MONOLITH LAW OFFICE+81-3-6262-3248Wochentags 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

Verbotene Handlungen nach dem japanischen Gesetz gegen unbefugten Zugriff

IT

Verbotene Handlungen nach dem japanischen Gesetz gegen unbefugten Zugriff

Das japanische Gesetz gegen unbefugten Zugriff (offizieller Name “Gesetz zur Verhinderung von unbefugtem Zugriff und ähnlichen Handlungen”) wurde im Februar 2000 (Heisei 12) in Kraft gesetzt und im Mai 2012 (Heisei 24) geändert und ist derzeit gültig. Es handelt sich um ein Gesetz, das darauf abzielt, Cyberkriminalität zu verhindern und die Ordnung in Bezug auf elektronische Kommunikation aufrechtzuerhalten, und besteht aus insgesamt 14 Artikeln.

“Gesetz zur Verhinderung von unbefugtem Zugriff und ähnlichen Handlungen” (Zweck)
Artikel 1: Dieses Gesetz zielt darauf ab, durch das Verbot von unbefugtem Zugriff und die Festlegung von Strafen und Hilfsmaßnahmen durch die Präfekturpolizeikommissionen zur Verhinderung von Wiederholungen, die Verhinderung von Verbrechen im Zusammenhang mit Computern, die über Telekommunikationsleitungen durchgeführt werden, und die Aufrechterhaltung der Ordnung in Bezug auf die durch Zugriffskontrollfunktionen realisierte elektronische Kommunikation zu fördern und damit zur gesunden Entwicklung der Informationsgesellschaft beizutragen.

Was verbietet das japanische Gesetz gegen unbefugten Zugriff konkret? Welche realen Beispiele gibt es und welche Maßnahmen sollten straf- und zivilrechtlich ergriffen werden? Wir erklären die Details des japanischen Gesetzes gegen unbefugten Zugriff und die Maßnahmen, die im Falle eines Schadens ergriffen werden sollten.

Verbotene Handlungen nach dem japanischen Gesetz gegen unbefugten Zugriff (Unbefugter Zugriff-Verbotsgesetz)

Das japanische Gesetz gegen unbefugten Zugriff verbietet und bestraft im Wesentlichen die folgenden drei Arten von Handlungen:

  • Verbot von unbefugtem Zugriff (Artikel 3)
  • Verbot von Handlungen, die unbefugten Zugriff fördern (Artikel 5)
  • Verbot von Handlungen, die die Identifikationscodes anderer Personen unrechtmäßig erwerben, speichern oder anfordern (Artikel 4, 6, 7)

Was ist unbefugter Zugriff?

Im Einzelnen wird dies in Artikel 2 Absatz 4 definiert, es handelt sich um “Identitätsdiebstahl” und “Sicherheitslückenangriffe”. Das japanische Gesetz gegen unbefugten Zugriff verbietet Handlungen, die unbefugten Zugriff auf den Computer einer anderen Person ermöglichen.

“Identitätsdiebstahl” bezieht sich auf Handlungen, bei denen eine Person ohne Erlaubnis die Identifikationscodes einer anderen Person eingibt, wenn sie einen Provider auf ihrem Computer nutzt und Identifikationscodes wie ID und Passwort eingeben muss.

Es mag etwas verwirrend sein, aber “Identität einer anderen Person” in diesem Kontext bezieht sich auf IDs und Passwörter, die bereits von einer anderen Person erstellt (und genutzt) wurden. “Identitätsdiebstahl” bezieht sich im Wesentlichen auf Handlungen, bei denen eine Person Konten auf sozialen Netzwerken wie Twitter, die bereits von einer anderen Person genutzt werden, “übernimmt”.

Im Allgemeinen bezieht sich “Identitätsdiebstahl” auf Handlungen, bei denen eine Person ein neues Konto erstellt, indem sie den Namen und das Foto einer anderen Person verwendet und sich auf sozialen Netzwerken wie Twitter als diese andere Person ausgibt. Dies ist jedoch anders. Eine detaillierte Erklärung zu “Identitätsdiebstahl” in diesem Sinne finden Sie im folgenden Artikel.

https://monolith.law/reputation/spoofing-dentityright[ja]

“Sicherheitslückenangriffe” beziehen sich auf Handlungen, bei denen eine Person die Sicherheitslücken (Sicherheitsmängel) im Computer einer anderen Person angreift, um diesen Computer nutzen zu können. Sie verwenden Angriffsprogramme usw., um Informationen und Befehle außerhalb der Identifikationscodes an das Angriffsziel zu senden, umgehen die Zugriffskontrollfunktion des Computers einer anderen Person und nutzen den Computer ohne Erlaubnis.

Wenn Sie diese Arten von unbefugtem Zugriff durchführen, können Sie zu einer Freiheitsstrafe von bis zu drei Jahren oder einer Geldstrafe von bis zu 1 Million Yen verurteilt werden (Artikel 11).

Was sind Handlungen, die unbefugten Zugriff fördern?

Handlungen, die den unbefugten Zugriff fördern, den das japanische Gesetz gegen unbefugten Zugriff verbietet, beziehen sich auf Handlungen, bei denen eine Person die ID und das Passwort einer anderen Person ohne deren Erlaubnis an Dritte weitergibt. Unabhängig von der Methode, ob per Telefon, E-Mail oder über eine Webseite, wenn Sie anderen Personen beispielsweise sagen: “Die ID von XX ist XX, das Passwort ist XX”, und es anderen Personen ermöglichen, auf die Daten anderer Personen zuzugreifen, fällt dies unter die Förderung von unbefugtem Zugriff.

Wenn Sie Handlungen durchführen, die unbefugten Zugriff fördern, können Sie zu einer Freiheitsstrafe von bis zu einem Jahr oder einer Geldstrafe von bis zu 500.000 Yen verurteilt werden (Artikel 12 Absatz 2).

Bitte beachten Sie, dass Sie auch dann mit einer Geldstrafe von bis zu 300.000 Yen rechnen müssen, wenn Sie ein Passwort bereitstellen, ohne das Ziel des unbefugten Zugriffs zu kennen (Artikel 13).

Was sind Handlungen, die die Identifikationscodes anderer Personen unrechtmäßig erwerben, speichern oder anfordern?

Das japanische Gesetz gegen unbefugten Zugriff verbietet Handlungen, bei denen die Identifikationscodes (ID, Passwort) anderer Personen unrechtmäßig erworben, gespeichert oder angefordert werden.

Artikel 4: Verbot von Handlungen, die die Identifikationscodes anderer Personen unrechtmäßig erwerben
Artikel 6: Verbot von Handlungen, die die Identifikationscodes anderer Personen unrechtmäßig speichern
Artikel 7: Verbot von Handlungen, die die Identifikationscodes anderer Personen unrechtmäßig anfordern

Ein typisches Beispiel für diese verbotenen Handlungen ist das “Anfordern von Eingaben”, auch bekannt als Phishing. Zum Beispiel täuschen sie vor, eine Finanzinstitution zu sein, leiten die Opfer auf eine gefälschte Webseite, die der echten Webseite täuschend ähnlich sieht, und lassen die Opfer dort ihre Passwörter und IDs eingeben.

Es gibt viele Fälle von Betrug, bei denen die durch Phishing erworbenen Identifikationsnummern für Auktionsbetrug verwendet werden und Einlagen ohne Erlaubnis auf andere Konten überwiesen werden.

Wenn Sie diese Handlungen durchführen, können Sie zu einer Freiheitsstrafe von bis zu einem Jahr oder einer Geldstrafe von bis zu 500.000 Yen verurteilt werden (Artikel 12 Absatz 4).

Welche Gesetze regeln Cyberkriminalität außerhalb des unbefugten Zugriffs?

Wie bereits erwähnt, ist das japanische Gesetz gegen unbefugten Zugriff ein Gesetz, das zur Bekämpfung bestimmter Arten von sogenannter Cyberkriminalität dient. Wenn man über die gesamte Cyberkriminalität spricht, können auch andere Gesetze wie das Gesetz gegen die Störung von Geschäftsabläufen durch die Zerstörung von Computern, das Gesetz gegen die Störung von Geschäftsabläufen durch Betrug und das Gesetz gegen Verleumdung relevant sein. Eine detaillierte Erklärung zur gesamten Cyberkriminalität finden Sie im folgenden Artikel.

https://monolith.law/corporate/categories-of-cyber-crime[ja]

Pflichten des Zugriffsverwalters

Wir erklären die Pflichten, die durch das japanische Gesetz zur Verhinderung von unerlaubtem Zugriff definiert sind.

Das japanische Gesetz zur Verhinderung von unerlaubtem Zugriff definiert nicht nur unerlaubte Zugriffsaktivitäten und Strafen, sondern legt auch Pflichten für die Verwaltung von Servern und ähnlichem auf, um unerlaubten Zugriff zu verhindern.

Abwehrmaßnahmen durch den Zugriffsverwalter

Artikel 8: Ein Zugriffsverwalter, der eine Zugriffskontrollfunktion zu einem bestimmten elektronischen Rechner hinzugefügt hat, soll sich bemühen, die Identifikationscodes, die mit dieser Zugriffskontrollfunktion verbunden sind, oder die Codes, die zur Überprüfung dieser durch die Zugriffskontrollfunktion verwendet werden, ordnungsgemäß zu verwalten. Er soll stets die Wirksamkeit der Zugriffskontrollfunktion überprüfen und, wenn er es für notwendig hält, schnell Maßnahmen zur Verbesserung dieser Funktion und andere notwendige Maßnahmen ergreifen, um den spezifischen elektronischen Rechner vor unerlaubtem Zugriff zu schützen.

Es ist vorgeschrieben, dass “Identifikationscodes ordnungsgemäß verwaltet werden”, “die Wirksamkeit der Zugriffskontrollfunktion ständig überprüft wird” und “die Zugriffskontrollfunktion bei Bedarf verbessert wird”. Diese sind jedoch Verpflichtungen zur Bemühung, und es gibt keine Strafen, wenn diese Maßnahmen vernachlässigt werden.

Wenn jedoch Anzeichen dafür bestehen, dass IDs oder Passwörter durchgesickert sind, muss der Verwalter schnell Maßnahmen zur Zugriffskontrolle ergreifen, wie das Löschen von Konten oder das Ändern von Passwörtern.

Beispiele für Verstöße gegen das japanische Gesetz zur Verhinderung von unbefugtem Zugriff

Übernahme des Twitter-Accounts eines bei Mädchen beliebten Schülers

Am 30. Januar 2017 (Heisei 29) verhaftete die Polizei von Hyogo einen 18-jährigen Oberschüler aus der Präfektur, weil er verdächtigt wurde, gegen das japanische Gesetz zur Verhinderung von unbefugtem Zugriff verstoßen zu haben. Er hatte den Twitter-Account eines männlichen Mitschülers übernommen und sich als dieser ausgegeben, um mehr als 300 Nachrichten an weibliche Oberschülerinnen zu senden.

Der Verdacht besteht, dass er zwischen September und November des Vorjahres 63 Mal in den Authentifizierungsserver des Twitter-Accounts eines bei den Mädchen beliebten männlichen Schülers (18) eingeloggt und obszöne Nachrichten wie “Lass uns unsere Körper zeigen” und “Lass uns über Sex reden” an weibliche Schülerinnen anderer Schulen geschickt hat, die den Account verfolgten.

Unbefugter Zugriff auf Facebook und andere Plattformen

In einem Fall, in dem eine Person wegen wiederholtem unbefugtem Zugriff auf Facebook und anderen Plattformen und dem Erhalt von persönlichen Informationen angeklagt wurde, verurteilte das Bezirksgericht Tokio am 3. August 2016 (Heisei 28) den Angeklagten (29) zu einer Haftstrafe von 2 Jahren und 6 Monaten. Er hatte 238 Mal unbefugt auf die Facebook-Accounts von sieben Frauen zugegriffen. Die Tat war gewohnheitsmäßig und hartnäckig, und es gab keinen Spielraum für Milderung aufgrund von Motiven wie dem Wunsch nach einem Gefühl der Erfüllung bei erfolgreichem unbefugtem Zugriff. Die Strafe wurde jedoch auf vier Jahre zur Bewährung ausgesetzt, unter Berücksichtigung der Tatsache, dass die eingesehenen Informationen nicht weitergegeben wurden und der Angeklagte keine Vorstrafen hatte.

Unbefugte Beschaffung von Kundendaten des Arbeitgebers

Am 12. November 2009 (Heisei 21) verurteilte das Bezirksgericht Tokio einen 45-jährigen Angestellten, der für die Entwicklung, den Betrieb und die Unterstützung von allgemeinen Benutzern des Informationssystems seines Arbeitgebers verantwortlich war, zu einer Haftstrafe von 2 Jahren. Er hatte Kundendaten, die sein Arbeitgeber besaß, unbefugt beschafft und versucht, sie zu verkaufen, und hatte auch CD-Rs gestohlen.

Es konnte nicht übersehen werden, dass er durch den Verkauf der Informationen einen Gewinn von fast 350.000 Yen erzielt hatte. Auch wenn man die Tatsache, dass er keine Vorstrafen hatte und von seinem Arbeitgeber entlassen wurde, was eine gewisse soziale Sanktion darstellt, voll berücksichtigt, konnte man nicht zu dem Schluss kommen, dass die Vollstreckung der Strafe ausgesetzt werden sollte.

Acht Jahre Haft für Cyberangriff

Am 27. April 2017 (Heisei 29) verurteilte das Bezirksgericht Tokio einen Angeklagten (32) zu einer Haftstrafe von 8 Jahren. Er hatte Phishing-E-Mails und Remote-Access-Viren verwendet, um unbefugt Zugangsdaten für das Internet-Banking mehrerer Unternehmen zu erhalten und unbefugte Logins und anschließende unbefugte Überweisungen durchzuführen. Darüber hinaus hatte er durch Angriffe auf Datenbanken E-Mail-Adressen erhalten und Remote-Access-Viren versendet, um sie ausführbar zu machen. Er wurde wegen Verstoßes gegen das japanische Gesetz zur Verhinderung von unbefugtem Zugriff, Computerbetrug, unrechtmäßiger Erstellung und Bereitstellung von elektronischen Aufzeichnungen, unrechtmäßiger Bereitstellung von Anweisungen in elektronischen Aufzeichnungen und Verstoßes gegen das japanische Funkgesetz verurteilt.

Er führte verschiedene Arten von Cyberangriffen durch und verwendete im Voraus unbefugt erhaltene Verschlüsselungsschlüssel, um sich mit den WLAN-Zugangspunkten anderer Personen zu verbinden und die Herkunft der Verbindung zu verbergen, indem er manchmal auch über Relay-Server ging. Darüber hinaus änderte er die Kontakt-E-Mail-Adresse vor der unbefugten Überweisung. Die Art und Weise, wie er diese Verbrechen beging, war raffiniert und bösartig. Darüber hinaus belief sich der durch die unbefugten Überweisungen verursachte finanzielle Schaden auf insgesamt mehr als 5,19 Millionen Yen. Kurz nach seiner vorläufigen Freilassung wegen einer ähnlichen Vorstrafe beging er diese Verbrechen, was zu dieser schweren Strafe führte.

Es ist zu beachten, dass es in einigen Fällen möglich ist, den Täter zu identifizieren, indem man die E-Mails, die er während solcher Angriffe gesendet hat, als Ausgangspunkt nimmt. Allerdings ist dies auf zivilrechtlicher Ebene im Allgemeinen schwierig. Dieser Punkt wird auch im folgenden Artikel behandelt.

https://monolith.law/reputation/email-sender-identification[ja]

Maßnahmen bei unerlaubtem Zugriff

Wenn Ihr persönliches Konto unerlaubt genutzt wird, konsultieren Sie einen Anwalt, bevor der Schaden sich ausweitet.

Wenn Sie Dienste wie E-Mail oder soziale Netzwerke nutzen, können Sie Opfer von unerlaubtem Zugriff durch Dritte werden. Was können Sie in diesem Fall tun?

Strafanzeige erstatten

Zunächst können Sie denjenigen, der unerlaubt auf Ihr Konto zugegriffen hat, strafrechtlich anzeigen. Unerlaubter Zugriff ist ein Verbrechen und der Täter kann strafrechtlich verfolgt werden. Wie oben erläutert, kann der Täter mit einer Freiheitsstrafe von bis zu drei Jahren oder einer Geldstrafe von bis zu einer Million Yen bestraft werden. Wenn jemand den unerlaubten Zugriff unterstützt hat, kann er mit einer Freiheitsstrafe von bis zu einem Jahr oder einer Geldstrafe von bis zu 500.000 Yen bestraft werden.

Es ist zu beachten, dass Verstöße gegen das Gesetz zum Verbot von unerlaubtem Zugriff (japanisches Gesetz zum Verbot von unerlaubtem Zugriff) auch ohne Anzeige verfolgt werden können. Wenn die Polizei von dem Vorfall erfährt, kann sie Ermittlungen einleiten und den Täter festnehmen. Auch Personen, die nicht selbst Opfer des unerlaubten Zugriffs waren, können den Vorfall bei der Polizei melden.

Wie bereits in einem Artikel über das Strafgesetzbuch (japanisches Strafgesetzbuch) erwähnt, sind Anklagen, die eine Anzeige des Opfers erfordern, Verbrechen, die nicht ohne eine Strafanzeige des Opfers verfolgt werden können. Dies bedeutet jedoch nicht, dass man nur bei solchen Verbrechen Anzeige erstatten kann. Auch bei Verbrechen, die keine Anzeige des Opfers erfordern, kann das Opfer den Täter anzeigen.

Auch wenn es sich um ein Verbrechen handelt, das keine Anzeige des Opfers erfordert, kann die Tatsache, dass das Opfer eine Strafanzeige erstattet hat, die Umstände des Verdächtigen verschlechtern und zu einer härteren Strafe führen. Wenn Sie bemerken, dass auf Ihr Konto unerlaubt zugegriffen wurde, sollten Sie einen Anwalt konsultieren und bei der Polizei eine Anzeige und eine Strafanzeige einreichen. Sobald die Polizei die Anzeige akzeptiert hat, wird sie die Ermittlungen zügig vorantreiben und den Verdächtigen festnehmen oder vor Gericht bringen.

Zivilrechtliche Schadensersatzforderungen stellen

Wenn Sie durch unerlaubten Zugriff geschädigt wurden, können Sie zivilrechtlich Schadensersatz vom Täter verlangen, basierend auf Artikel 709 des Bürgerlichen Gesetzbuches (japanisches Bürgerliches Gesetzbuch).

Bürgerliches Gesetzbuch Artikel 709
Wer vorsätzlich oder fahrlässig die Rechte oder gesetzlich geschützten Interessen einer anderen Person verletzt, ist verpflichtet, den dadurch entstandenen Schaden zu ersetzen.

Wenn der Täter unerlaubt auf Ihr Konto zugegriffen und die dabei erlangten persönlichen Informationen verbreitet hat, wenn er Gegenstände aus einem Online-Spiel gestohlen hat, oder wenn er auf Daten wie Kreditkarten oder Bankkonten zugegriffen und finanziellen Schaden verursacht hat, sollten Sie Schadensersatzforderungen stellen, einschließlich Schmerzensgeld. Natürlich können Sie auch Schadensersatz verlangen, wenn tatsächlich finanzieller Schaden entstanden ist, weil auf Daten wie Kreditkarten oder Bankkonten zugegriffen wurde.

Um jedoch Schadensersatz vom Täter zu verlangen, müssen Sie den Täter identifizieren und Beweise sammeln, dass dieser tatsächlich unerlaubt auf Ihr Konto zugegriffen hat. Dies erfordert ein hohes Maß an Fachwissen. Wenn Sie durch unerlaubten Zugriff geschädigt wurden, sollten Sie einen Anwalt mit umfangreicher Erfahrung in Internetfragen konsultieren und ihn mit der Durchführung des Verfahrens beauftragen.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Zurück Nach Oben