Was sind die drei Kategorien von Cyberkriminalität? Ein Anwalt erklärt die Schadenskontrollmaßnahmen für jedes Muster
“Cyberkriminalität” ist ein Begriff, der auch im Alltag weit verbreitet ist. International wird er jedoch als “Verbrechen, das Computertechnologie und Telekommunikationstechnologie missbraucht” definiert. Einige Cyberverbrechen, wie das sogenannte “Hacking (Cracking)”, können auch Unternehmen zum Opfer fallen. Wenn ein solcher Schaden eintritt, muss überlegt werden, welche Maßnahmen ergriffen werden können.
In diesem Artikel klassifizieren wir Cyberkriminalität in drei Muster, die allgemein in Japan verwendet werden, und erklären, welches Verbrechen jedes Muster darstellt und welche Maßnahmen es gibt, wenn man Opfer wird. Die Klassifizierung ist wichtig, weil:
- Wenn man nicht als “Opfer” im rechtlichen Sinne angesehen werden kann, ist es schwierig, die Polizei durch eine Schadensanzeige oder Anklage zur Untersuchung zu bewegen, auch wenn man ein Verbrechen “melden” kann.
- Bei Verbrechen, bei denen es zivilrechtliche Maßnahmen gibt, kann man sich nicht nur auf die Polizeiuntersuchung verlassen, sondern auch einen Anwalt beauftragen, den Täter auf zivilrechtlichem Wege zu identifizieren und Schadenersatzansprüche gegen den Täter geltend zu machen.
- Wenn man selbst Opfer eines Verbrechens wird und es keine zivilrechtlichen Lösungen gibt, wird man die Polizei zur Untersuchung auffordern.
Das liegt daran, dass die “Maßnahmen” je nach Muster variieren.
Dreiteilung von Cyberkriminalität
Wie oben erwähnt, ist es in Japan üblich, Cyberkriminalität in drei Kategorien zu unterteilen.
- Computerkriminalität: Die genaue Definition wird später erläutert, aber kurz gesagt handelt es sich um kriminelle Handlungen, die den Betrieb von Unternehmen stören.
- Netzwerkkriminalität: Kriminelle Handlungen, die das Internet missbrauchen.
- Verstoß gegen das japanische Gesetz zur Verhinderung von unbefugtem Zugriff: So genannte illegale Login-Aktivitäten usw.
Im Folgenden erläutern wir jede Kategorie einzeln.
Was ist Computerkriminalität?
Was ist das Verbrechen der Störung von Geschäftsabläufen durch Beschädigung von Computern?
Das Verbrechen der Störung von Geschäftsabläufen durch Beschädigung von Computern, das im japanischen Strafgesetzbuch festgelegt ist, ist ein typisches Beispiel für diese Art von Verbrechen.
Wer einen Computer oder magnetische Aufzeichnungen, die für die Geschäftstätigkeit einer Person verwendet werden, beschädigt oder einem solchen Computer falsche Informationen oder unrechtmäßige Anweisungen gibt oder auf andere Weise den Computer dazu bringt, Handlungen auszuführen, die nicht seinem Verwendungszweck entsprechen, oder Handlungen, die gegen seinen Verwendungszweck verstoßen, und dadurch die Geschäftstätigkeit einer Person stört, wird mit einer Freiheitsstrafe von bis zu fünf Jahren oder einer Geldstrafe von bis zu einer Million Yen bestraft.
Artikel 224-2 des japanischen Strafgesetzbuchs
Obwohl der Text schwer zu lesen ist, bedeutet er im Wesentlichen, dass das Verbrechen besteht, wenn man durch folgende Maßnahmen:
- die Beschädigung eines Geschäfts-PCs oder der darauf gespeicherten Daten
- das Senden von falschen Informationen oder Informationen, die nicht erwartet wurden, an einen Geschäfts-PC
den betreffenden PC dazu bringt, unerwartete Aktionen auszuführen und dadurch die Geschäftstätigkeit zu stören.
Ein typisches Beispiel für dieses Verbrechen ist das Ausnutzen von Sicherheitslücken oder das unrechtmäßige Einloggen in das Konto einer anderen Person, um den Kontostand eines Online-Bankkontos zu erhöhen. Ebenso fällt das Ausnutzen von Sicherheitslücken oder das unrechtmäßige Erlangen von Login-Informationen, um die Website eines Unternehmens zu ändern, unter dieses Verbrechen. Obwohl das unrechtmäßige Einloggen an sich bereits eine Verletzung des “Gesetzes zur Verhinderung von unrechtmäßigem Zugriff” (japanisches Gesetz zur Verhinderung von unrechtmäßigem Zugriff) darstellt, zielt dieses Verbrechen darauf ab, Handlungen wie unrechtmäßige Manipulationen, Fälschungen, Löschungen oder unrechtmäßige Änderungen von Daten zu erfassen.
Was ist der Unterschied zu unrechtmäßigem Zugriff?
Dieses Verbrechen kann auch ohne unrechtmäßige Anmeldeaktivitäten begangen werden. Ein typisches Beispiel ist der sogenannte DoS-Angriff, bei dem eine große Menge an E-Mails gesendet wird, um einen Mailserver zu stören, oder eine große Menge an Zugriffen auf eine Website durchgeführt wird, um einen Webserver zu stören. Obwohl jede einzelne E-Mail oder jeder einzelne Zugriff an sich legal ist, führt die große Menge an Aktionen dazu, dass der Server (PC) unerwartete Aktionen ausführt und dem betreffenden Unternehmen Schaden zufügt, indem es beispielsweise die Nutzung von E-Mails verhindert oder die Website unzugänglich macht. Daher kann man sagen, dass “obwohl es keine Verletzung des Gesetzes zur Verhinderung von unrechtmäßigem Zugriff ist, es ein Verbrechen der Störung von Geschäftsabläufen durch Beschädigung von Computern darstellt”. Bei solchen Verbrechen kann auch das Verbrechen der Täuschung von Geschäftsabläufen ein Problem darstellen.
Wie kann man die Polizei zur Untersuchung bewegen?
Da diese Handlungen, wie oben beschrieben, Verbrechen sind und das betreffende Unternehmen das Opfer ist, ist es möglich, eine Untersuchung durch die Polizei zu beantragen. Allerdings ist die Realität, dass die japanische Polizei nicht besonders gut auf solche Verbrechen reagiert. Dies liegt zum Teil an technischen Problemen. Zum Beispiel haben wir oben über einfache DoS-Angriffe gesprochen, aber in Wirklichkeit sind Angriffe oft nicht so einfach, dass eine Million E-Mails oder Zugriffe von einer einzigen IP-Adresse aus gesendet werden. Oft werden Angriffe von vielen verschiedenen IP-Adressen aus durchgeführt, d.h. die Quelle des Angriffs ist verteilt. Solche Angriffe werden als “DDoS” bezeichnet.
Wenn eine große Menge an E-Mails oder Zugriffen von derselben IP-Adresse aus gesendet wird, ist es klar, dass es sich um eine große Menge an Zugriffen von derselben Person handelt und dass es sich um “unerwartete Informationen” handelt. Aber wenn die IP-Adressen verteilt sind, kann man nicht sagen, dass es sich um illegale Informationsübermittlung handelt, es sei denn, es gibt Beweise dafür, dass sie alle von derselben Person durchgeführt wurden. Wie kann man also beweisen, dass “eine große Menge an E-Mails oder Zugriffen von derselben Person durchgeführt wurde”, unter den strengen Bedingungen eines Strafprozesses? Dies ist in der Tat ein schwieriges Problem für die Polizei und die Staatsanwaltschaft.
In einem Strafprozess reicht es nicht aus zu beweisen, dass “kriminelle Kommunikation (zum Beispiel das Senden einer großen Menge an E-Mails, wie oben erwähnt) von einem PC, der dem Verdächtigen gehört, durchgeführt wurde”, um eine Verurteilung zu erreichen. Was in einem Strafverfahren gefordert wird, ist die Feststellung der Tatsachen auf der Ebene von “wer hat es getan”, nicht “von welchem PC aus”. Tatsächlich gibt es in den Urteilen von Strafprozessen viele Fälle, in denen dieser Teil, d.h. “es ist unbestreitbar, dass die kriminelle Handlung von dem PC des Verdächtigen aus durchgeführt wurde, aber wurde sie wirklich von dem Verdächtigen selbst durchgeführt?”, sorgfältig geprüft wird. Diese Beweislast ist natürlich wichtig, um “Fehlurteile zu verhindern”, aber sie scheint auch dazu zu führen, dass die Polizei und die Staatsanwaltschaft zögern, Cyberkriminalität zu untersuchen.
Allerdings gibt es Fälle, in denen es möglich ist, Beweise dafür zu finden, dass “es sehr wahrscheinlich ist, dass es von derselben Person durchgeführt wurde” und “es ist zweifellos von der verdächtigen Person selbst durchgeführt worden”, indem man die Serverprotokolle usw. detailliert analysiert, wenn der Zeitpunkt des Vorfalls noch nicht lange zurückliegt. Eine Untersuchung mit IT-Technologie und eine rechtliche Analyse, die das, was durch diese Untersuchung herausgefunden wurde, in rechtlich bedeutende Dokumente umsetzt. Wenn diese beiden Elemente vorhanden sind, kann man sagen, dass es Fälle gibt, in denen man die Polizei zur Untersuchung bewegen kann.
Zivilrechtliche Lösungen sind schwierig
Es wäre gut, wenn es zivilrechtliche Lösungen gäbe, auf die man sich verlassen könnte, ohne die Polizei einschalten zu müssen, aber die traurige Wahrheit ist, dass es bei dieser Art von Verbrechen nur wenige zivilrechtliche Maßnahmen gibt.
Zum Beispiel, wenn eine große Menge an E-Mails gesendet wurde, würde man denken, dass man die Adresse und den Namen des Vertragspartners, der die betreffende IP-Adresse verwendet hat, vom Provider offenlegen lassen möchte, da die IP-Adresse des Absenders in der E-Mail (im E-Mail-Header) angegeben ist. Allerdings gibt es im japanischen Zivilrecht kein Recht, diese Offenlegung rechtlich zu verlangen. Im Falle von Diffamierung im Internet, wie sie später erwähnt wird, kann man das Recht auf Offenlegung von Senderinformationen nach dem Gesetz zur Begrenzung der Haftung von Providern (japanisches Gesetz zur Begrenzung der Haftung von Providern) nutzen, aber um es kurz zu machen, dieses Recht auf Offenlegung wird nur anerkannt, wenn es sich um:
Kommunikation für Beiträge, die von einer unbestimmten Anzahl von Personen gesehen werden sollen (typischerweise Kommunikation für Beiträge, die Diffamierung auf einem öffentlich zugänglichen Internetforum enthalten)
handelt.
In der Praxis erfordert die Anregung der Polizei zur Untersuchung von schwerer Cyberkriminalität oft detailliertere Berichte usw. als bei der Einleitung eines Gerichtsverfahrens. Darüber hinaus kann es von dem ersten Kontakt mit der Polizei bis zur tatsächlichen Untersuchung oder Verhaftung oft ein Jahr oder länger dauern. In einigen Fällen kann es sogar einfacher, weniger zeitaufwendig und weniger arbeitsintensiv sein, eine zivilrechtliche Lösung zu finden… aber bei dieser Art von Verbrechen ist es grundsätzlich unmöglich oder sehr schwierig, eine zivilrechtliche Lösung zu finden. Wenn der Täter identifiziert werden kann, kann man Schadenersatz für den durch die kriminelle Handlung verursachten Schaden, zum Beispiel durch eine Störung des Webservers, verlangen, aber es gibt keine spezifischen Mittel zur Identifizierung.
https://monolith.law/corporate/denial-of-service-attack-dos[ja]
Netzwerkbezogene Straftaten
Schäden durch Verleumdung im Internet
Dies sind Straftaten, die mit Computern oder Netzwerken als Mittel begangen werden, abgesehen von den oben genannten Computerdelikten. Zum Beispiel ist die sogenannte Verleumdung im Internet nicht dazu gedacht, Daten zu beschädigen, unerwartete Informationen zu senden oder unerwartete Aktionen auf einem PC auszuführen, sondern sie wird über das Internet-Netzwerk durchgeführt.
Beiträge, die als Verleumdung gelten, können eingeteilt werden in:
- strafrechtlich und zivilrechtlich illegale Beiträge (typisches Beispiel ist Rufschädigung)
- strafrechtlich nicht illegal, aber zivilrechtlich illegale Beiträge (typische Beispiele sind Verletzungen der Privatsphäre und des Bildrechts)
Wenn es sich um strafrechtlich illegale Handlungen handelt, können Sie versuchen, den Verfasser durch zivilrechtliche Maßnahmen, wie zum Beispiel die Offenlegung von Senderinformationen nach dem Gesetz zur Begrenzung der Haftung von Anbietern (japanisches Providerhaftungsbegrenzungsgesetz), zu identifizieren, oder Sie können die Polizei auffordern, Ermittlungen durchzuführen und den Verfasser festzunehmen.
Allerdings ist die Realität, dass die Polizei, abhängig vom Inhalt, oft nicht sehr aktiv in der Untersuchung solcher Beiträge ist, da sie eine Haltung einnimmt, die als “Nicht-Eingreifen in zivilrechtliche Angelegenheiten” bezeichnet wird. Darüber hinaus sind Verletzungen der Privatsphäre und des Bildrechts keine strafrechtlichen Delikte, so dass eine zivilrechtliche Lösung erforderlich ist.
https://monolith.law/practices/reputation[ja]
Schäden durch Einzelkommunikation wie E-Mails
Schwierig sind unangemessene Nachrichten, die über Einzelkommunikationsmittel wie E-Mails oder Twitter DMs gesendet werden. Ein typisches Beispiel sind E-Mails mit Inhalten, die als Bedrohung oder Erpressung gelten könnten. Die Offenlegung von Senderinformationen nach dem Gesetz zur Begrenzung der Haftung von Anbietern kann nur in Fällen wie dem folgenden genutzt werden:
Kommunikation zur Veröffentlichung von Beiträgen, die von einer unbestimmten Anzahl von Personen gesehen werden (typisches Beispiel ist die Kommunikation zur Veröffentlichung von verleumderischen Beiträgen auf Internetforen, die von einer unbestimmten Anzahl von Personen gesehen werden).
Daher gibt es für solche Kommunikationen grundsätzlich keine zivilrechtlichen Lösungen, und man kann nur auf polizeiliche Ermittlungen hoffen. Allerdings, selbst wenn der Inhalt einer Nachricht, die auf einer Internet-Diskussionsseite gepostet wurde, als Rufschädigung gelten könnte, wenn Einzelkommunikationsmittel verwendet werden, wird das Delikt der Rufschädigung nicht erfüllt. Einfach ausgedrückt, das Delikt der Rufschädigung wird nur erfüllt, wenn die Handlung gegen eine unbestimmte oder große Anzahl von Personen gerichtet ist. Bei Einzelkommunikationsmitteln wird das Delikt der Rufschädigung grundsätzlich nicht erfüllt. Weitere Details zu diesem Problem finden Sie in einem separaten Artikel.
https://monolith.law/reputation/email-sender-identification[ja]
Schäden durch obszöne Bilder oder illegale Websites
Darüber hinaus gibt es Straftaten, bei denen es keine Opfer gibt oder bei denen Unternehmen, die tatsächlich Schaden erleiden, nicht als Opfer gelten. Zum Beispiel:
- Die Veröffentlichung von unzensierten Bildern oder Videos auf sogenannten Erwachsenen-Websites (öffentliche Ausstellung von obszönen Bildern)
- Werbung für illegale Casinos
- Betrugswebsites, die behaupten, Markenprodukte zu verkaufen, aber tatsächlich keine Produkte versenden
Sind typische Muster.
Zum Beispiel, wenn in der Damenumkleide eines Unternehmens heimlich gefilmt wird und die Bilder im Internet veröffentlicht werden, stellen diese Bilder klar eine Verletzung der Privatsphäre (und des Bildrechts) der betroffenen Frau dar. Aber wie oben erwähnt, ist die Verletzung der Privatsphäre (und des Bildrechts) kein Verbrechen, und obwohl das heimliche Filmen selbst ein Verbrechen ist, bedeutet dies nicht, dass die Veröffentlichung der aufgenommenen Bilder sofort ein Verbrechen ist. Daher ist es eine schwierige Frage, wie man die Polizei um Ermittlungen bitten kann.
Darüber hinaus, selbst wenn die Existenz von illegalen Casinos oder Betrugswebsites dazu führt, dass der Umsatz Ihres Unternehmens sinkt oder das Vertrauen in Ihr Unternehmen abnimmt, sind die oben genannten Handlungen entweder Verbrechen, die im Interesse der Gesellschaft begangen werden, obwohl es keine spezifischen Opfer gibt (typische Beispiele sind Geschwindigkeitsüberschreitungen oder Drogenkontrollen), oder sie sind solche, die nur direkte Opfer (zum Beispiel Verbraucher, die Geld an die betreffende Betrugswebsite gezahlt haben) als Opfer betrachten. Daher, selbst wenn ein Unternehmen Schäden geltend macht, wird es letztendlich nur eine Meldung von einer dritten Partei sein, die kein Opfer ist. Darüber hinaus ist die Identifizierung durch die Offenlegung von Senderinformationen usw. grundsätzlich nicht möglich, da man kein “Opfer” ist.
Allerdings, wenn es sich um Handlungen handelt, die die geistigen Eigentumsrechte eines Unternehmens (wie Markenrechte, Urheberrechte usw.) verletzen, wie zum Beispiel den Verkauf von gefälschten Markenprodukten, kann das Unternehmen als “Opfer” die Polizei auffordern, Ermittlungen durchzuführen, oder es kann versuchen, den Verkäufer durch zivilrechtliche Maßnahmen zu identifizieren.
Verstoß gegen das Gesetz zur Verhinderung von unbefugtem Zugriff (Japanisches Gesetz zur Verhinderung von unbefugtem Zugriff)
Was das Gesetz zur Verhinderung von unbefugtem Zugriff verbietet
Zum Schluss, die Handlungen, die durch das Gesetz zur Verhinderung von unbefugtem Zugriff verboten sind. Das Gesetz zur Verhinderung von unbefugtem Zugriff verbietet:
- Unbefugte Zugriffsaktionen
- Förderung von unbefugtem Zugriff
- Unrechtmäßige Beschaffung und ähnliche Handlungen
Diese sind verboten.
Von diesen ist die erste, die unbefugte Zugriffsaktion, im Wesentlichen:
- Identitätsdiebstahl: Die Handlung, sich als jemand anderes auszugeben, indem man dessen ID und Passwort eingibt und sich ohne Erlaubnis als diese Person einloggt
- Sicherheitslückenangriffe: Die Handlung, Sicherheitslücken auszunutzen und sich als jemand anderes einzuloggen, ohne dass die Eingabe von ID und Passwort erforderlich ist
Es gibt zwei Arten davon.
Die zweite, die Förderung von unbefugtem Zugriff, ist die Handlung, die Kontoinformationen anderer Personen (ID, Passwort usw.) ohne Erlaubnis an andere weiterzugeben oder zu verkaufen.
Zuletzt ist die dritte, die unrechtmäßige Beschaffung und ähnliche Handlungen, die Handlung, die Kontoinformationen anderer Personen durch Mittel wie sogenannte Phishing-Websites eingeben zu lassen oder die auf diese Weise unrechtmäßig erlangten Kontoinformationen zu speichern.
Weitere Details zum Gesetz zur Verhinderung von unbefugtem Zugriff finden Sie im folgenden Artikel.
https://monolith.law/reputation/unauthorized-computer-access[ja]
Lösung durch die Polizei
Auch wenn Sie Opfer eines unbefugten Zugriffs werden, werden Sie die Polizei auffordern, Ermittlungen durchzuführen. Allerdings handelt es sich oft um technisch sehr komplexe Probleme, und wie bei den oben genannten Computerdelikten ist es oft der Fall, dass ohne die Erstellung von Berichten und ähnlichem durch Personen mit Kenntnissen und Know-how in IT und Recht, die Ermittlungen durch die Polizei in der Praxis kaum durchgeführt werden.
Zudem ist es zwar möglich, Schadenersatzansprüche gegen den Täter geltend zu machen, wenn dieser identifiziert werden kann, aber es ist auch sehr schwierig, den Täter durch zivilrechtliche Maßnahmen zu identifizieren, wie bei den oben genannten Computerdelikten.
Category: IT
Tag: CybercrimeIT