptsächlich von Studenten und Lehrpersonal betroffen sind, neigt die Veröffentlichung von Informationen im Falle eines Informationslecks dazu, auf einen begrenzten Bereich beschränkt zu sein.

Dennoch gibt es keinen Unterschied zwischen Unternehmen und Schulen in Bezug auf den Schutz persönlicher Informationen, und die Grundlagen des Krisenmanagements bei Informationslecks sind die gleichen.

In diesem Zusammenhang werden wir die Schlüsselpunkte des Krisenmanagementsystems anhand der Reaktion auf den Vorfall des Informationslecks an der Keio University Shonan Fujisawa Campus (im Folgenden “Keio SFC”) aufgrund von unbefugtem Zugriff erläutern.

Überblick über den Informationsleck-Vorfall an der Keio SFC

Die Hauptpunkte des Informationslecks, das durch einen unbefugten Zugriff an der Keio SFC aufgetreten ist, sind wie folgt:

  • Entdeckung des Lecks: Am frühen Morgen des 29. September 2020 (Gregorianischer Kalender) wurde die Möglichkeit eines Informationslecks durch einen unbefugten Zugriff auf das Unterrichtsunterstützungssystem (SFC-SFS) festgestellt.
    ※ Das SFC-SFS ist ein System mit Funktionen wie Massen-E-Mails an Studierende, Download von Studierendenlisten, Registrierung von Berichten und Aufgaben, Annahme von Einreichungen, Registrierung von Noten (Kommentaren), Eingabe und Anzeige von Kommentaren zur Unterrichtsbewertung.
  • Ursache des Lecks: Die IDs und Passwörter von 19 Systemnutzern wurden gestohlen und von Dritten missbraucht, um in das System einzudringen. Die Schwachstelle des SFC-SFS wird als Hauptursache angesehen.
  • Umfang des Lecks: Persönliche Informationen von Studierenden und Mitarbeitern, die vom Shonan Fujisawa Campus verwaltet wurden.
  • Inhalt des Lecks: Neben “Name”, “Adresse”, “Kontoname” und “E-Mail-Adresse” enthalten die durchgesickerten Informationen im Falle von Studierenden “Gesichtsfoto”, “Studentennummer”, “Kreditinformationen”, “Datum der Einschreibung” usw. Im Falle von Mitarbeitern sind “Mitarbeiternummer”, “Position”, “Profil”, “persönliche E-Mail-Daten” usw. enthalten.
  • Anzahl der Lecks: Es besteht die Möglichkeit eines Informationslecks in etwa 33.000 Fällen.

Entdeckung von unbefugtem Zugriff und erste Reaktion

Am 15. September um 17:45 Uhr wurde in der IT-Abteilung der Keio SFC (Keio University Shonan Fujisawa Campus) festgestellt, dass sporadische Schwachstellensuchen auf dem SFC-SFS (Shonan Fujisawa Campus Student Faculty System) durchgeführt wurden.

Weiterhin wurde am Abend des 28. September ein verdächtiger Zugriff auf das SFC-SFS-System entdeckt und untersucht. In den frühen Morgenstunden des 29. September wurde die Möglichkeit eines Informationslecks durch unbefugten Zugriff festgestellt.

Die Keio SFC hat am Tag nach der Bestätigung der Schwachstellensuche, die ein Vorzeichen für einen unbefugten Zugriff ist, die folgenden ersten Reaktionen eingeleitet:

  • Aufforderung zur Änderung des Passworts aller Benutzer (16. und 30. September)
  • Kontinuierliche Überwachung aller Authentifizierungsstellen und Authentifizierungsprotokolle (ab dem 16. September)
  • Einschränkung des Logins zum gemeinsamen Server von außerhalb der Universität auf die öffentliche Schlüsselauthentifizierung (16. September)
  • Stilllegung des Webdienstes, bei dem eine Schwachstelle festgestellt wurde, und Reparatur der Schwachstelle [in Bearbeitung] (nach dem 16. September, SFC-SFS am 29. September)
  • Stilllegung des SFC-SFS-Systems (29. September)

Über die erste Reaktion der Keio SFC

Im Falle der Entdeckung eines unbefugten Zugriffs ist es üblich, ein Krisenreaktionsteam einzurichten und die erste Reaktion zu leiten. In diesem Fall scheint die IT-Abteilung unter der Leitung von Herrn Kunio, dem ständigen Direktor der Keio Gijuku und dem obersten Informations- und Sicherheitsbeauftragten, als Krisenreaktionsteam fungiert zu haben.

Wichtig bei der ersten Reaktion ist es, “Informationen zu isolieren”, “das Netzwerk zu blockieren” und “den Dienst zu stoppen”, um eine Ausweitung des Schadens und das Auftreten von Sekundärschäden zu verhindern. Im Falle der Keio SFC wird jedoch aufgrund der Tatsache, dass die Benutzer des Systems nicht unbegrenzt sind, sondern auf Studenten und Mitarbeiter beschränkt sind, die Änderung des Passworts und die Einschränkung der Anmeldemethode priorisiert.

Es ist jedoch zu sagen, dass es eine angemessene Krisenreaktion war, dass sie sofort nach der Bestätigung des Vorzeichens eines unbefugten Zugriffs gehandelt haben und dass sie das SFC-SFS-System am 29. September, als die Möglichkeit eines Informationslecks festgestellt wurde, stillgelegt haben.

Ein Punkt, der in Bezug auf die erste Reaktion der Keio SFC von Interesse ist, ist, ob sie nach der Durchführung von Beweissicherungsmaßnahmen gegen den kriminellen unbefugten Zugriff Berichte an Aufsichtsbehörden oder die Polizei eingereicht haben. Dies kann jedoch nicht bestätigt werden, da es keine Beschreibungen in Pressemitteilungen oder Medienberichten gibt.

Über die Benachrichtigung der Beteiligten

Die Benachrichtigung der Studenten und Mitarbeiter der Keio SFC erfolgte in Form von Geschäftskommunikations-E-Mails wie folgt, und es wird angenommen, dass die erste E-Mail, die auf das Leck von persönlichen Informationen hinwies, die vom 30. September war.

Am 29. September wurde den Mitarbeitern der Keio SFC mitgeteilt, dass aufgrund eines “schwerwiegenden Problems” das SFC-SFS gestoppt wurde.

Am 30. September wurde allen Benutzern des SFC-SFS aufgrund dieses Problems aufgefordert, ihr Passwort zu ändern, da die Möglichkeit besteht, dass “Benutzerkontoinformationen” durchgesickert sind.

Des Weiteren wurde den Mitarbeitern mitgeteilt, dass aufgrund der Stilllegung des SFC-SFS die Auswahl der Studierenden und die Kommunikation mit den Studierenden nicht wie geplant durchgeführt werden können und daher für eine bestimmte Zeit der Unterricht ausgesetzt wird.

J-CAST News, die diese Informationen aufgegriffen hat, berichtete am selben Tag in einem Artikel mit dem Titel “Schwerwiegendes Problem mit dem Unterrichtssystem an der Keio SFC, Beginn des Herbstsemesters eine Woche verspätet”, und das Leck von “Benutzerkontoinformationen” wurde öffentlich bekannt.

Am 1. Oktober wurde auf der Website der Keio SFC den Studenten mitgeteilt, dass das SFC-SFS am 29. September aufgrund der Möglichkeit eines unbefugten Zugriffs gestoppt wurde und dass der Unterricht vom 1. bis zum 7. Oktober aufgrund dieser Auswirkungen ausgesetzt wird. (Es gibt keine Angaben zum Leck von persönlichen Informationen)

Pressemitteilung nach Aufdeckung von Informationslecks

Die erste öffentliche Bekanntgabe eines Informationslecks durch unbefugten Zugriff erfolgte am 10. November auf unserer Webseite.

In unserem Informationssystem des Shonan Fujisawa Campus (SFC-CNS) und dem Unterrichtsunterstützungssystem (SFC-SFS) wurden die IDs und Passwörter von 19 Nutzern (Lehrpersonal) auf irgendeine Weise gestohlen. Es wurde festgestellt, dass es möglich ist, dass persönliche Informationen der Nutzer durch einen Angriff, der die Schwachstellen des Unterrichtsunterstützungssystems (SFC-SFS) ausnutzt, und durch unbefugten Zugriff von außen mit diesen gestohlenen Daten durchgesickert sind. Wir entschuldigen uns zutiefst für die Unannehmlichkeiten und Sorgen, die diese Situation verursacht hat. Bis jetzt wurden keine sekundären Schäden festgestellt.

Keio Universität “Informationen zum Informationsleck durch unbefugten Zugriff auf SFC-CNS und SFC-SFS”[ja]

In dieser Pressemitteilung wurden auch detaillierte Informationen zu den folgenden Punkten bereitgestellt:

  • Inhalt der möglicherweise durchgesickerten persönlichen Informationen
  • Umstände, unter denen das Leck entdeckt wurde
  • Ursache des Lecks
  • Maßnahmen nach der Entdeckung
  • Aktueller Stand
  • Maßnahmen zur Verhinderung von Wiederholungen

Die oben genannten Punkte decken fast alle notwendigen Elemente für die Veröffentlichung von Informationen über Informationslecks ab.

Über die Pressemitteilung der Keio SFC

Zeitpunkt der Pressemitteilung

Eigentlich hätte die Keio SFC die Information selbst zuerst veröffentlichen sollen, aber die Tatsache, dass sie dies erst 41 Tage nach der Berichterstattung von J-CAST News getan hat, kann nur als verspätet bezeichnet werden.

Denn bei einem Informationsleck ist es notwendig, die betroffene Person schnell zu informieren, um sekundäre Schäden zu verhindern.

Allerdings, wenn sie bei der Aufforderung zur Passwortänderung am 30. September die spezifischen Details der “Nutzerkontoinformationen” bekannt gegeben haben, gibt es kein Problem.

Aufmerksamkeit auf Betrug und Belästigung

In der Pressemitteilung nach Aufdeckung des Informationslecks muss die Tatsache des aufgetretenen Informationslecks öffentlich gemacht werden. Wenn persönliche Informationen durchgesickert sind, muss die betroffene Person informiert und um Entschuldigung gebeten werden, und es muss vor Betrug und Belästigung gewarnt werden.

Selbst wenn Informationen, die innerhalb eines geschlossenen Campus bleiben sollten, an die Außenwelt durchsickern, besteht die Möglichkeit, dass sie missbraucht werden. Auch in diesem Fall ist eine Warnung vor Betrug und Belästigung notwendig.

Das Maßnahmenzentrum im Zentrum der Krisenbewältigung

Die Keio SFC beschreibt in ihrer Pressemitteilung über “Maßnahmen zur Wiederholungsverhinderung” das Maßnahmenzentrum wie folgt:

Die Keio Universität wird angesichts dieses Vorfalls von unerlaubtem Zugriff umgehend Maßnahmen zur Wiederholungsverhinderung ergreifen, wie die Überprüfung und Verbesserung der Sicherheit von Webanwendungen und Systemen im gesamten Universitätsbereich, die Überarbeitung des Umgangs mit personenbezogenen Daten zum Schutz dieser Daten usw. Darüber hinaus haben wir am 1. November 2020 (2020) ein CSIRT (Computer Security Incident Response Team) in der Universität eingerichtet, um eine umfassende Reaktion auf Cybersicherheit zu ermöglichen und die Sicherheit im gesamten Universitätsbereich zu stärken, während wir mit externen Fachorganisationen zusammenarbeiten.

Keio Universität “Über den Informationsverlust durch unerlaubten Zugriff auf SFC-CNS und SFC-SFS”[ja]

Die erste Reaktion auf diesen Vorfall scheint von der internen Organisation der Keio SFC übernommen worden zu sein, die die Rolle des Maßnahmenzentrums übernommen hat. Das am 1. November 2020 eingerichtete “CSIRT” ist jedoch eine Organisation, die dem Maßnahmenzentrum entspricht, das im Zentrum der Krisenbewältigung steht, wenn in Zukunft ein Vorfall auftritt und die Sicherheit gestärkt wird.

Die Mitglieder des CSIRT sind nicht bekannt, aber neben den Sicherheitsmaßnahmen für das System ist es notwendig, gleichzeitig Kontakt mit den betroffenen Nutzern aufzunehmen, Berichte an Aufsichtsbehörden und die Polizei zu erstatten, mit den Medien umzugehen und rechtliche Verantwortlichkeiten zu prüfen. Daher ist in der Regel die Teilnahme von externen Dritteinrichtungen und Experten wie folgt erforderlich:

  • Große Softwareunternehmen
  • Große Sicherheitsspezialisten
  • Externe Anwälte mit tiefem Wissen über Cybersicherheit

Zusammenfassung

Auch wenn, wie in diesem Fall, ein Datenleck von persönlichen Informationen im Bildungsbereich aufgedeckt wird, sind eine angemessene “Erstreaktion” und Maßnahmen, die sich auf das “Benachrichtigen, Berichten und Veröffentlichen” durch das Krisenmanagementzentrum und die anschließende “Sicherheitsmaßnahmen” konzentrieren, von großer Bedeutung.

Insbesondere wird nicht nur bei der Erstreaktion, sondern auch bei der Benachrichtigung und Berichterstattung an die Polizei und zuständige Behörden, der Benachrichtigung (Entschuldigung) an die betroffene Person und der Veröffentlichung zum richtigen Zeitpunkt, Geschwindigkeit gefordert.

Wenn jedoch das Verfahren oder die Vorgehensweise falsch ist, besteht die Möglichkeit, dass Sie für Schadenersatz haftbar gemacht werden. Daher empfehlen wir, nicht eigenständig zu entscheiden, sondern im Voraus mit einem Anwalt zu konsultieren, der über umfangreiches Wissen und Erfahrung in Bezug auf Cybersicherheit verfügt.

Wenn Sie sich für das Krisenmanagement bei der Informationsleckage durch Malware von Capcom interessieren, finden Sie detaillierte Informationen in unserem Artikel. Bitte schauen Sie sich diesen ebenfalls an.

https://monolith.law/corporate/capcom-information-leakage-crisis-management[ja]

Maßnahmen unserer Kanzlei

Die Monolith Rechtsanwaltskanzlei ist eine Kanzlei mit hoher Fachkompetenz in beiden Bereichen, IT und insbesondere Internetrecht. In unserer Kanzlei führen wir rechtliche Überprüfungen für eine Vielzahl von Fällen durch, von Unternehmen, die an der Tokyo Stock Exchange Prime gelistet sind, bis hin zu Start-up-Unternehmen. Bitte beachten Sie den untenstehenden Artikel.

https://monolith.law/contractcreation[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Zurück Nach Oben