Eilmeldung: Die Anzahl der erkannten Fälle von unbefugtem Zugriff hat sich im Jahr Reiwa 5 (2023) verdreifacht
Die Nationalpolizeibehörde, das Ministerium für Innere Angelegenheiten und Kommunikation sowie das Ministerium für Wirtschaft, Handel und Industrie haben am 14. März 2024 (2024) die Situation von unerlaubten Zugriffen[ja] vom 1. Januar 2023 (2023) bis zum 31. Dezember 2023 (2023) veröffentlicht.
Dies basiert auf den Bestimmungen des Gesetzes zur Verhinderung von unerlaubten Zugriffen (Unerlaubte Zugriffsverhinderungsgesetz), das besagt: „Die Nationale Sicherheitskommission, der Minister für Innere Angelegenheiten und Kommunikation sowie der Minister für Wirtschaft, Handel und Industrie sollen mindestens einmal jährlich die Situation von unerlaubten Zugriffen sowie den Stand der Forschung und Entwicklung bezüglich der Technologie von Zugriffskontrollfunktionen veröffentlichen, um zur Verteidigung gegen unerlaubte Zugriffe auf spezifische elektronische Rechensysteme mit Zugriffskontrollfunktionen beizutragen“ (Artikel 10, Absatz 1). Die Veröffentlichung erfolgt jährlich im März durch die drei Ministerien.
Hier erläutern wir die Situation von unerlaubten Zugriffen im Jahr 2023 (Reiwa 5 (2023)), basierend auf der Pressemitteilung „Situation von unerlaubten Zugriffen und der Stand der Forschung und Entwicklung bezüglich der Technologie von Zugriffskontrollfunktionen“.
Fälle von unbefugtem Zugriff
Im Jahr 2023 wurden der japanischen Nationalpolizeibehörde 6312 Fälle von unbefugtem Zugriff gemeldet, was im Vergleich zu den 2200 Fällen im Jahr 2022 (ein Anstieg um 4112 Fälle oder etwa 186,9 %) eine Verdreifachung darstellt und die höchste Zahl der letzten fünf Jahre erreicht.
Dies ist hauptsächlich auf einen starken Anstieg von „unbefugten Überweisungen und ähnlichen Vorfällen im Internetbanking“ von 1096 auf 5598 Fälle zurückzuführen.
Betrachtet man die Gesamtzahl der erkannten Fälle von unbefugtem Zugriff nach der Art der anschließenden Handlungen, so waren „unbefugte Überweisungen und ähnliche Vorfälle im Internetbanking“ mit 5598 Fällen am häufigsten, gefolgt von „unbefugtem Erlangen von Informationen durch Ausspähen von E-Mails etc.“ (204 Fälle), „unbefugten Käufen im Internetshopping“ (93 Fälle) und „unbefugten Manipulationen in Online-Spielen und Community-Websites“ (83 Fälle).
In Bezug darauf lag die Zahl der im Jahr 2023 festgenommenen Fälle von Verstößen gegen das japanische Gesetz zur Verhinderung von unbefugtem Zugriff bei 521 Fällen und 259 Personen, was im Vergleich zum Vorjahr einem Rückgang um einen Fall und einem Anstieg um zwei Personen entspricht und somit nahezu unverändert blieb.
Die Altersgruppe der Verdächtigen zeigte, dass die meisten zwischen 20 und 29 Jahren alt waren (103 Personen), gefolgt von 14 bis 19 Jahren (73 Personen) und 30 bis 39 Jahren (53 Personen). Darüber hinaus wurden 9 Jungen unter 14 Jahren wegen Verstößen gegen das Gesetz zur Verhinderung von unbefugtem Zugriff als straffällige Minderjährige aufgegriffen, jedoch aufgrund ihres Alters nicht in die Zahlen der Festnahmen und Personen aufgenommen.
Unter den festgenommenen oder aufgegriffenen Personen war der jüngste 11 Jahre und der älteste 61 Jahre alt.
Quelle: Ministerium für Innere Angelegenheiten und Kommunikation | Situation der unbefugten Zugriffe und der Entwicklung von Technologien zur Zugriffskontrolle
Erfassung von Verstößen gegen das japanische Gesetz zur Verhinderung von unbefugtem Zugriff
Das japanische Gesetz zur Verhinderung von unbefugtem Zugriff verbietet und bestraft:
- Das Verbot von unbefugtem Zugriff (Artikel 3)
- Das Verbot, Identifikationscodes anderer Personen unrechtmäßig zu erlangen (Artikel 4)
- Das Verbot von Handlungen, die unbefugten Zugriff fördern (Artikel 5)
- Das Verbot, Identifikationscodes anderer Personen unrechtmäßig zu speichern (Artikel 6)
- Das Verbot, unrechtmäßig Anfragen zur Eingabe von Identifikationscodes anderer Personen zu stellen (Artikel 7)
Ein konkretes Beispiel für Identifikationscodes sind „ID & Passwort“.
Im Jahr 2023 (Reiwa 5) zeigt die Aufschlüsselung der Anzahl der Festnahmen und Personen, die wegen Verstößen gegen das Gesetz zur Verhinderung von unbefugtem Zugriff festgenommen wurden, nach Art des Verstoßes, dass „unbefugter Zugriff“ mit 487 Fällen und 248 Personen mehr als 90% ausmacht, „Erwerb von Identifikationscodes“ mit 11 Fällen und 8 Personen, „Bereitstellung von Identifikationscodes (Förderung)“ mit 13 Fällen und 10 Personen, „Speicherung von Identifikationscodes“ mit 7 Fällen und 6 Personen und „unrechtmäßige Anforderung von Identifikationscodes“ mit 3 Fällen und 2 Personen.
Unter diesen macht der unbefugte Zugriff, der im Artikel 2 Absatz 4 des Gesetzes zur Verhinderung von unbefugtem Zugriff als
- Identifikationscode-Diebstahltyp (Identitätsdiebstahltyp)
- Sicherheitslückenangriffstyp
definiert ist, mit 475 Fällen mehr als 90% der Fälle von unbefugtem Zugriff im Jahr 2023 (Reiwa 5) aus.
Die Aufschlüsselung der Methoden des „Identifikationscode-Diebstahltyps“ von unbefugtem Zugriff zeigt, dass „Ausnutzung der laxen Passwortverwaltung der Berechtigten“ mit 203 Fällen am häufigsten vorkommt, gefolgt von „Taten durch ehemalige Mitarbeiter oder Bekannte, die in der Lage waren, Identifikationscodes zu kennen“ (68 Fälle), „Erfragen oder Ausspionieren durch die Berechtigten“ (40 Fälle), „Erhalt von Dritten“ (36 Fälle), „Erhalt durch Phishing-Websites“ (10 Fälle).
Zudem zeigt die Aufschlüsselung der Dienste, die unter Verwendung der Identifikationscodes anderer Personen unrechtmäßig genutzt wurden, dass „Online-Spiele & Community-Websites“ am häufigsten betroffen waren (234 Fälle), gefolgt von „Exklusiven Websites für Mitarbeiter/Mitglieder etc.“ (82 Fälle), „Internet-Shopping“ (35 Fälle), „Internet-Banking“ (29 Fälle), „E-Mail“ (3 Fälle).
Verwandter Artikel: Handlungen und Beispiele, die durch das japanische Gesetz zur Verhinderung von unbefugtem Zugriff verboten sind, erklärt von einem Anwalt[ja]
Festnahmen im Jahr 2023 (Reiwa 5)
Jährlich werden einige Festnahmefälle als Referenzmaterial in den “Berichten über die Vorfälle von unerlaubtem Zugriff” aufgeführt.
Ein Fachschulstudent (21 Jahre alt) erstellte im Oktober und Dezember 2022 Phishing-Websites, die sich als legitime soziale Netzwerke ausgaben, und veröffentlichte diese im Internet. Er erlangte unrechtmäßig IDs und Passwörter von mehreren legitimen Nutzern und nutzte diese, um unerlaubt auf das entsprechende soziale Netzwerk zuzugreifen. Er wurde im April 2023 wegen Verstößen gegen das Gesetz zur Verhinderung von unerlaubtem Zugriff (unerlaubte Zugriffsakte, unrechtmäßige Anforderung von Identifikationscodes und deren Erlangung) sowie wegen der Erstellung und Verwendung von falschen elektronischen Aufzeichnungen festgenommen.
Eine Beamtin (30 Jahre alt) setzte im Dezember 2022 ohne Zustimmung des Inhabers eine PIN für eine fremde My Number-Karte (japanische Sozialversicherungs- und Steuernummerkarte) und nutzte diese PIN, um unerlaubten Zugriff zu erlangen und Punkte für einen von ihr genutzten bargeldlosen Zahlungsdienst zu sammeln. Sie wurde im April 2023 wegen der Erstellung und Verwendung von falschen öffentlichen elektronischen Aufzeichnungen, Verstößen gegen das Gesetz zur Verhinderung von unerlaubtem Zugriff (unerlaubte Zugriffsakte) und Betrug durch Nutzung von Computern festgenommen.
Ein Fachschulstudent (18 Jahre alt) bot im März 2023 Nutzern einer Website für den Handel von Spielkonten den Kauf von Spielkonten an, erlangte die Identifikationscodes der Kaufinteressenten für diese Website und griff unrechtmäßig auf die Website zu, um die Punkte der Kaufinteressenten unrechtmäßig zu erlangen. Er wurde im Juli wegen Verstößen gegen das Gesetz zur Verhinderung von unerlaubtem Zugriff (unerlaubte Zugriffsakte) und Betrug durch Nutzung von Computern festgenommen.
Ein Angestellter (25 Jahre alt) versuchte von August bis November 2022, durch Erraten von Passwörtern unerlaubt auf mehrere SNS-Konten zuzugreifen und sendete Nachrichten, in denen er Schaden androhte, während er sich als legitimer Nutzer ausgab. Er wurde im August 2023 wegen Verstößen gegen das Gesetz zur Verhinderung von unerlaubtem Zugriff (unerlaubte Zugriffsakte) und wegen Bedrohung festgenommen.
Ein Angestellter (43 Jahre alt) gab im Juni 2023 Identifikationscodes, die ihm von seinem ehemaligen Arbeitgeber für ein Visitenkartensystem zugewiesen wurden, an Kollegen seines neuen Arbeitgebers weiter und griff selbst unrechtmäßig auf das System zu. Er wurde im September 2023 wegen Verstößen gegen das Datenschutzgesetz und das Gesetz zur Verhinderung von unerlaubtem Zugriff (unerlaubte Zugriffsakte) festgenommen.
Ein arbeitsloser Mann (20 Jahre alt) und zwei weitere Personen täuschten im Januar 2023 gemeinsam vor, eine von einem SNS-Anbieter betriebene Website zu sein, indem sie eine solche auf einem ausländischen Server speicherten und Informationen bereitstellten, die von einer unbestimmten Anzahl von Personen eingesehen werden konnten und diese aufforderten, Passwörter und ähnliches einzugeben. Sie wurden im September wegen Verstößen gegen das Gesetz zur Verhinderung von unerlaubtem Zugriff (unrechtmäßige Anforderung von Identifikationscodes) festgenommen.
Verwandter Artikel: Detaillierte Informationen zum Gesetz zur Verhinderung von unerlaubtem Zugriff und Beispielen für Verstöße[ja]
Zusammenfassung: Gegen unerlaubten Zugriff sind sofortige Maßnahmen und die Konsultation von Experten dringend erforderlich
Im Hinblick auf die “Situation der Vorfälle durch unerlaubten Zugriff” ist zu beachten, dass bei der Verteidigung gegen die zunehmende Tendenz solcher Handlungen als “Maßnahmen, die von den Rechteinhabern ergriffen werden sollten”, folgende Punkte genannt werden:
- Angemessene Einrichtung und Verwaltung von Passwörtern
- Maßnahmen gegen Phishing
- Maßnahmen gegen Schadprogramme
Des Weiteren werden als “Maßnahmen, die von den Zugriffsverwaltern ergriffen werden sollten”, genannt:
- Aufbau eines Betriebssystems etc.
- Angemessene Einrichtung von Passwörtern
- Angemessene Verwaltung von ID & Passwort
- Maßnahmen gegen Sicherheitslückenangriffe
- Maßnahmen gegen Phishing etc.
Diese Maßnahmen sind von großer Bedeutung.
Verbrechen durch unerlaubten Zugriff können jedes Unternehmen und jede Person, die das Internet nutzt, betreffen, und die damit verbundenen Schäden können erheblich sein. Daher ist es wichtig, diesen Maßnahmen besondere Aufmerksamkeit zu widmen.
Im Falle eines Schadens durch unerlaubten Zugriff ist es möglich, eine Strafanzeige zu erstatten, wobei die Verjährungsfrist hierfür drei Jahre beträgt. Sollten Sie Opfer eines solchen Vorfalls werden, ist es ratsam, so schnell wie möglich einen Anwalt zu konsultieren, der sich mit dem japanischen Gesetz gegen unerlaubten Zugriff auskennt.
Maßnahmen unserer Kanzlei
Die Monolith Rechtsanwaltskanzlei verfügt über umfangreiche Erfahrungen in IT, insbesondere im Internet, und im Recht. In jüngster Zeit ist die Datenleckage persönlicher Informationen zu einem großen Problem geworden. Sollten persönliche Informationen einmal durchsickern, kann dies unter Umständen eine verheerende Auswirkung auf die Geschäftstätigkeit haben. Unsere Kanzlei besitzt spezialisiertes Wissen in der Prävention und im Umgang mit Informationslecks. Im folgenden Artikel finden Sie weitere Details.
Bereiche, die von der Monolith Rechtsanwaltskanzlei abgedeckt werden: Rechtsangelegenheiten im Zusammenhang mit dem japanischen Gesetz zum Schutz persönlicher Informationen[ja]
Category: IT
Tag: CybercrimeIT