Ist ein DoS ein Verbrechen? Ein Anwalt erklärt das 'Japanische Gesetz gegen die Störung von Geschäften durch Zerstörung von Computern und Ähnliches'
Das Verbrechen der Störung von Geschäftsabläufen durch Beschädigung von Computern wurde im Jahr Showa 62 (1987) neu eingeführt. Zu dieser Zeit, aufgrund des raschen Wirtschaftswachstums und der technologischen Entwicklung, wurden immer mehr Computer in Büros eingeführt.
Aufgaben, die zuvor von Menschen ausgeführt wurden, wurden nun von Computern übernommen, und der Umfang der Geschäftstätigkeit erweiterte sich. Daher wurde erwartet, dass Störungen von Geschäftsabläufen durch Angriffe auf Computer zunehmen würden, und um dies zu bekämpfen, wurde dieses Gesetz eingeführt.
Zum Zeitpunkt der Verabschiedung des Gesetzes befanden sich Computer jedoch noch in der Entwicklung und das Internet war noch nicht weit verbreitet. Daher war es schwierig, Internetkriminalität konkret vorherzusagen. Darüber hinaus verwendet dieses Gesetz keine Begriffe aus der Informatik oder Informationstechnologie, sondern Begriffe, die typisch für das Strafgesetzbuch sind. Daher gibt es verschiedene Interpretationen und es kann als eine Regelung angesehen werden, die für die allgemeine Bevölkerung schwer zu verstehen ist.
Es wird allgemein anerkannt, dass dieses Verbrechen auf die Kategorie von Computerkriminalität unter Cyberkriminalität abzielt.
In diesem Artikel erklären wir die Details des Verbrechens der Störung von Geschäftsabläufen durch Beschädigung von Computern auf verständliche Weise.
https://monolith.law/corporate/categories-of-cyber-crime [ja]
Was ist ein DoS-Angriff?
Ein DoS-Angriff (Denial of Service attack) ist eine Art von Cyber-Angriff, bei dem eine große Menge an Daten oder ungültige Daten an die Website oder den Server des Angriffsziels gesendet wird, um eine übermäßige Belastung zu erzeugen und das System des Ziels in einen Zustand zu versetzen, in dem es nicht normal funktionieren kann. Im Gegensatz zu illegalen Zugriffen, bei denen die Zugriffsrechte illegal umgangen oder das System durch Viren kontrolliert wird, stört es die Ausübung der Zugriffsrechte durch reguläre Benutzer. Es handelt sich um eine seit langem bestehende Methode des Cyber-Angriffs, die auch in DDoS-Angriffen (Distributed Denial of Service attack), einer verteilten Art von Angriff, verwendet wird und in jüngster Zeit immer noch viele Belästigungen und Schäden verursacht.
Arten von DoS-Angriffen
DoS-Angriffe können in zwei Arten unterteilt werden: “Flut-Typ” und “Verwundbarkeits-Typ”.
Flut stammt vom englischen Wort ‘Flood’ (= Überschwemmung) und bezieht sich auf Angriffe, die das Protokoll überwinden und eine große Menge an Daten senden, um das Angriffsziel in einen Zustand zu versetzen, in dem es die Daten nicht verarbeiten kann.
Andererseits nutzt der Verwundbarkeits-Typ die Schwachstellen von Servern oder Anwendungen, führt illegale Operationen durch und stoppt deren Funktionen. Die Unterscheidung zu illegalen Zugriffen kann unklar sein, aber zum Beispiel ist der LAND-Angriff, ein typischer Verwundbarkeits-Typ DoS-Angriff, ein Angriff, bei dem ein Paket gesendet wird, bei dem die Quell- und Ziel-IP-Adressen und Portnummern übereinstimmen. Um es ein wenig einfacher und einfacher zu erklären, wenn der Angreifer A dem Server B, der das Angriffsziel ist, ein Paket mit dem Inhalt “Ich bin B, also möchte ich eine Antwort” sendet, antwortet B sich selbst mit “Antwort”, und B, der diese Antwort erhalten hat, antwortet wieder sich selbst mit “Antwort”… Dieses Phänomen wiederholt sich und erzeugt eine unendliche Schleife. Dies nutzt zwar die “Schwachstelle”, dass “es auch auf Pakete antwortet, bei denen es selbst der Absender ist”, aber da es nicht wie bei der Passwortauthentifizierung durchgeht, wird es nicht als “illegaler Zugriff”, sondern als “Verwundbarkeits-Typ DoS-Angriff” klassifiziert.
https://monolith.law/reputation/unauthorized-computer-access [ja]
DDoS-Angriffe sind eine verteilte Methode, bei der Tausende von Computern, die mit einem Bot-Virus infiziert wurden, ferngesteuert werden und jeder von ihnen einen Flut-Typ DoS-Angriff durchführt.
Mechanismus des DoS-Angriffs
Der Mechanismus des DoS-Angriffs besteht darin, Dinge, die normalerweise innerhalb des Bereichs von TCP/IP erlaubt sind, häufig auf einmal zu wiederholen, was technisch gesehen einfach ist. Zum Beispiel, wenn Sie versuchen, Tickets für eine beliebte Idol-Show im allgemeinen Verkauf zu kaufen und auf die Verkaufsseite zugreifen, kann die Seite aufgrund des gleichzeitigen Zugriffs vieler Menschen schwer zu erreichen oder heruntergefahren werden. Ein DoS-Angriff ist ein Angriff, der diese Situation absichtlich durch Missbrauch legitimer Rechte erzeugt.
Fällt ein DoS-Angriff unter das japanische Strafgesetz zur Störung von Geschäftsabläufen durch Beschädigung von Computern?
Stellt ein DoS-Angriff eine Straftat dar? Wir werden untersuchen, ob es unter das japanische Strafgesetz zur Störung von Geschäftsabläufen durch Beschädigung von Computern fällt.
Wer einen Computer oder magnetische Aufzeichnungen, die für die Geschäftstätigkeit einer Person verwendet werden, beschädigt oder einem Computer, der für die Geschäftstätigkeit einer Person verwendet wird, falsche Informationen oder unrechtmäßige Anweisungen gibt oder auf andere Weise den Computer daran hindert, die beabsichtigten Funktionen auszuführen oder Funktionen auszuführen, die gegen den beabsichtigten Zweck verstoßen, und dadurch die Geschäftstätigkeit einer Person stört, wird mit einer Freiheitsstrafe von bis zu fünf Jahren oder einer Geldstrafe von bis zu einer Million Yen bestraft.
Artikel 234-2 Absatz 1 des japanischen Strafgesetzbuches (Störung von Geschäftsabläufen durch Beschädigung von Computern)
Um eine Straftat nach diesem Gesetz zu begehen, müssen objektive Anforderungen erfüllt sein:
- Ein schädigendes Verhalten gegenüber einem Computer
- Die Behinderung der Funktion eines Computers
- Die Störung von Geschäftsabläufen
Und als subjektive Anforderung muss die Absicht, diese Handlungen zu begehen, nachgewiesen werden.
Erfüllung der objektiven Anforderungen
Wir werden die folgenden Punkte einzeln untersuchen:
Schädigendes Verhalten gegenüber einem Computer
Als schädigendes Verhalten (Ausführungshandlung) muss eine der folgenden Handlungen vorliegen:
- “Beschädigung eines Computers oder magnetischer Aufzeichnungen, die für diesen verwendet werden”
- “Geben von falschen Informationen oder unrechtmäßigen Anweisungen an einen Computer”
- “Oder andere Methoden”
Ein Computer, wie er in einem Gerichtsurteil (Fukuoka High Court, 21. September 2000 (2000)) definiert ist, ist ein elektronisches Gerät, das automatisch Berechnungen und Datenverarbeitungen durchführt. Es besteht kein Streit darüber, dass Bürocomputer, Personalcomputer und Steuerungscomputer repräsentativ dafür sind. Magnetische Aufzeichnungen sind in Artikel 7-2 des japanischen Strafgesetzbuches definiert. Ein Server, das Ziel eines DoS-Angriffs, fällt zweifellos unter diese Definitionen.
“Beschädigung” bezieht sich nicht nur auf physische Zerstörung, sondern auch auf Handlungen, die die Funktion eines Objekts beeinträchtigen, wie das Löschen von Daten. “Falsche Informationen” beziehen sich auf Informationen, die der Wahrheit widersprechen. “Unrechtmäßige Anweisungen” beziehen sich auf das Geben von Anweisungen, die von dem betreffenden Computer verarbeitet werden können, ohne die entsprechende Berechtigung zu haben. Zum Beispiel, wenn ein Flut-Typ-DoS-Angriff in großer Menge und konzentriert durchgeführt wird, wird der angegriffene Server überlastet und kann die Verarbeitung nicht ordnungsgemäß ausführen. Solche Angriffe können als “unrechtmäßige Anweisungen” angesehen werden, auch wenn sie nicht zu einer “Beschädigung” wie dem Löschen von Daten führen, da sie Zugriffe gegen den Willen des Serverbesitzers darstellen und Anweisungen ohne Berechtigung geben.
Behinderung der Funktion eines Computers
Die Frage ist, ob die Handlung “verhindert, dass der Computer die beabsichtigten Funktionen ausführt” oder “veranlasst den Computer, Funktionen auszuführen, die gegen den beabsichtigten Zweck verstoßen”. Es gibt Streitigkeiten darüber, wessen beabsichtigter Zweck als Grundlage dienen sollte, aber da das geschützte Rechtsgut dieses Verbrechens die sichere und reibungslose Durchführung von Geschäftsabläufen ist, sollte man davon ausgehen, dass der beabsichtigte Zweck des Installateurs als Grundlage dient. Wenn ein DoS-Angriff durchgeführt wird und der Server überlastet wird, kann es vorkommen, dass Dienste nicht mehr verfügbar sind und der Server nicht mehr die ordnungsgemäßen Verarbeitungsfunktionen ausführt, die der Installateur beabsichtigt hat. In solchen Fällen kann man sagen, dass “der Computer nicht die beabsichtigten Funktionen ausführt”, und dies würde als Behinderung der Funktion eines Computers gelten.
Störung von Geschäftsabläufen
Das japanische Strafgesetz zur Störung von Geschäftsabläufen durch Beschädigung von Computern ist eine verschärfte Form des Gesetzes zur Störung von Geschäftsabläufen (Artikel 233 und 234 des japanischen Strafgesetzbuches), daher wird die Störung von Geschäftsabläufen in der gleichen Weise betrachtet wie bei dem normalen Gesetz zur Störung von Geschäftsabläufen. Das heißt, “Geschäftsabläufe” bezieht sich auf wiederholte und kontinuierliche Aufgaben, die auf der Grundlage des sozialen Status durchgeführt werden, und es ist nicht erforderlich, dass die Geschäftsabläufe tatsächlich beeinträchtigt werden, um von einer “Störung” zu sprechen. Wenn ein DoS-Angriff durchgeführt wird, kann man sagen, dass die “Geschäftsabläufe”, bei denen der Installateur Dienste durch die Verwendung des Servers im Internet anbietet, gestört werden, und dies würde als Störung von Geschäftsabläufen gelten.
Erfüllung der subjektiven Anforderungen (Absicht)
Nachdem diese Anforderungen erfüllt sind, muss die Absicht (Artikel 38 Absatz 1 des japanischen Strafgesetzbuches) nachgewiesen werden. Absicht bedeutet, dass man sich der Tatsachen bewusst ist, die den oben genannten Punkten ① bis ③ (diese werden als konstitutive Elemente bezeichnet) entsprechen. Es ist nicht notwendig, dass man die Absicht hat, jemanden zu stören oder ihm Schaden zuzufügen. Selbst wenn man nicht die Absicht hat, jemanden zu stören, kann die Absicht anerkannt werden, wenn man sich bewusst ist, dass “der Server möglicherweise abstürzt und der Dienst möglicherweise nicht mehr verfügbar ist”.
Der Fall des massiven Zugriffs auf die Webseite der Stadtbibliothek Okazaki
In diesem Zusammenhang möchten wir Ihnen den Fall des massiven Zugriffs auf die Webseite der Stadtbibliothek Okazaki (auch bekannt als Librahack-Fall) vorstellen.
Ein Mann (39) aus der Präfektur Aichi wurde verhaftet, weil er mit einem selbst erstellten Programm Informationen über neue Bücher von der Bibliothekswebseite gesammelt hatte, was als Cyber-Angriff angesehen wurde. Eine Analyse von Experten, die von der Asahi Shimbun beauftragt wurde, ergab jedoch, dass es einen Fehler in der Bibliothekssoftware gab, der den Anschein erweckte, dass sie einem massiven Angriff ausgesetzt war. Es stellte sich heraus, dass ähnliche Probleme in sechs anderen Bibliotheken aufgetreten waren, die dieselbe Software verwendeten. Das Softwareentwicklungsunternehmen hat mit der Überarbeitung in etwa 30 Bibliotheken im ganzen Land begonnen.
Asahi Shimbun Nagoya Morgen Edition (21. August 2010)
Das Problem trat in der Stadtbibliothek Okazaki in der Präfektur Aichi auf. Die Software hatte einen Fehler, der dazu führte, dass jedes Mal, wenn Buchdaten abgerufen wurden, der Computerprozess fortgesetzt wurde, ähnlich wie wenn der Hörer nach einem Telefonanruf abgehoben bleibt. Nach einer bestimmten Zeit wurde die Verbindung zwangsweise getrennt, aber in der Bibliothek schien es, als ob sie einem massiven Angriff ausgesetzt war, wenn mehr als 1.000 Zugriffe innerhalb von 10 Minuten erfolgten, was dazu führte, dass die Webseite nicht mehr zugänglich war.
Der Mann war ein Software-Ingenieur und lieh sich jedes Jahr etwa 100 Bücher von der Stadtbibliothek Okazaki aus. Die Webseite der Bibliothek war schwer zu bedienen, also erstellte er ein Programm, um täglich Informationen über neue Bücher zu sammeln, und begann es im März zu verwenden.
Seit diesem Monat gab es Beschwerden von Bürgern, dass sie nicht auf die Webseite zugreifen konnten. Die Polizei der Präfektur Aichi, die um Rat gefragt wurde, entschied, dass der Mann absichtlich Anfragen gesendet hatte, die die Verarbeitungskapazität überstiegen, und verhaftete ihn wegen Verdachts auf Geschäftsbehinderung. Die Staatsanwaltschaft Okazaki in Nagoya entschied im Juni, dass es keine starke Absicht zur Geschäftsbehinderung gab, und stellte das Verfahren ein.
Der Mann, der in diesem Fall verhaftet wurde, war ein Nutzer der Stadtbibliothek Okazaki und hatte die Aktionen mit dem Ziel durchgeführt, Informationen über neue Bücher auf der Webseite der Bibliothek zu sammeln. Es gab keine Absicht, die Arbeit der Bibliothek zu stören. Die Zugriffsfrequenz war auch niedrig, etwa einmal pro Sekunde, was normalerweise nicht als DoS-Angriff angesehen wird. Es gab jedoch einen Fehler im Server der Bibliothek, der zu einem Systemausfall führte.
Obwohl es keine böswillige Absicht gab, kann anerkannt werden, dass das Herunterfahren des Bibliotheksservers durch Handlungen, die einem DoS-Angriff ähneln, die Arbeit der Bibliothek behindert hat, wenn man die objektiven Anforderungen betrachtet. In Bezug auf die Absicht kann, wie bereits erwähnt, auch ohne böswillige Absicht eine Absicht anerkannt werden. Die Polizei der Präfektur entschied, dass der Mann, da er ein Computerexperte war, hätte erkennen können, dass das Senden einer großen Anzahl von Anfragen Auswirkungen auf den Server der Bibliothek haben könnte, und dass er trotzdem eine große Anzahl von Anfragen gesendet hatte, so dass eine Absicht vorlag und ein Verbrechen begangen werden konnte.
Probleme und Kritik am Fall
Die Methode, die der Mann verwendet hat, um Daten von öffentlichen Webseiten maschinell zu sammeln, ist weit verbreitet und allgemein akzeptiert, und die Programmierung selbst ist nicht illegal. Der Mann hat auf seiner eigenen Webseite den Verlauf und die Absicht des Falls erklärt, und es gibt nichts in seinem Inhalt, das als “Verbrechen” bezeichnet werden könnte oder eine moralische Verurteilung verdient. Dies hat viele Techniker, die diese Technologie verwenden, erschüttert und es gab viele Diskussionen und Bedenken.
Zum Beispiel ist die Webseite einer öffentlichen Bibliothek, die von einer unbestimmten Anzahl von Menschen genutzt wird, zu schwach und anfällig, wenn ihr Server bei einem Zugriff pro Sekunde abstürzt. Wenn der Server die erforderliche Stärke gehabt hätte, wäre der Mann nicht verhaftet worden. Ein weiterer Punkt ist, dass es keine offensichtlichen kriminellen Elemente wie “Rache” oder “Belästigung”, Angriffe oder Geschäftsbehinderungen, oder offensichtlich ungewöhnliche Massendatenübertragungen gab, die sich von der normalen Nutzung unterscheiden, und dennoch wurde entschieden, dass ein Verbrechen begangen werden konnte. Dies ist ein legislatives Problem. Es gibt auch eine Diskrepanz zwischen der Anwendung des Gesetzes und der tatsächlichen Nutzung des Internets. Zum Beispiel ist der Eindruck, den eine Person, die mit dem Internet und Informationstechnologie vertraut ist, von 10.000 Zugriffen hat, anders als der Eindruck, den eine allgemeine Person, einschließlich der Polizei und der Staatsanwaltschaft, hat. Es ist problematisch, dass diese Diskrepanz in der Wahrnehmung nicht korrigiert wird. Es gibt auch Bedenken und Ängste, dass die freie Nutzung und Entwicklung des Internets und der Industrie eingeschränkt werden könnte, wenn jeder, wie dieser Mann, die Möglichkeit hat, verhaftet zu werden.
Der Mann wurde letztendlich nicht angeklagt, weil es keine starke Absicht zur Geschäftsbehinderung gab, aber er wurde für 20 Tage verhaftet und verhört und war körperlich eingeschränkt. Bei seiner Verhaftung wurde sein richtiger Name veröffentlicht. Darüber hinaus bedeutet die Einstellung der Anklage, dass er zwar kein Verbrechen begangen hat, aber immer noch als Verbrecher angesehen wird. Auch wenn er nicht angeklagt wurde, ist es problematisch, dass er erhebliche soziale Nachteile erlitten hat.
Zusammenfassung
Wie bereits erwähnt, kann ein DoS-Angriff zu einer Straftat nach dem japanischen “Gesetz gegen die Beschädigung von Computern und die Störung von Geschäftsabläufen” führen. Es gibt jedoch einige Probleme bei der Anwendung dieses Gesetzes, und es besteht die Gefahr, dass auch Handlungen, die kaum als bösartig bezeichnet werden können, wie die hier vorgestellten Fälle, als Straftaten eingestuft werden. Im Gegensatz zur Zeit der Gesetzgebung besitzen heute viele Menschen Internetgeräte wie Smartphones und Computer, und die Internetgesellschaft entwickelt sich rasant. Um diese Probleme zu überwinden und die Freiheit im Internet zu schützen, ist es notwendig, die Anwendung des Gesetzes zu überdenken und neue gesetzgeberische Maßnahmen in Betracht zu ziehen.
Wenn der Server eines Unternehmens durch einen Cyber-Angriff wie einen DoS-Angriff beschädigt wird, wird normalerweise die Polizei aufgefordert, Ermittlungen durchzuführen. Allerdings handelt es sich oft um technisch sehr komplexe Probleme, und wie im oben genannten Fall der Bibliothek kann es sein, dass eine angemessene Reaktion nur von Personen mit Kenntnissen und Know-how in IT und Recht möglich ist.
Als zivilrechtliche Lösung kann, wenn der Täter identifiziert werden kann, Schadenersatz von diesem verlangt werden. Daher könnte es eine Option sein, sich an einen Anwalt zu wenden, der sich mit Internet- und Geschäftsrecht auskennt.
Category: IT
Tag: CybercrimeIT