Ein Anwalt erklärt die vom japanischen 'Unzulässigen Zugriffsverbotsgesetz' verbotenen Handlungen und Beispiele
Das Gesetz gegen unbefugten Zugriff (offizieller Name “Gesetz zur Verhinderung von unbefugtem Zugriff und ähnlichen Handlungen”) wurde im Februar 2000 (Heisei 12) in Kraft gesetzt und im Mai 2012 (Heisei 24) geändert und ist derzeit gültig. Es handelt sich um ein Gesetz, das darauf abzielt, Cyberkriminalität zu verhindern und die Ordnung in Bezug auf Telekommunikation aufrechtzuerhalten, und besteht aus insgesamt 14 Artikeln.
“Gesetz zur Verhinderung von unbefugtem Zugriff und ähnlichen Handlungen” (Zweck)
Artikel 1: Dieses Gesetz zielt darauf ab, durch das Verbot von unbefugtem Zugriff und die Festlegung von Strafen und Hilfsmaßnahmen durch die Präfekturpolizeikommissionen zur Verhinderung von Wiederholungen, die Verhinderung von Verbrechen im Zusammenhang mit Computern, die über Telekommunikationsleitungen durchgeführt werden, und die Aufrechterhaltung der Ordnung in Bezug auf Telekommunikation, die durch Zugriffskontrollfunktionen realisiert wird, zu fördern und damit zur gesunden Entwicklung der Informationsgesellschaft beizutragen.
Was verbietet das Gesetz gegen unbefugten Zugriff konkret? Welche realen Beispiele gibt es und welche Maßnahmen sollten straf- und zivilrechtlich ergriffen werden? Wir erklären die Details des Gesetzes gegen unbefugten Zugriff und die Maßnahmen, die ergriffen werden sollten, wenn Sie Opfer geworden sind.
Verbotene Handlungen nach dem japanischen Gesetz gegen unbefugten Zugriff
Die Handlungen, die nach dem japanischen Gesetz gegen unbefugten Zugriff verboten und bestraft werden, lassen sich im Wesentlichen in drei Kategorien einteilen:
- Verbot von unbefugtem Zugriff (Artikel 3)
- Verbot von Handlungen, die unbefugten Zugriff fördern (Artikel 5)
- Verbot von Handlungen, die die unrechtmäßige Erlangung, Aufbewahrung oder Anforderung von Identifikationscodes anderer Personen beinhalten (Artikel 4, 6, 7)
Der hier verwendete Begriff “Identifikationscode” bezieht sich auf einen Code, der von einem Zugriffsadministrator für einen bestimmten Benutzer eines bestimmten elektronischen Rechners festgelegt wird und vom Zugriffsadministrator verwendet wird, um diesen Benutzer von anderen Benutzern zu unterscheiden (Artikel 2 Absatz 2).
Ein typisches Beispiel für einen Identifikationscode ist ein Passwort, das in Kombination mit einer ID verwendet wird. Darüber hinaus werden zunehmend Mechanismen eingeführt, die eine Person anhand ihres Fingerabdrucks oder der Iris ihres Auges identifizieren. Auch diese gelten als Identifikationscodes. Darüber hinaus wird ein numerischer Code, der aus der Digitalisierung einer Unterschrift und der damit verbundenen Druckstärke erstellt wurde, um eine Person zu identifizieren, ebenfalls als Identifikationscode betrachtet.
Was ist unerlaubter Zugriff?
Konkret wird dies in Artikel 2, Absatz 4 definiert, aber unerlaubter Zugriff bezieht sich auf das “Identitätsdiebstahl”, bei dem die Identifikationscodes anderer missbraucht werden, und auf “Sicherheitslücken-Angriffe”, bei denen die Schwachstellen in Computerprogrammen ausgenutzt werden. Das japanische Gesetz gegen unerlaubten Zugriff (Japanisches Gesetz zur Verhinderung von unerlaubtem Zugriff) verbietet das unerlaubte Zugreifen auf die Computer anderer Personen durch diese Methoden.
Missbrauch der Identifikationscodes anderer
Das sogenannte “Identitätsdiebstahl” bezieht sich auf die Nutzung eines Computers, auf den man normalerweise keinen Zugriff hat, durch den Missbrauch der Identifikationscodes anderer.
Im Grunde genommen, wenn man ein Computersystem nutzen möchte, muss man Identifikationscodes wie ID und Passwort auf dem Computer eingeben. Hierbei bezieht sich “Identitätsdiebstahl” auf das Eingeben der Identifikationscodes einer anderen Person, die die regulären Nutzungsrechte hat, ohne deren Zustimmung.
Es mag etwas verwirrend sein, aber “anderer” in diesem Kontext bezieht sich auf IDs und Passwörter, die bereits von anderen erstellt (und genutzt) werden. Mit anderen Worten, “Identitätsdiebstahl” bezieht sich im Wesentlichen auf das “Übernehmen” von Konten wie Twitter und anderen sozialen Netzwerken, die bereits von anderen genutzt werden.
Da das Eingeben der Identifikationscodes ohne die Zustimmung des Inhabers eine Voraussetzung ist, würde es nicht gegen das japanische Gesetz zur Verhinderung von unerlaubtem Zugriff verstoßen, wenn man beispielsweise einem Kollegen, der im Büro ist, während man auf Geschäftsreise ist, sein Passwort gibt, um in seiner Abwesenheit E-Mails und dergleichen zu überprüfen, da man die Zustimmung des Inhabers hat.
Im Allgemeinen bezieht sich “Identitätsdiebstahl” auf das Erstellen eines neuen Kontos unter Verwendung des Namens und des Fotos einer anderen Person und die Nutzung von sozialen Netzwerken wie Twitter unter der Identität dieser anderen Person. Die Handlungen, die durch das japanische Gesetz zur Verhinderung von unerlaubtem Zugriff verboten sind, unterscheiden sich jedoch davon. Für eine detaillierte Erklärung des allgemeinen Begriffs “Identitätsdiebstahl” siehe den folgenden Artikel.
https://monolith.law/reputation/spoofing-dentityright[ja]
Ausnutzung von Schwachstellen in Computerprogrammen
“Sicherheitslücken-Angriffe” beziehen sich auf Handlungen, bei denen die Sicherheitslücken (Mängel in den Sicherheitsmaßnahmen) in den Computern anderer angegriffen werden, um diese Computer nutzen zu können. Mit Angriffsprogrammen und ähnlichem werden Informationen und Befehle, die nicht Identifikationscodes sind, an das Angriffsziel gegeben, um die Zugriffskontrollfunktionen des Computers anderer zu umgehen und den Computer ohne Erlaubnis zu nutzen.
Die hier genannte Zugriffskontrollfunktion bezieht sich auf eine Funktion, die der Zugriffsadministrator einem bestimmten Computer oder einem Computer, der mit einem bestimmten Computer über eine Telekommunikationsleitung verbunden ist, gibt, um zu verhindern, dass Personen, die nicht die regulären Nutzer sind, einen bestimmten Gebrauch von einem bestimmten Computer machen (Artikel 2, Absatz 3).
Um es einfach zu erklären, es handelt sich um ein System, das Personen, die versuchen, auf ein Computersystem zuzugreifen, dazu bringt, ID und Passwort usw. über das Netzwerk einzugeben und nur dann Zugang gewährt, wenn die korrekte ID und das korrekte Passwort usw. eingegeben wurden.
Das heißt, “Sicherheitslücken-Angriffe” beziehen sich auf Handlungen, die dieses System außer Kraft setzen, so dass das betreffende Computersystem ohne die Eingabe der korrekten ID und des korrekten Passworts usw. genutzt werden kann.
Zwei Arten von unerlaubtem Zugriff
Wie oben erwähnt, gibt es zwei Arten von unerlaubtem Zugriff.
Worauf man achten sollte, ist, dass für beide Arten von unerlaubtem Zugriff eine Voraussetzung ist, dass sie über ein Computernetzwerk durchgeführt werden. Daher würde das unerlaubte Eingeben von Passwörtern usw. und die Nutzung eines Computers, der nicht mit einem Netzwerk verbunden ist, also eines sogenannten Standalone-Computers, nicht als unerlaubter Zugriff gelten.
Es sollte jedoch beachtet werden, dass Computernetzwerke nicht nur offene Netzwerke wie das Internet, sondern auch geschlossene Netzwerke wie interne LANs umfassen.
Zudem gibt es keine Einschränkungen hinsichtlich des Inhalts der unerlaubten Nutzung, die durch den unerlaubten Zugriff erfolgt. Beispielsweise würde das unerlaubte Bestellen, das Ansehen von Daten, das Übertragen von Dateien und das Ändern von Webseiten gegen das japanische Gesetz zur Verhinderung von unerlaubtem Zugriff verstoßen.
Wenn man eine dieser beiden Arten von unerlaubtem Zugriff begeht, könnte man mit einer Freiheitsstrafe von bis zu drei Jahren oder einer Geldstrafe von bis zu einer Million Yen belegt werden (Artikel 11).
Was sind Handlungen, die unerlaubten Zugriff fördern?
Handlungen, die unerlaubten Zugriff fördern, wie sie im japanischen “Gesetz zur Verhinderung von unerlaubtem Zugriff” (Unauthorised Access Prohibition Law) verboten sind, beinhalten die Weitergabe von IDs und Passwörtern anderer Personen an Dritte ohne deren Zustimmung. Unabhängig von der Methode, ob per Telefon, E-Mail oder über eine Webseite, wenn Sie anderen Personen beispielsweise mitteilen “Die ID von XX ist YY, das Passwort ist ZZ”, und es anderen Personen ermöglichen, auf die Daten anderer Personen zuzugreifen, fällt dies unter die Förderung von unerlaubtem Zugriff.
Wenn Sie Handlungen durchführen, die unerlaubten Zugriff fördern, können Sie mit einer Freiheitsstrafe von bis zu einem Jahr oder einer Geldstrafe von bis zu 500.000 Yen belegt werden (Artikel 12, Absatz 2).
Bitte beachten Sie, dass Sie auch dann mit einer Geldstrafe von bis zu 300.000 Yen belegt werden können, wenn Sie ein Passwort bereitstellen, ohne das Ziel des unerlaubten Zugriffs zu kennen (Artikel 13).
Was bedeutet das unrechtmäßige Erlangen, Aufbewahren und Anfordern von Identifikationscodes anderer Personen?
Im japanischen Gesetz gegen unerlaubten Zugriff (Unzulässiger Zugriff-Verbotsgesetz) ist das unrechtmäßige Erlangen, Aufbewahren und Anfordern von Identifikationscodes (ID, Passwort) anderer Personen verboten.
- Artikel 4: Verbot des unrechtmäßigen Erlangens von Identifikationscodes anderer Personen
- Artikel 6: Verbot des unrechtmäßigen Aufbewahrens von Identifikationscodes anderer Personen
- Artikel 7: Verbot des unrechtmäßigen Anforderns von Identifikationscodes anderer Personen
Ein typisches Beispiel für dieses Verbot ist das “Anfordern von Eingaben”, auch bekannt als Phishing. Zum Beispiel, indem man sich als Finanzinstitut ausgibt, Opfer auf eine gefälschte Homepage lockt, die genau wie die echte aussieht, und sie dazu bringt, ihr Passwort und ihre ID auf dieser gefälschten Seite einzugeben.
Mit den durch Phishing erlangten Identifikationsnummern werden häufig Auktionsbetrügereien durchgeführt, und es kommt auch vor, dass Einlagen ohne Erlaubnis auf andere Konten überwiesen werden.
Wer diese Handlungen begeht, kann mit einer Freiheitsstrafe von bis zu einem Jahr oder einer Geldstrafe von bis zu 500.000 Yen bestraft werden (Artikel 12, Absatz 4).
Welche Gesetze regeln Cyberkriminalität außerhalb von unerlaubtem Zugriff?
Wie bereits erwähnt, ist das japanische Gesetz gegen unerlaubten Zugriff (Unzulässiger Zugriffsverbotsgesetz) ein Gesetz, das dazu dient, bestimmte Arten von sogenannter Cyberkriminalität zu bekämpfen. Wenn wir über das gesamte Spektrum der “Cyberkriminalität” sprechen, können auch andere Gesetze wie das japanische Gesetz gegen Computersabotage und Geschäftsbehinderung (Elektronische Rechnerbeschädigung und Geschäftsbehinderungsdelikt), das Gesetz gegen betrügerische Geschäftsbehinderung (Betrügerische Geschäftsbehinderungsdelikt) und das Gesetz gegen Verleumdung (Ehrenverletzungsdelikt) relevant sein. Eine detaillierte Erklärung des gesamten Bildes der Cyberkriminalität finden Sie im folgenden Artikel.
https://monolith.law/corporate/categories-of-cyber-crime[ja]
Pflichten des Zugriffsverwalters
Wir werden die Pflichten erläutern, die durch das japanische “Gesetz zur Verhinderung von unbefugtem Zugriff” (Unbefugter Zugriff Verbotsgesetz) definiert sind. Ein Zugriffsverwalter ist eine Person, die die Operationen eines bestimmten Computers, der mit einer Telekommunikationsleitung verbunden ist, verwaltet (Artikel 2, Absatz 1).
Die hier genannte Verwaltung bezieht sich auf die Entscheidung, wer einen bestimmten Computer über ein Netzwerk nutzen darf und in welchem Umfang. Eine Person, die die Befugnis hat, solche Benutzer und Nutzungsbereiche festzulegen, wird als Zugriffsverwalter im Sinne des Gesetzes zur Verhinderung von unbefugtem Zugriff bezeichnet.
Zum Beispiel, wenn ein Unternehmen ein Computersystem betreibt, wird es einen Systemverantwortlichen aus den Mitarbeitern auswählen und ihn mit der Verwaltung beauftragen. Die einzelnen Systemverantwortlichen verwalten jedoch nur gemäß den Absichten des Unternehmens. Daher ist in solchen Fällen der Zugriffsverwalter nicht der Systemverantwortliche, sondern das Unternehmen, das das Computersystem betreibt.
Das Gesetz zur Verhinderung von unbefugtem Zugriff definiert nicht nur unbefugte Zugriffsaktionen und Strafen, sondern legt auch Pflichten für den Verwalter zur Verhinderung von unbefugtem Zugriff in der Verwaltung von Servern usw. fest.
Abwehrmaßnahmen durch den Zugriffsverwalter
Artikel 8: Ein Zugriffsverwalter, der eine Zugriffskontrollfunktion zu einem bestimmten Computer hinzugefügt hat, muss sich bemühen, die Identifikationscodes, die sich auf diese Zugriffskontrollfunktion beziehen, oder die Codes, die zur Überprüfung dieser durch die Zugriffskontrollfunktion verwendet werden, ordnungsgemäß zu verwalten, ständig die Wirksamkeit dieser Zugriffskontrollfunktion zu überprüfen und, wenn er es für notwendig hält, schnell Maßnahmen zur Verbesserung dieser Funktion und andere notwendige Maßnahmen zur Abwehr von unbefugtem Zugriff auf diesen bestimmten Computer zu ergreifen.
Es ist vorgeschrieben, dass “Identifikationscodes ordnungsgemäß verwaltet werden”, “die Wirksamkeit der Zugriffskontrollfunktion ständig überprüft wird” und “die Zugriffskontrollfunktion bei Bedarf verbessert wird”. Diese sind jedoch nur Bemühungspflichten, und es gibt keine Strafen, wenn diese Maßnahmen vernachlässigt werden.
Dennoch muss der Verwalter, wenn es Anzeichen dafür gibt, dass IDs oder Passwörter durchgesickert sind, schnell Maßnahmen zur Zugriffskontrolle wie das Löschen von Konten oder das Ändern von Passwörtern ergreifen.
Maßnahmen bei unerlaubtem Zugriff
Wenn Sie E-Mails oder soziale Netzwerke nutzen, können Sie Opfer von unerlaubtem Zugriff durch Dritte werden. Was können Sie in diesem Fall tun?
Strafanzeige erstatten
Zunächst können Sie denjenigen, der unerlaubt auf Ihr Konto zugegriffen hat, strafrechtlich anzeigen. Unerlaubter Zugriff ist ein Verbrechen und der Täter kann strafrechtlich verfolgt werden. Wie bereits erläutert, kann der Täter mit einer Freiheitsstrafe von bis zu drei Jahren oder einer Geldstrafe von bis zu einer Million Yen bestraft werden. Wenn es jemanden gibt, der den Täter unterstützt hat, kann dieser mit einer Freiheitsstrafe von bis zu einem Jahr oder einer Geldstrafe von bis zu 500.000 Yen bestraft werden.
Es ist zu beachten, dass Verstöße gegen das Gesetz zum Verbot von unerlaubtem Zugriff (japanisches Gesetz zum Verbot von unerlaubtem Zugriff) auch ohne Anzeige verfolgt werden können. Wenn die Polizei von dem Vorfall erfährt, kann sie Ermittlungen einleiten und den Täter festnehmen. Auch Personen, die nicht selbst Opfer des unerlaubten Zugriffs waren, können den Vorfall bei der Polizei melden.
Wie bereits in einem Artikel über das Vergehen der Geschäftsbehinderung erwähnt, sind Anzeigedelikte Verbrechen, die ohne Strafanzeige des Opfers nicht verfolgt werden können. Dies bedeutet jedoch nicht, dass man nur bei Anzeigedelikten Anzeige erstatten kann. Auch bei Nicht-Anzeigedelikten kann das Opfer den Täter anzeigen.
Auch wenn es sich um ein Nicht-Anzeigedelikt handelt, kann die Situation des Verdächtigen durch eine Strafanzeige des Opfers verschlechtert werden und die Strafe kann härter ausfallen. Wenn Sie bemerken, dass Sie Opfer eines unerlaubten Zugriffs geworden sind, sollten Sie einen Anwalt konsultieren und bei der Polizei eine Schadensanzeige oder Strafanzeige einreichen. Sobald die Polizei die Schadensanzeige akzeptiert hat, wird sie die Ermittlungen zügig vorantreiben und den Verdächtigen festnehmen oder vor Gericht bringen.
Zivilrechtliche Schadensersatzforderungen stellen
Wenn Sie Opfer eines unerlaubten Zugriffs geworden sind, können Sie zivilrechtlich Schadensersatz vom Täter fordern, basierend auf Artikel 709 des japanischen Zivilgesetzbuches.
Zivilgesetzbuch Artikel 709
Wer vorsätzlich oder fahrlässig die Rechte oder gesetzlich geschützten Interessen einer anderen Person verletzt, ist verpflichtet, den dadurch entstandenen Schaden zu ersetzen.
Wenn der Täter unerlaubt auf Ihr Konto zugegriffen und die dabei erlangten persönlichen Informationen verbreitet hat, wenn er Gegenstände aus einem Online-Spiel gestohlen hat, oder wenn er auf Daten wie Kreditkarten oder Bankkonten zugegriffen und finanziellen Schaden verursacht hat, sollten Sie Schadensersatzforderungen, einschließlich Schmerzensgeld, stellen. Natürlich können Sie auch Schadensersatz fordern, wenn tatsächlich finanzieller Schaden entstanden ist, z.B. durch den Zugriff auf Kreditkarten- oder Bankkontodaten.
Um jedoch Schadensersatz vom Täter zu fordern, müssen Sie den Täter identifizieren und Beweise sammeln, dass dieser tatsächlich unerlaubt auf Ihr Konto zugegriffen hat. Dies erfordert ein hohes Maß an Fachwissen. Wenn Sie Opfer eines unerlaubten Zugriffs geworden sind, sollten Sie einen Anwalt mit umfangreicher Erfahrung in Internetangelegenheiten konsultieren und ihn mit der Durchführung des Verfahrens beauftragen.
Zusammenfassung
Das japanische Gesetz gegen unerlaubten Zugriff (不正アクセス禁止法) gewinnt in der zunehmend digitalisierten modernen Gesellschaft immer mehr an Bedeutung. Allerdings ist es oft technisch schwierig, selbst wenn man tatsächlich Opfer eines unerlaubten Zugriffs geworden ist, den Täter zu identifizieren.
Des Weiteren ist ein Verstoß gegen das Gesetz gegen unerlaubten Zugriff strafbar, daher kann es vorkommen, dass man eine Strafanzeige bei der Polizei erstattet. Da es sich jedoch um eine neue Art von Verbrechen handelt, ist es nicht immer der Fall, dass die Polizei den Fall sofort versteht. Aus diesem Grund ist es notwendig, bei der Erstattung einer Strafanzeige eine sorgfältige Erklärung aus rechtlicher und technischer Sicht zu geben, um das Verständnis der Polizei zu unterstützen. In diesem Sinne erfordert die Handhabung des Gesetzes gegen unerlaubten Zugriff ein hohes Maß an Fachwissen, daher ist es wichtig, einen Anwalt zu konsultieren, der auch mit den technischen Aspekten der IT vertraut ist.
Category: IT
Tag: CybercrimeIT