Wetgeving cybercrime in Nederland

John Zuidweg & Mark Baaijens, Aug. 2006

Abstract

Na een vernieuwing van de wet op het gebied van cybercrime (computercriminaliteit) zijn verschillende definities verruimd en straffen verhoogd. De nieuwe wet doet tevens uitspraken over technische hulpmiddelen die kunnen worden gebruikt bij cybercrime. Dat het gebruik van software om wederrechtelijk netwerkverkeer af te luisteren strafbaar is moge duidelijk zijn. Hier rest ons echter de vraag of het bezit van deze software op zichzelf strafbaar is. Het blijkt dat de intentie waarmee de software in het bezit is of waarmee hij wordt gemaakt belangrijk is bij deze vraag. Als we ettercap als voorbeeld nemen kunnen we zeggen dat iemand, die geen kwade bedoelingen heeft, deze software mag bezitten. Het programma ettercap kan namelijk ook gebruikt worden voor andere doeleinden dan het plegen van strafbare feiten, bijvoorbeeld voor het testen of beheren van computernetwerken.

Inleiding

Het Korps Landelijke Politiediensten (KLPD) definieert cybercrime als volgt (eJure, Dossier computercriminaliteit):
elke strafbare en strafwaardige gedraging voor de uitvoering waarvan het gebruik van geautomatiseerde werken bij de verwerking en overdracht van gegevens van overwegende betekenis is. Onder computercriminaliteit worden zowel verschijningsvormen verstaan waarbij de computer het doel is van strafbare gedragingen (bijvoorbeeld hacking, virusverspreiding, dDoS) als verschijningsvormen waarbij de computer als middel wordt gebruikt (bijvoorbeeld fraude, verspreiding van kinderpornografie, schendingen van het auteursrecht etc).
In dit artikel beperken we ons tot het eerste deel van deze definitie, waar het gaat om de computer als doel van strafbare gedragingen.

Het Nederlandse strafrecht is uitgewerkt in het Wetboek van Strafvordering en het Wetboek van Strafrecht. In het Wetboek van Strafvordering worden de kaders geschetst waarbinnen vervolging van strafbare feiten mag plaatsvinden, in het Wetboek van Strafrecht is opgenomen welke feiten strafbaar zijn en welke sanctie daaraan verbonden is. In dit artikel beperken we ons tot het laatstgenoemde wetboek. Onder bepaalde voorwaarden is het o.a. in het bezit hebben van bepaalde software strafbaar, in dit artikel wordt dieper ingegaan op dit punt.

Cybercrime en het Wetboek van Strafrecht

Op 30 mei 2006 heeft de Eerste Kamer ingestemd met een verscherping van de maatregelen die cybercrime moeten tegengaan. De Tweede Kamer ging op 27 september 2005 akkoord met dit wetsvoorstel (ook wel wetsvoorstel Computercriminaliteit II). Nederland kent al sinds 1993 wetgeving op het gebied van cybercrime, maar deze wet moest op een aantal onderdelen worden aangepast of aangevuld om het het Europese Verdrag inzake de bestrijding van strafbare feiten verbonden met elektronische netwerken, zoals dat tot stand gekomen is in Boedapest op 23 november 2001, te kunnen ratificeren.

Een in het oog springende verandering --De veranderingen m.b.t. het wetsvoorstel Computercriminaliteit II voor zover deze betrekking hebben op het Wetboek van Strafrecht staan duidelijk beschreven in (eJure, Wijzigingen van het wetsvoorstel Computercriminaliteit II in het Wetboek van Strafrecht)-- ten opzichte van de wet uit 1993 is de verruiming van de definitie van hacken. Eerst was er pas sprake van hacken als er sprake was van

het opzettelijk wederrechtelijk binnendringen in een geautomatiseerd werk voor de opslag of verwerking van gegevens, of in een deel daarvan, indien daarbij enige beveiliging wordt doorbroken of de toegang verworven wordt door een technische ingreep, met behulp van valse signalen of een valse sleutel dan wel door het aannemen van een valse hoedanigheid.
Het doorbreken van een beveiliging is hier dus een belangrijke voorwaarde. In de nieuwe wet wordt deze voorwaarde afgezwakt:
Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt, als schuldig aan computervredebreuk, gestraft hij die opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan. Van binnendringen is in ieder geval sprake indien de toegang tot het werk wordt verworven: a. door het doorbreken van een beveiliging, b. door een technische ingreep, c. met behulp van valse signalen of een valse sleutel.
(Artikel 138a, lid 1). Deze formulering laat dus ruimte om buitenom de voorwaarden a, b en c toch het binnendringen van een geautomatiseerd werk strafbaar te stellen. Dit betekent dat bijvoorbeeld het anoniem inloggen op een ftp-server die ingericht staat als een publieke server, strafbaar kan zijn indien dit opzettelijk en wederrechtelijk gebeurt. De enige voorwaarden tot strafbaarstelling zijn dan dus de intentie van degene die het geautomatiseerd werk binnendringt en de omstandigheden waaronder dit gebeurt.

In de nieuwe wet zijn ook de strafmaten verhoogd. Stond op hacking eerst een gevangenisstraf van ten hoogste zes maanden of geldboete van de derde categorie (max. EUR 4500), nu is dat een gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie (max. EUR 11250).

Strafbare gedragingen die te herleiden zijn naar computercriminaliteit staan veelal niet op zichzelf: om bijvoorbeeld een hack uit te voeren, een virus te verspreiden of een (d)Dos aanval uit te voeren is het gebruik van bepaalde technische hulpmiddelen (software) nodig. De wet die tot stand gekomen is in 1993 doet hier geen uitspraken over, maar het nieuwe wetsvoorstel brengt hier verandering in aan. Artikel 139d van het Wetboek van Strafrecht handelt over misbruik van een technisch hulpmiddel. Het tweede lid van dit artikel luidt als volgt:

Met dezelfde straf wordt gestraft hij die, met het oogmerk dat daarmee een misdrijf als bedoeld in artikel 138a, eerste lid, 138b of 139c wordt gepleegd: a. een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt of ontworpen is tot het plegen van een zodanig misdrijf, vervaardigt, verkoopt, verwerft, invoert, verspreidt of anderszins ter beschikking stelt of voorhanden heeft, of b. een computerwachtwoord, toegangscode of daarmee vergelijkbaar gegeven waardoor toegang kan worden gekregen tot een geautomatiseerd werk of een deel daarvan, verkoopt, verwerft, verspreidt of anderszins ter beschikking stelt of voorhanden heeft.
Artikel 138a handelt over hacking, artikel 138b handelt over (d)Dos en virusverspreiding en artikel 139c handelt over het afluisteren van telecommunicatie. Uit lid twee van artikel 161sexies wordt duidelijk dat volgens het wetsvoorstel Cybercrime II ook
het vervaardigen, verkopen, verwerven, invoeren, verspreiden of anderszins ter beschikking stellen of voorhanden hebben van een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt of ontworpen is tot het opzettelijk vernielen, beschadigen of onbruikbaar maken van enig geautomatiseerd werk voor opslag of verwerking van gegevens of enig werk voor telecommunicatie
strafbaar is. Dit geldt ook als met dit hulpmiddel
een stoornis in de gang of in de werking van een geautomatiseerd werk veroorzaakt kan worden, of er een ten opzichte van zodanig werk genomen veiligheidsmaatregel verijdeld kan worden.
Zelfs het voorhanden hebben van een dergelijk technisch hulpmiddel kan dus al strafbaar zijn.

Gevalsanalyse: ettercap

In deze sectie wordt de strafbaarheid van het het vervaardigen, verkopen, verwerven, invoeren, verspreiden of anderszins ter beschikking stellen of voorhanden hebben van technische hulpmiddelen nader belicht. Dit wordt gedaan aan de hand van een gevalsanalyse die betrekking heeft op het programma ettercap.

Het programma ettercap is een pakketsniffer waarmee netwerkverkeer afgeluisterd kan worden. Door ettercap te installeren op een pc die onderdeel uitmaakt van een netwerk, kan het netwerkverkeer van andere computers die deel uitmaken van datzelfde netwerk worden afgetapt. Ook als de systemen met elkaar verbonden zijn via een switch kan het netwerkverkeer afgeluisterd worden doordat ettercap een zogenaamde man-in-the-middle-attack faciliteert waarbij het netwerkverkeer van het slachtoffer middels ARP-Poisoning wordt omgeleid via het systeem van de aanvaller.

Het programma ettercap is dus een hulpmiddel dat gebruikt kan worden voor het afluisteren (en opnemen) van telecommunicatie. In artikel 139c wordt het met een technisch hulpmiddel opzettelijk en wederrechtelijk aftappen of opnemen van gegevens strafbaar gesteld met een gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie (Max. EUR 11250). Er worden een aantal voorwaarden genoemd: zo is iemand die gegevens aftapt of opneemt alleen strafbaar wanneer de betreffende gegevens niet voor hemzelf bestemd zijn. Ook wordt er een uitzondering gemaakt voor het normale gebruik van een reguliere radio-ontvangapparaat, het aftappen of opnemen in opdracht van een beheerder van het telecommunicatienetwerk. Ook inlichtingen- en veiligheidsdiensten mogen onder bepaalde voorwaarden legaal gegeven aftappen en opnemen.

Volgens lid twee van artikel 139d kan het vervaardigen, verkopen, verwerven, invoeren, verspreiden of anderszins ter beschikking stellen of voorhanden hebben van ondermeer in 139c bedoelde technische hulpmiddelen strafbaar zijn, ettercap valt hier dus ook onder. Van strafbaarstelling is echter alleen sprake onder de voorwaarden die in artikel 139c genoemd zijn: ettercap kan in opdracht van een netwerkbeheerder op legale wijze worden gebruikt binnen een netwerk. Ook mag iemand gegevens aftappen op opnemen die voor hemzelf bestemd zijn, in een testomgeving mag ettercap dus ook gebruikt worden. Ten slotte mogen inlichtingen- en veiligheidsdiensten onder bepaalde voorwaarden ook gebruik maken van ettercap.

Tijdens de vergadering over het wetsvoorstel Computercriminaliteit II in de Eerste Kamer komt van Mevrouw De Wolff (GroenLinks) met de vraag aan minister Donner om meer duidelijkheid te verschaffen over de strafbaarheid van het verkopen en en bezit hebben van programma's die in hoofdzaak bestemd zijn voor het plegen van computercriminaliteit. Minister Donner reageert als volgt (Kamerstuk 2005-2006, 26671, nr. D, Eerste Kamer, Wijziging wetten ivm nieuwe ontwikkelingen in de informatietechnologie (computercriminaliteit II); Memorie van antwoord):

Mevrouw De Wolff vroeg mij wat wordt bedoeld met: de spulletjes die gebruikt moeten worden bij de voorbereiding. Ik dacht dat er gesproken was van programma's of voorwerpen. De bepaling op dat terrein kent een dubbele sleutel. Het gaat daarbij vooral om computerprogramma's die hoofdzakelijk zijn bedoeld om mee te hacken. Het programma als zodanig moet daar echter niet alleen op gericht zijn, maar het moet ook het oogmerk van de verkoper zijn om een programma te verkopen dat gebruikt kan worden om te hacken. De verkoper mag dus niet zeggen: u moet het vooral niet doen, maar dit hackprogramma is wel heel leuk voor uw verzameling programma's die u nooit mag gebruiken. Daardoor zou de situatie kunnen ontstaan waarvoor geldt: dat is niet het oogmerk. In andere gevallen is er dus wel die dubbele sleutel. De Hoge Raad is overigens in een vergelijkbare situatie met betrekking tot de uitleg van artikel 326c, tweede lid tot de conclusie gekomen dat degene die een stappenplan publiceert voor een succesvolle inbraak, strafbaar is, omdat voldaan is aan de omschrijving dat men het liet geworden, dan wel dat men het bevorderde. De term die nu wordt voorgesteld, houdt in dat daarmee een misdrijf als bedoeld wordt gepleegd. Als wij het terugdraaien van een kilometerteller strafbaar zouden stellen, dan zou een programma dat specifiek bedoeld is om de kilometerteller terug te draaien ook hieronder gebracht kunnen worden. Dat soort inbrekersmateriaal wordt op dit moment inderdaad soms verkocht. Voorzitter. Ad finire. Ceterum censeo obligationes Unitatis Europeae esse implementanda. Pacta sunt servanda!
Nu is ettercap een programma dat vrij beschikbaar is, dus van verkopen van dit programma is in principe geen sprake. Verder kan aangevoerd worden dat er sprake is van plausibele legale gebruiksdoeleinden voor het programma (bijvoorbeeld het testen van of het, in opdracht van de beheerder, opsporen van onregelmatigheden in een netwerk).

Conclusie

Blijkbaar is bezit van software zoals ettercap alleen in een aantal gevallen strafbaar. Belangrijk hierbij is de intentie van de eigenaar. Degene die deze software op zijn computer heeft moet dit kunnen verantwoorden. Op de site van het programma staat de beschrijving van de functie. Deze luidt als volgt:
Ettercap is a suite for man-in-the-middle attacks on LAN. It features sniffing of live connections, content filtering on the fly and many other interesting tricks. It supports active and passive dissection of many protocols (even ciphered ones) and includes many features for network and host analysis.
In deze beschrijving wordt geen onwettig gebruik gesuggereerd. Echter, het programma kan wel degelijk gebruikt worden om strafbare feiten mee te plegen. We kunnen dus concluderen dat wanneer ettercap met goede intenties wordt gebruikt, het bezit ervan niet strafbaar is.

Caveat

De beschreven informatie en conclusies zijn gebaseerd op informatie die wij konden vinden, en op onze interpretatie. Wij zijn geen juristen. De rechter zou er heel anders over kunnen denken :)