{"id":60083,"date":"2024-01-25T16:24:01","date_gmt":"2024-01-25T07:24:01","guid":{"rendered":"https:\/\/monolith.law\/de\/?p=60083"},"modified":"2024-04-10T09:51:29","modified_gmt":"2024-04-10T00:51:29","slug":"trends-in-personal-information-leakage-and-loss-accidents-in-2019","status":"publish","type":"post","link":"https:\/\/monolith.law\/de\/general-corporate\/trends-in-personal-information-leakage-and-loss-accidents-in-2019","title":{"rendered":"Die Trends bei Datenschutzverletzungen und Verlustvorf\u00e4llen im Jahr 2019 (2019)"},"content":{"rendered":"\n<p>Laut Tokyo Shoko Research gab es im Jahr 2019 (Heisei 31) 66 Unternehmen, darunter b\u00f6rsennotierte Unternehmen und deren Tochtergesellschaften, die Vorf\u00e4lle von pers\u00f6nlichen Datenlecks und Verlusten ver\u00f6ffentlicht haben. Die Anzahl der Vorf\u00e4lle betrug 86, und die Anzahl der durchgesickerten pers\u00f6nlichen Informationen erreichte 9.031.734 Personen. Im Jahr 2019 gab es zwei gro\u00dfe Vorf\u00e4lle, bei denen mehr als eine Million pers\u00f6nliche Daten durchgesickert sind. Der von Seven &amp; I Holdings eingef\u00fchrte Zahlungsdienst &#8220;7pay&#8221; wurde aufgrund von Missbrauch eingestellt, was die Bedeutung von Sicherheitsma\u00dfnahmen erneut in den Vordergrund r\u00fcckte.<\/p>\n\n\n\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_53 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/monolith.law\/de\/general-corporate\/trends-in-personal-information-leakage-and-loss-accidents-in-2019\/#Im_Falle_von_%E2%80%9CTakufairu_Bin%E2%80%9D\" title=\"Im Falle von &#8220;Takufairu Bin&#8221;\">Im Falle von &#8220;Takufairu Bin&#8221;<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/monolith.law\/de\/general-corporate\/trends-in-personal-information-leakage-and-loss-accidents-in-2019\/#Der_Fall_Toyota_Mobility\" title=\"Der Fall Toyota Mobility\">Der Fall Toyota Mobility<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/monolith.law\/de\/general-corporate\/trends-in-personal-information-leakage-and-loss-accidents-in-2019\/#Der_Fall_%E2%80%9C7pay%E2%80%9D\" title=\"Der Fall &#8220;7pay&#8221;\">Der Fall &#8220;7pay&#8221;<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/monolith.law\/de\/general-corporate\/trends-in-personal-information-leakage-and-loss-accidents-in-2019\/#Der_Fall_Uniqlo\" title=\"Der Fall Uniqlo\">Der Fall Uniqlo<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/monolith.law\/de\/general-corporate\/trends-in-personal-information-leakage-and-loss-accidents-in-2019\/#Fall_der_Prafekturverwaltung_Kanagawa\" title=\"Fall der Pr\u00e4fekturverwaltung Kanagawa\">Fall der Pr\u00e4fekturverwaltung Kanagawa<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/monolith.law\/de\/general-corporate\/trends-in-personal-information-leakage-and-loss-accidents-in-2019\/#Andere_Falle_von_unberechtigtem_Zugriff\" title=\"Andere F\u00e4lle von unberechtigtem Zugriff\">Andere F\u00e4lle von unberechtigtem Zugriff<\/a><ul class='ez-toc-list-level-3'><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/monolith.law\/de\/general-corporate\/trends-in-personal-information-leakage-and-loss-accidents-in-2019\/#Fall_eines_Autozubehor-Verkaufsunternehmens\" title=\"Fall eines Autozubeh\u00f6r-Verkaufsunternehmens\">Fall eines Autozubeh\u00f6r-Verkaufsunternehmens<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/monolith.law\/de\/general-corporate\/trends-in-personal-information-leakage-and-loss-accidents-in-2019\/#Fall_%E2%80%9CZahnmedizinbuchcom%E2%80%9D\" title=\"Fall &#8220;Zahnmedizinbuch.com&#8221;\">Fall &#8220;Zahnmedizinbuch.com&#8221;<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/monolith.law\/de\/general-corporate\/trends-in-personal-information-leakage-and-loss-accidents-in-2019\/#Fall_%E2%80%9CNanatsuboshiGallery%E2%80%9D\" title=\"Fall &#8220;NanatsuboshiGallery&#8221;\">Fall &#8220;NanatsuboshiGallery&#8221;<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-10\" href=\"https:\/\/monolith.law\/de\/general-corporate\/trends-in-personal-information-leakage-and-loss-accidents-in-2019\/#Fall_des_Fragebogen-Monitoring-Dienstes_%E2%80%9CAn_und_Kate%E2%80%9D\" title=\"Fall des Fragebogen-Monitoring-Dienstes &#8220;An und Kate&#8221;\">Fall des Fragebogen-Monitoring-Dienstes &#8220;An und Kate&#8221;<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-11\" href=\"https:\/\/monolith.law\/de\/general-corporate\/trends-in-personal-information-leakage-and-loss-accidents-in-2019\/#Fall_%E2%80%9CYamada_Webcom_Yamada_Mall%E2%80%9D\" title=\"Fall &#8220;Yamada Webcom Yamada Mall&#8221;\">Fall &#8220;Yamada Webcom Yamada Mall&#8221;<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-12\" href=\"https:\/\/monolith.law\/de\/general-corporate\/trends-in-personal-information-leakage-and-loss-accidents-in-2019\/#Im_Falle_der_AEON-Karte\" title=\"Im Falle der AEON-Karte\">Im Falle der AEON-Karte<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-13\" href=\"https:\/\/monolith.law\/de\/general-corporate\/trends-in-personal-information-leakage-and-loss-accidents-in-2019\/#Im_Falle_der_%E2%80%9CVpass_App%E2%80%9D_von_Sumitomo_Mitsui_Card\" title=\"Im Falle der &#8220;Vpass App&#8221; von Sumitomo Mitsui Card\">Im Falle der &#8220;Vpass App&#8221; von Sumitomo Mitsui Card<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-14\" href=\"https:\/\/monolith.law\/de\/general-corporate\/trends-in-personal-information-leakage-and-loss-accidents-in-2019\/#Fall_der_Mizuho_Bank_%E2%80%9CJ-Coin_Pay%E2%80%9D\" title=\"Fall der Mizuho Bank &#8220;J-Coin Pay&#8221;\">Fall der Mizuho Bank &#8220;J-Coin Pay&#8221;<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-15\" href=\"https:\/\/monolith.law\/de\/general-corporate\/trends-in-personal-information-leakage-and-loss-accidents-in-2019\/#Fall_%E2%80%9C10mois_WEBSHOP%E2%80%9D\" title=\"Fall &#8220;10mois WEBSHOP&#8221;\">Fall &#8220;10mois WEBSHOP&#8221;<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-16\" href=\"https:\/\/monolith.law\/de\/general-corporate\/trends-in-personal-information-leakage-and-loss-accidents-in-2019\/#Fall_der_offiziellen_Webseite_von_Kyoto_Ichinoden\" title=\"Fall der offiziellen Webseite von Kyoto Ichinoden\">Fall der offiziellen Webseite von Kyoto Ichinoden<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-17\" href=\"https:\/\/monolith.law\/de\/general-corporate\/trends-in-personal-information-leakage-and-loss-accidents-in-2019\/#Fall_%E2%80%9CEinkaufen_mit_Zojirushi%E2%80%9D\" title=\"Fall &#8220;Einkaufen mit Zojirushi&#8221;\">Fall &#8220;Einkaufen mit Zojirushi&#8221;<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-18\" href=\"https:\/\/monolith.law\/de\/general-corporate\/trends-in-personal-information-leakage-and-loss-accidents-in-2019\/#Fall_des_elektronischen_Roman-Dienstes_%E2%80%9CNovelba%E2%80%9D\" title=\"Fall des elektronischen Roman-Dienstes &#8220;Novelba&#8221;\">Fall des elektronischen Roman-Dienstes &#8220;Novelba&#8221;<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-19\" href=\"https:\/\/monolith.law\/de\/general-corporate\/trends-in-personal-information-leakage-and-loss-accidents-in-2019\/#Zusammenfassung\" title=\"Zusammenfassung\">Zusammenfassung<\/a><\/li><\/ul><\/nav><\/div>\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Im_Falle_von_%E2%80%9CTakufairu_Bin%E2%80%9D\"><\/span>Im Falle von &#8220;Takufairu Bin&#8221;<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Am 22. Januar 2019 wurde bei dem Datei\u00fcbertragungsdienst &#8220;Takufairu Bin&#8221;, der von OGIS Research Institute, einer 100%igen Tochtergesellschaft von Osaka Gas, betrieben wurde, ein verd\u00e4chtiger Dateileck entdeckt. Eine zus\u00e4tzliche Untersuchung best\u00e4tigte auch verd\u00e4chtige Zugriffsprotokolle, und um Sch\u00e4den zu verhindern, wurde der Dienst am 23. Januar eingestellt und ein erster Bericht ver\u00f6ffentlicht. Am 25. Januar wurde das Datenleck best\u00e4tigt.<\/p>\n\n\n\n<p>Die Anzahl der Lecks betrug 4.815.399 F\u00e4lle (22.569 zahlende Mitglieder: 4.753.290 kostenlose Mitglieder: 42.501 ehemalige Mitglieder), und die durchgesickerten Informationen beinhalteten Namen, E-Mail-Adressen f\u00fcr die Anmeldung, Anmeldepassw\u00f6rter, Geburtsdaten, Geschlecht, Beruf\/Industrie\/Position und den Namen der Pr\u00e4fektur des Wohnsitzes. Diese Anzahl von Lecks ist die zweith\u00f6chste in der Geschichte, nach dem illegalen Erwerb von Kundeninformationen durch einen Vertragsmitarbeiter bei Benesse im Jahr 2014 (35,04 Millionen Personen).<\/p>\n\n\n\n<p><a href=\"https:\/\/monolith.law\/corporate\/risk-of-company-personal-information-leak-compensation-for-damages\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/monolith.law\/corporate\/risk-of-company-personal-information-leak-compensation-for-damages[ja]<\/a><\/p>\n\n\n\n<p>OGIS Research Institute hat danach die Sicherheits\u00fcberpr\u00fcfung und -verst\u00e4rkung durchgef\u00fchrt und eine Wiederherstellung in Betracht gezogen. Da jedoch keine Aussicht auf eine Systemrekonstruktion bestand, wurde am 14. Januar 2020 angek\u00fcndigt, dass der Dienst am 31. M\u00e4rz 2020 eingestellt wird.<\/p>\n\n\n\n<p>Wenn Sie die gleiche E-Mail-Adresse und dasselbe Passwort, die Sie f\u00fcr &#8220;Takufairu Bin&#8221; registriert haben, auch f\u00fcr andere Webdienste verwenden, besteht die Gefahr, dass Dritte, die die durchgesickerten Informationen erworben haben, sich unrechtm\u00e4\u00dfig in diese Webdienste einloggen und sogenannte &#8220;Identit\u00e4tsdiebst\u00e4hle&#8221; durchf\u00fchren.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Der_Fall_Toyota_Mobility\"><\/span>Der Fall Toyota Mobility<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2020\/02\/shutterstock_1035140923-1024x583.jpg\" alt=\"Trends bei Datenschutzverletzungen und Datenverlusten im Jahr 2019\" class=\"wp-image-7479\" \/><figcaption class=\"wp-element-caption\">Wir stellen den Fall der Toyota Mobility vor. <\/figcaption><\/figure>\n\n\n\n<p>Am 21. M\u00e4rz 2019 wurde bekannt, dass Toyota Mobility, eine Vertriebstochtergesellschaft von Toyota, einem Cyberangriff ausgesetzt war. Insgesamt acht verbundene Vertriebsunternehmen, die die gleiche Systeminfrastruktur nutzen, wurden ins Visier genommen, und es besteht die M\u00f6glichkeit, dass bis zu 3,1 Millionen pers\u00f6nliche Daten aus dem Netzwerkserver durchgesickert sind. Gl\u00fccklicherweise wurde angek\u00fcndigt, dass keine Kreditkarteninformationen durchgesickert sind, so dass die Wahrscheinlichkeit einer direkten finanziellen St\u00f6rung gering sein k\u00f6nnte. Da es sich jedoch um Informationen von Kunden handelt, die Autos gekauft haben, besteht die M\u00f6glichkeit, dass sie zu hohen Preisen zwischen den Adressh\u00e4ndlern gehandelt werden, und der Schaden kann nicht ausgeschlossen werden.<\/p>\n\n\n\n<p>Trotz der Tatsache, dass Toyota Mobility das Datenschutzsiegel (P-Mark) erworben hat, hat sich das Problem des Datenlecks entwickelt, was bedeutet, dass wichtige Entscheidungen in Bezug auf zuk\u00fcnftige Sicherheitsma\u00dfnahmen getroffen werden m\u00fcssen. Dar\u00fcber hinaus zeigt dieser Vorfall von Datenlecks, dass die bisherigen Sicherheitsma\u00dfnahmen nicht ausreichen, um dies zu verhindern. Es wird notwendig sein, ein Datenschutzmanagementsystem auf h\u00f6herem Niveau als das Sicherheitssystem, das das Datenschutzsiegel (P-Mark) erworben hat, zu realisieren.<\/p>\n\n\n\n<p>Wie im Fall von Benesse kann das Datenschutzsiegel (P-Mark) ung\u00fcltig werden, wenn das Datenschutzmanagementsystem in Zukunft als unzureichend eingestuft wird. Wenn das Datenschutzsiegel (P-Mark) ung\u00fcltig wird, besteht die Gefahr, dass das Vertrauen verloren geht, was ein gro\u00dfes Problem darstellt.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Der_Fall_%E2%80%9C7pay%E2%80%9D\"><\/span>Der Fall &#8220;7pay&#8221;<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Der von Seven &amp; I Holdings eingef\u00fchrte Zahlungsdienst &#8220;7pay&#8221; wurde am Tag nach dem Start des Dienstes, dem 2. Juli 2019, mit einer Anfrage von Nutzern konfrontiert, die von Transaktionen berichteten, an die sie sich nicht erinnern konnten. Eine interne Untersuchung am 3. Juli ergab, dass es zu betr\u00fcgerischen Aktivit\u00e4ten gekommen war.<\/p>\n\n\n\n<p>Sofort wurde das Aufladen von Kredit- und Debitkarten vor\u00fcbergehend eingestellt und ab dem 4. Juli wurde auch die Neuregistrierung des Dienstes vor\u00fcbergehend gestoppt. Am selben Tag wurde beschlossen, alle Aufladungen vor\u00fcbergehend einzustellen.<\/p>\n\n\n\n<p>Die Anzahl der Opfer durch den unbefugten Zugriff wurde mit 808 Personen angegeben und der Schaden wurde auf 38.615.473 Yen beziffert. Es wurde angenommen, dass die Methode des unbefugten Zugriffs h\u00f6chstwahrscheinlich ein Listenangriff war. Bei einem Listenangriff werden IDs und Passw\u00f6rter, die in der Vergangenheit von anderen Unternehmen im Internet durchgesickert sind, maschinell eingegeben. Es wird angenommen, dass dies mindestens mehrere zehn Millionen Mal versucht wurde und die Anzahl der erfolgreichen Anmeldungen die 808 F\u00e4lle von betr\u00fcgerischer Nutzung \u00fcberstieg. Als Ursachen daf\u00fcr, dass der Listenangriff nicht verhindert werden konnte, wurden unter anderem unzureichende Ma\u00dfnahmen gegen Anmeldungen von mehreren Ger\u00e4ten, unzureichende \u00dcberlegungen zu zus\u00e4tzlichen Authentifizierungen wie Zwei-Faktor-Authentifizierung und unzureichende \u00dcberpr\u00fcfung der Optimierung des gesamten Systems genannt.<\/p>\n\n\n\n<p>Am 1. August hielt Seven &amp; I Holdings eine Pressekonferenz in Tokio ab und k\u00fcndigte an, dass &#8220;7pay&#8221; am 30. September um Mitternacht eingestellt wird. Die Gr\u00fcnde f\u00fcr die Einstellung des Dienstes sind die folgenden drei:<br> <\/p>\n\n\n\n<ul>\n<li>Es wird erwartet, dass es eine angemessene Zeit dauern wird, um umfassende Ma\u00dfnahmen abzuschlie\u00dfen, die ausreichen, um alle Dienste, einschlie\u00dflich des Aufladens, f\u00fcr 7pay wieder aufzunehmen.<\/li>\n\n\n\n<li>Wenn der Dienst in der Zwischenzeit fortgesetzt w\u00fcrde, w\u00e4re es unvermeidlich, dass er in einer unvollst\u00e4ndigen Form, n\u00e4mlich &#8220;nur Nutzung (Zahlung)&#8221;, fortgesetzt w\u00fcrde.<\/li>\n\n\n\n<li>Die Kunden haben immer noch Bedenken hinsichtlich dieses Dienstes.<\/li>\n<\/ul>\n\n\n\n<p>Die Nachl\u00e4ssigkeit von Seven &amp; I Holdings in Bezug auf die Netzwerksicherheit und die schlechte Zusammenarbeit innerhalb der Gruppe wurden nacheinander offengelegt, was zu einem ungew\u00f6hnlich schnellen R\u00fcckzug f\u00fchrte. Das Stolpern eines gro\u00dfen Einzelhandelsunternehmens hat zu Unsicherheit in Bezug auf die bargeldlosen Zahlungen gef\u00fchrt, die die Regierung f\u00f6rdert.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Der_Fall_Uniqlo\"><\/span>Der Fall Uniqlo<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2020\/02\/shutterstock_196775048-1024x683.jpg\" alt=\"Trends bei Datenschutzverletzungen und Datenverlusten im Jahr 2019\" class=\"wp-image-7480\" \/><figcaption class=\"wp-element-caption\">Wir stellen einen Vorfall vor, der auf der Online-Seite von Uniqlo aufgetreten ist.<\/figcaption><\/figure>\n\n\n\n<p>Am 10. Mai 2019 wurde best\u00e4tigt, dass auf der von Uniqlo betriebenen Online-Shop-Website unbefugte Anmeldungen von Dritten, die nicht der Benutzer selbst sind, aufgetreten sind.<\/p>\n\n\n\n<p>Vom 23. April bis zum 10. Mai wurden durch eine Listenangriffsmethode 461.091 Konten unbefugt eingeloggt, die bei Uniqlo&#8217;s offiziellem Online-Shop und GU&#8217;s offiziellem Online-Shop registriert sind. Die m\u00f6glicherweise eingesehenen pers\u00f6nlichen Informationen der Benutzer umfassten Namen, Adressen (Postleitzahl, Stadt, Bezirk, Stadt, Dorf, Hausnummer, Raumnummer), Telefonnummern, Mobiltelefonnummern, E-Mail-Adressen, Geschlecht, Geburtsdatum, Kaufhistorie, Namen und Gr\u00f6\u00dfen, die in &#8220;My Size&#8221; registriert sind, sowie Teile der Kreditkarteninformationen (Karteninhaber, Ablaufdatum, Teile der Kreditkartennummer).<\/p>\n\n\n\n<p>Die Quelle der unbefugten Anmeldeversuche wurde identifiziert und der Zugriff blockiert, und die \u00dcberwachung anderer Zugriffe wurde verst\u00e4rkt. F\u00fcr Benutzer-IDs, bei denen die M\u00f6glichkeit besteht, dass pers\u00f6nliche Informationen eingesehen wurden, wurden die Passw\u00f6rter am 13. Mai deaktiviert und die Benutzer wurden einzeln per E-Mail zur erneuten Passworteinstellung aufgefordert. Dar\u00fcber hinaus wurde der Vorfall bei der Tokioter Polizeibeh\u00f6rde gemeldet.<\/p>\n\n\n\n<p>Es ist ein beunruhigender und unangenehmer Vorfall, dass nicht nur grundlegende pers\u00f6nliche Informationen wie Name, Adresse, Telefonnummer, Mobiltelefonnummer, E-Mail-Adresse und Geburtsdatum, sondern auch private Informationen wie Kaufhistorie und Namen und Gr\u00f6\u00dfen, die in &#8220;My Size&#8221; registriert sind, durchgesickert sind.<\/p>\n\n\n\n<p><a href=\"https:\/\/monolith.law\/reputation\/personal-information-and-privacy-violation\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/monolith.law\/reputation\/personal-information-and-privacy-violation[ja]<\/a><\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Fall_der_Prafekturverwaltung_Kanagawa\"><\/span>Fall der Pr\u00e4fekturverwaltung Kanagawa<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Am 6. Dezember 2019 wurde bekannt, dass durch den Weiterverkauf von HDDs (Hard Disk Drives), die in der Pr\u00e4fekturverwaltung Kanagawa verwendet wurden, Informationen, einschlie\u00dflich pers\u00f6nlicher Daten und Verwaltungsdokumente, durchgesickert sind. Fujitsu Lease, das einen Leasingvertrag f\u00fcr Server und \u00e4hnliches mit der Pr\u00e4fektur Kanagawa hat, entfernte im Fr\u00fchjahr 2019 die HDDs von den geleasten Servern und beauftragte ein Recyclingunternehmen mit der Entsorgung. Ein Mitarbeiter des Unternehmens nahm einige der HDDs mit und verkaufte sie auf Yahoo Auctions in einem nicht initialisierten Zustand. Ein IT-Unternehmer, der neun davon gekauft hatte, \u00fcberpr\u00fcfte den Inhalt und entdeckte Daten, die als offizielle Dokumente der Pr\u00e4fektur Kanagawa erschienen. Er informierte eine Zeitung, die die Pr\u00e4fektur kontaktierte und das Leck best\u00e4tigte.<\/p>\n\n\n\n<p>Laut einer Ank\u00fcndigung der Pr\u00e4fektur am Morgen des 6. Dezember wurden insgesamt 18 HDDs mitgenommen, von denen neun bereits zur\u00fcckgeholt wurden und die restlichen neun sp\u00e4ter zur\u00fcckgeholt wurden. Die durchgesickerten Daten enthalten pers\u00f6nliche Informationen wie Namen und Adressen auf Steuerbescheiden, Benachrichtigungen nach Steuerpr\u00fcfungen mit Firmennamen, Aufzeichnungen \u00fcber die Zahlung der Kfz-Steuer, eingereichte Unternehmensdokumente und Aufzeichnungen und Listen von Pr\u00e4fekturangestellten. Da jede der mitgenommenen HDDs eine Speicherkapazit\u00e4t von 3 TB hat, k\u00f6nnten bis zu 54 TB Daten aus 18 Laufwerken durchgesickert sein.<\/p>\n\n\n\n<p>Die Pr\u00e4fektur Kanagawa hat grundlegende Fehler gemacht, wie:<\/p>\n\n\n\n<ul>\n<li>Die Dateiserver, auf denen Verwaltungsdokumente und \u00e4hnliches gespeichert sind, wurden ohne ausreichende \u00dcberlegungen zur Hardware-Verschl\u00fcsselung konfiguriert und speichern Daten im Rohformat.<\/li>\n\n\n\n<li>Obwohl es vorgesehen war, dass das Leasingunternehmen die Datenl\u00f6schung durchf\u00fchrt, nachdem alle Daten durch die Initialisierung gel\u00f6scht wurden, wenn wichtige Informationen auf den Ger\u00e4ten gespeichert sind, die an das Leasingunternehmen zur\u00fcckgegeben werden, wurde kein Zertifikat f\u00fcr die Fertigstellung erhalten.<\/li>\n\n\n\n<li>Ein Recyclingunternehmen, das nicht einmal vom zust\u00e4ndigen Mitarbeiter erfasst wurde, hat die Abholung der Leasingger\u00e4te durchgef\u00fchrt.<\/li>\n<\/ul>\n\n\n\n<p>Und Fujitsu Lease hat auch grundlegende Fehler gemacht, wie:<\/p>\n\n\n\n<ul>\n<li>Die Ger\u00e4teentsorgung (Recycling) wurde vollst\u00e4ndig an das Recyclingunternehmen ausgelagert.<\/li>\n\n\n\n<li>Obwohl der Leasingvertrag vorsah, dass ein Zertifikat, das best\u00e4tigt, dass die Daten vollst\u00e4ndig gel\u00f6scht wurden, an die Pr\u00e4fektur ausgeh\u00e4ndigt werden sollte, wurde das Recyclingunternehmen nicht um die Ausstellung des Zertifikats gebeten.<\/li>\n<\/ul>\n\n\n\n<p>Es ist nicht n\u00f6tig, \u00fcber das Recyclingunternehmen zu diskutieren.<\/p>\n\n\n\n<p>Ich denke, dass das Fehlen eines Sicherheitsbewusstseins und die verantwortungslose Auslagerungsmentalit\u00e4t, die in allen drei beteiligten Organisationen gemeinsam sind, dieses erb\u00e4rmliche Ergebnis hervorgebracht haben.<\/p>\n\n\n\n<p><a href=\"https:\/\/monolith.law\/corporate\/act-on-the-protection-of-personal-information-privacy-issues\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/monolith.law\/corporate\/act-on-the-protection-of-personal-information-privacy-issues[ja]<\/a><\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Andere_Falle_von_unberechtigtem_Zugriff\"><\/span>Andere F\u00e4lle von unberechtigtem Zugriff<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2020\/02\/shutterstock_1521212090-1-1024x557.jpg\" alt=\"Trends bei Datenschutzverletzungen und Datenverlusten im Jahr 2019\" class=\"wp-image-7482\" \/><figcaption class=\"wp-element-caption\">Die Zahl der durch unberechtigten Zugriff verursachten Unf\u00e4lle nimmt von Jahr zu Jahr zu, und die Reaktion auf die Sicherheitsma\u00dfnahmen und die Informationsmanagementstruktur ist eine zuk\u00fcnftige Herausforderung. <\/figcaption><\/figure>\n\n\n\n<p>Die Zahl der durch unberechtigten Zugriff verursachten Unf\u00e4lle, die erheblichen Schaden anrichten und weitreichende Auswirkungen haben, nimmt von Jahr zu Jahr zu. Im Jahr 2019 (Reiwa 1) gab es laut der Tokyo Shoko Research die h\u00f6chste Anzahl von 41 F\u00e4llen (32 Unternehmen) in den letzten acht Jahren seit Beginn der Untersuchung. Dies entspricht fast der H\u00e4lfte der 86 F\u00e4lle von Datenschutzverletzungen und Datenverlusten im Jahr 2019, und die Anzahl der Datenschutzverletzungen und Datenverluste betrug 8.902.078, was 98,5% der Gesamtzahl im Jahr 2019 (9.031.734) ausmachte. Neben den oben genannten Beispielen gab es im Jahr 2019 viele F\u00e4lle von unberechtigtem Zugriff, darunter die folgenden Beispiele.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Fall_eines_Autozubehor-Verkaufsunternehmens\"><\/span>Fall eines Autozubeh\u00f6r-Verkaufsunternehmens<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Am 26. Februar wurde ein Online-Shop, der von der Autozubeh\u00f6r-Verkaufsgesellschaft Hase-Pro Co., Ltd. betrieben wird, Opfer eines illegalen Zugriffs durch Ausnutzung einer Schwachstelle auf der Website. Eine gef\u00e4lschte Zahlungsseite wurde angezeigt und die von den Nutzern eingegebenen Kreditkarteninformationen wurden entwendet.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Fall_%E2%80%9CZahnmedizinbuchcom%E2%80%9D\"><\/span>Fall &#8220;Zahnmedizinbuch.com&#8221;<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Am 25. M\u00e4rz gab es einen unbefugten Zugriff auf den Webserver von &#8220;Zahnmedizinbuch.com&#8221;, einer von Quintessenz Publishing Co., Ltd., einem spezialisierten Dentalverlag, betriebenen Website. Pers\u00f6nliche Informationen der Nutzer der Website wurden dabei entwendet. F\u00fcr Kunden, die Kreditkartenzahlungen genutzt haben, wurden auch Kreditkarteninformationen, einschlie\u00dflich Sicherheitscodes, durchgesickert. Dar\u00fcber hinaus wurden pers\u00f6nliche Informationen von Nutzern anderer Websites, wie z.B. Dental Job Sites und der Japanischen Internationalen Dentalversammlung, entwendet, wobei insgesamt bis zu 23.000 Datens\u00e4tze durchgesickert sind.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Fall_%E2%80%9CNanatsuboshiGallery%E2%80%9D\"><\/span>Fall &#8220;NanatsuboshiGallery&#8221;<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Am 12. April gab es einen unbefugten Zugriff auf die &#8220;NanatsuboshiGallery&#8221;, eine Website f\u00fcr den Versandhandel von verwandten Produkten des Kreuzfahrtzuges &#8220;Nanatsuboshi in Kyushu&#8221; der Kyushu Passenger Railway Co., Ltd., und pers\u00f6nliche Informationen, einschlie\u00dflich Kreditkarteninformationen von Kunden, wurden durchgesickert. Es wurde angek\u00fcndigt, dass es m\u00f6glich ist, dass der Sicherheitscode auch f\u00fcr 3086 Mitglieder enthalten ist, die Kreditkarteninformationen registriert haben, und dass es auch eine M\u00f6glichkeit des Informationslecks f\u00fcr 5120 F\u00e4lle gibt, einschlie\u00dflich Mitglieder, die keine Karteninformationen registriert haben, und andere Benutzerinformationen, die die Website genutzt haben.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Fall_des_Fragebogen-Monitoring-Dienstes_%E2%80%9CAn_und_Kate%E2%80%9D\"><\/span>Fall des Fragebogen-Monitoring-Dienstes &#8220;An und Kate&#8221;<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Am 23. Mai gab es einen unberechtigten Zugriff auf den Fragebogen-Monitoring-Dienst &#8220;An und Kate&#8221;, der von der Marketing Applications Corporation betrieben wird, indem die Schwachstellen des Servers ausgenutzt wurden. Es wurden pers\u00f6nliche Informationen von 770.740 registrierten Konten durchgesickert. Es wird berichtet, dass die durchgesickerten Informationen E-Mail-Adressen, Geschlecht, Beruf, Arbeitsplatz und Informationen im Zusammenhang mit Bankkonten enthielten.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Fall_%E2%80%9CYamada_Webcom_Yamada_Mall%E2%80%9D\"><\/span>Fall &#8220;Yamada Webcom Yamada Mall&#8221;<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Am 29. Mai gab es einen unberechtigten Zugriff auf &#8220;Yamada Webcom Yamada Mall&#8221;, das von der Yamada Denki Co., Ltd. betrieben wird. Die Zahlungsanwendung wurde manipuliert und w\u00e4hrend dieses Zeitraums wurden bis zu 37.832 Kundendatenregistrierungen durchgesickert.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Im_Falle_der_AEON-Karte\"><\/span>Im Falle der AEON-Karte<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Am 13. Juni gab es einen unberechtigten Login-Angriff auf die AEON-Karte der AEON Credit Service Co., Ltd. durch eine Passwort-Listenattacke. Es wurde best\u00e4tigt, dass 1917 Konten f\u00fcr unberechtigte Logins anf\u00e4llig waren, und in 708 F\u00e4llen wurden tats\u00e4chlich unberechtigte Logins festgestellt. Es wurde berichtet, dass ein Schaden durch Missbrauch in H\u00f6he von insgesamt etwa 22 Millionen Yen entstanden ist. Es wird angenommen, dass der Angreifer eine Passwort-Listenattacke auf die offizielle Website &#8220;AEON Square&#8221; durchgef\u00fchrt hat, um Benutzerkontoinformationen unrechtm\u00e4\u00dfig zu erlangen, die Registrierungsinformations\u00e4nderungsfunktion der offiziellen App verwendet hat, um sie auf einen anderen Kontakt zu \u00e4ndern, und dann das Geld durch die Zahlungsverkn\u00fcpfungsfunktion genutzt hat.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Im_Falle_der_%E2%80%9CVpass_App%E2%80%9D_von_Sumitomo_Mitsui_Card\"><\/span>Im Falle der &#8220;Vpass App&#8221; von Sumitomo Mitsui Card<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<figure class=\"wp-block-image\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2020\/03\/shutterstock_72295576-1024x684.jpg\" alt=\"\" class=\"wp-image-7702\" \/><figcaption class=\"wp-element-caption\">Auch der unbefugte Zugriff auf Karten verursacht Sch\u00e4den.<\/figcaption><\/figure>\n\n\n\n<p>Am 23. August gab die Sumitomo Mitsui Card Co., Ltd. bekannt, dass m\u00f6glicherweise bis zu 16.756 Kundendaten durch einen unbefugten Zugriff auf die Mitglieder-Smartphone-App &#8220;Vpass App&#8221; betroffen sein k\u00f6nnten. Unbefugter Zugriff wurde durch die regelm\u00e4\u00dfigen \u00dcberwachungsuntersuchungen des Unternehmens festgestellt. Bei der Untersuchung der Ursache stellte sich heraus, dass der Gro\u00dfteil der etwa 5 Millionen Anmeldeversuche nicht f\u00fcr diesen Dienst registriert war, was auf einen Passwortlistenangriff hindeutet.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Fall_der_Mizuho_Bank_%E2%80%9CJ-Coin_Pay%E2%80%9D\"><\/span>Fall der Mizuho Bank &#8220;J-Coin Pay&#8221;<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Am 4. September gab die Mizuho Financial Group (japanische Mizuho Bank) bekannt, dass das Testsystem f\u00fcr die Verwaltung der Partnergesch\u00e4fte von &#8220;J-Coin Pay&#8221;, einem ihrer Dienstleistungsangebote, einen unbefugten Zugriff erlitten hat und Informationen von 18.469 J-Coin-Partnergesch\u00e4ften durchgesickert sind.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Fall_%E2%80%9C10mois_WEBSHOP%E2%80%9D\"><\/span>Fall &#8220;10mois WEBSHOP&#8221;<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Am 19. September wurde bekannt gegeben, dass es einen unbefugten Zugriff auf den Online-Shop &#8220;10mois WEBSHOP&#8221; der Firma Ficell Ltd. gab. Dabei wurden 108.131 Kundendaten und 11.913 Kreditkarteninformationen, einschlie\u00dflich Sicherheitscodes, entwendet.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Fall_der_offiziellen_Webseite_von_Kyoto_Ichinoden\"><\/span>Fall der offiziellen Webseite von Kyoto Ichinoden<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Am 8. Oktober gab es einen unbefugten Zugriff auf die offizielle Webseite der Aktiengesellschaft Kyoto Ichinoden, bekannt f\u00fcr ihre Nishinomiya-Pickles, und das Zahlungsformular wurde manipuliert. Infolgedessen wurden 18.855 Kreditkarteninformationen, einschlie\u00dflich Sicherheitscodes, und 72.738 Datens\u00e4tze, einschlie\u00dflich Mitgliederinformationen und Versandhistorie, durchgesickert.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Fall_%E2%80%9CEinkaufen_mit_Zojirushi%E2%80%9D\"><\/span>Fall &#8220;Einkaufen mit Zojirushi&#8221;<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Am 5. Dezember wurde bekannt gegeben, dass es m\u00f6glicherweise zu einem unbefugten Zugriff auf &#8220;Einkaufen mit Zojirushi&#8221;, betrieben von der Zojirushi Mahobin Co., Ltd., gekommen ist, bei dem bis zu 280.052 Kundendaten durchgesickert sein k\u00f6nnten. Die Ursache des unbefugten Zugriffs wird auf eine Schwachstelle innerhalb der Website zur\u00fcckgef\u00fchrt, und das Unternehmen hat die Ver\u00f6ffentlichung der Einkaufswebsite seit dem 4. Dezember eingestellt.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Fall_des_elektronischen_Roman-Dienstes_%E2%80%9CNovelba%E2%80%9D\"><\/span>Fall des elektronischen Roman-Dienstes &#8220;Novelba&#8221;<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Am 25. Dezember gab es einen unbefugten Zugriff auf den von der Aktiengesellschaft Beegle betriebenen elektronischen Roman-Dienst &#8220;Novelba&#8221;. Dabei wurden pers\u00f6nliche Daten von 33.715 registrierten Nutzern, einschlie\u00dflich ihrer E-Mail-Adressen, geleakt. Dar\u00fcber hinaus besteht f\u00fcr 76 Nutzer, die am Pr\u00e4mienprogramm teilgenommen haben, die M\u00f6glichkeit, dass auch ihre Kontoinformationen durchgesickert sind, was das Potenzial f\u00fcr sekund\u00e4re Sch\u00e4den birgt.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Zusammenfassung\"><\/span>Zusammenfassung<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Angemessene Ma\u00dfnahmen zur Verhinderung von Informationslecks und -verlusten sind eine wichtige Aufgabe f\u00fcr alle Organisationen und Unternehmen, die mit pers\u00f6nlichen Informationen umgehen. Insbesondere in kleinen Unternehmen, die im Vergleich zu b\u00f6rsennotierten Unternehmen \u00fcber weniger finanzielle und personelle Ressourcen verf\u00fcgen, kann ein Leck katastrophale Auswirkungen auf das Gesch\u00e4ft haben. Ma\u00dfnahmen zur Informationssicherheit und zur Etablierung eines Informationsmanagementsystems sind unerl\u00e4sslich. Vor dem Hintergrund der zunehmenden Nutzung von Big Data gewinnt der Schutz pers\u00f6nlicher Informationen immer mehr an Bedeutung. Gleichzeitig sind fortgeschrittene Sicherheitsma\u00dfnahmen gegen raffinierte unerlaubte Zugriffe und strenge Informationsverwaltung eine wichtige Voraussetzung f\u00fcr das Risikomanagement.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Laut Tokyo Shoko Research gab es im Jahr 2019 (Heisei 31) 66 Unternehmen, darunter b\u00f6rsennotierte Unternehmen und deren Tochtergesellschaften, die Vorf\u00e4lle von pers\u00f6nlichen Datenlecks und Verlusten ve [&hellip;]<\/p>\n","protected":false},"author":32,"featured_media":68758,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[18],"tags":[24,29],"acf":[],"_links":{"self":[{"href":"https:\/\/monolith.law\/de\/wp-json\/wp\/v2\/posts\/60083"}],"collection":[{"href":"https:\/\/monolith.law\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/monolith.law\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/monolith.law\/de\/wp-json\/wp\/v2\/users\/32"}],"replies":[{"embeddable":true,"href":"https:\/\/monolith.law\/de\/wp-json\/wp\/v2\/comments?post=60083"}],"version-history":[{"count":2,"href":"https:\/\/monolith.law\/de\/wp-json\/wp\/v2\/posts\/60083\/revisions"}],"predecessor-version":[{"id":68759,"href":"https:\/\/monolith.law\/de\/wp-json\/wp\/v2\/posts\/60083\/revisions\/68759"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/monolith.law\/de\/wp-json\/wp\/v2\/media\/68758"}],"wp:attachment":[{"href":"https:\/\/monolith.law\/de\/wp-json\/wp\/v2\/media?parent=60083"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/monolith.law\/de\/wp-json\/wp\/v2\/categories?post=60083"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/monolith.law\/de\/wp-json\/wp\/v2\/tags?post=60083"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}