Ius mentis Homepage | Categorieën | Lijst A-Z | Willekeurig artikel | Herpubliceren? | Over deze site | Blog | Contact
 

De Wet Computercriminaliteit: Computervredebreuk

De bekendste vorm van computercriminaliteit is het opzettelijk en wederrechtelijk binnendringen in een computersysteem of netwerk. Dit heet computervredebreuk (soms ook wel computerinbraak of hacken) en is een misdrijf. Hierop staat een straf van maximaal 1 jaar cel of geldboete van 16.750 euro (art. 138ab lid 1).

Onder de oude wetgeving was computervredebreuk alleen strafbaar wanneer een beveiliging werd doorbroken. Deze eis is komen te vervallen. Computerinbraak is nu strafbaar wanneer de dader wist dat hij op verboden terrein was.

Inhoudsopgave

Binnendringen

Computervredebreuk of hacken is dus het binnendringen ("inbreken") in een computersysteem of netwerk. Dit kan uiteraard op vele manieren, en de wet geeft daar geen algemene definitie voor. Bij de behandeling in de Tweede Kamer gaf de minister aan dat dit van geval tot geval uit de rechtspraak zal moeten blijken.

Vaak wordt de term "hacken" gebruikt om activiteiten zoals computervredebreuk of computerinbraak aan te duiden. Dit is eigenlijk niet juist: een hacker is iemand die zeer goed en creatief met computers om kan gaan, en meestal niet er op uit is om schade aan te richten. Toch worden activiteiten van hackers (in deze positieve betekenis van het woord) gezien als computervredebreuk als ze, om welke reden dan ook, wederrechtelijk in systemen binnendringen.

Voorbeelden uit de wet

Artikel 138ab lid 1 noemt het doorbreken van een beveiliging, gebruik maken van een technische ingreep, valse signalen of een valse sleutel en het aannemen van een valse hoedanigheid als voorbeelden van computervredebreuk. Deze categorieën zijn niet bedoeld als volledige taxonomie, er kan best overlap tussen zitten. Een paar voorbeelden uit elke categorie:

Wie dus één van deze handelingen verricht, pleegt in ieder geval computervredebreuk. Het is mogelijk dat er andere vormen van binnendringen zijn (of komen) die niet hier onder vallen. De rechter zal dan moeten bepalen of dit dan een strafbare vorm van binnendringen is.

Voorbeelden uit de rechtspraak

Zoals gezegd zal uit de jurisprudentie (gerechtelijke uitspraken) moeten blijken wat nu precies "binnendringen" kan zijn. Tot nu toe zijn er niet veel rechtszaken geweest waar deze vraag aan de orde kwam.

Het overschrijden van een bevoegdheid is een vorm van binnendringen. Wie bijvoorbeeld een bepaalde map op zijn harde schijf deelt via filesharing software, kan niet achteraf klagen dat mensen binnengedrongen zijn in die map (dit kwam zijdelings aan de orde in deze zaak). Zou een bezoeker echter via een bug in de filesharing software er in slagen in andere mappen te komen, dan is er wel degelijk sprake van binnendringen.

Het aanleveren van valse gegevens is geen binnendringen. Dit bleek uit een zaak over het aanleveren van valse automatische incasso's bij de bank. Dit was geen binnendringen, omdat de toegang tot het banksysteem op zichzelf geautoriseerd was. Via die toegang werd vervalste informatie aangeleverd. Er was dus sprake van fraude, maar geen binnendringen. Let wel: als het gaat om gebruik van valse inloggegevens is het wel binnendringen.

In 2002 werd het verwijderen van een SIM-lock gezien als binnendringen, maar dit was niet wederrechtelijk omdat de verdachte geen contract met de telecom-aanbieder had gesloten.

Per ongeluk binnendringen

Op het eerste gezicht zou dus ook het per ongeluk binnendringen in iemands computersysteem of netwerk een misdrijf zijn. Een voorbeeld is het gebruik maken van andermans draadloze netwerk, wat vaak automatisch gaat als het netwerk in de buurt is. Dit is opzettelijk (je had het uit kunnen zetten, tenslotte) en wederrechtelijk (want de eigenaar heeft geen toestemming gegeven).

De minister heeft in de Memorie van Toelichting echter aangegeven dat het voor de potentiële dader wel kenbaar moet zijn dat hij zich op verboden terrein gaat begeven. Dat hoeft dus niet per se een beveiliging te zijn, een voor mensen zichtbare mededeling "Verboden voor onbevoegden" kan al genoeg zijn. Door een draadloos netwerk als naam "Privé-netwerk, verboden toegang" te geven, weten derden die het netwerk toevallig zien dat het niet de bedoeling is dat ze daar gebruik van maken.

Hacken met goede bedoelingen

Niet alle computerinbraken gebeuren met het doel gegevens te stelen of schade aan te richten. Een veel gehoorde reden om een beveiliging te doorbreken is aantonen dat deze onbetrouwbaar is. Er is natuurlijk niets mis met het melden van fouten in beveiligingen. Maar andermans netwerk of computer hacken om specifiek daarin fouten te vinden, is een ander verhaal. Dit wordt door rechters niet snel geaccepteerd.

Wie dus andermans beveiliging wil testen, kan dat maar beter vooraf vragen. Niet alle netwerkbeheerders zitten te wachten op ongevraagde 'tests', zeker niet wanneer onduidelijk is wat er nu precies getest en gedaan is. Het opruimen van de schade en het controleren op eventueel achtergebleven rootkits en andere software kan een tijdrovende klus zijn.

In 2005 kreeg een 18-jarige 'hacker' een werkstraf van 120 uur voor het inbreken bij een Amerikaans bedrijf, waar hij bouwtekeningen van het Pentagon wist te achterhalen. Zijn verweer dat hij het bedrijf "eigenlijk een dienst had bewezen door de zwakke plekken in de beveiliging van hun computersysteem bloot te leggen", werd niet geaccepteerd.

Computervredebreuk met gegevensdiefstal

Wie na het opzettelijk en wederrechtelijk binnendringen ook nog eens gegevens kopieert, kan een straf van maximaal vier jaar cel (of boete van 16.750 euro) verwachten (art. 138ab lid 2). Dit misdrijf wordt wel diefstal van gegevens genoemd, al is die term niet helemaal juist. Gegevens in een computerbestand kunnen niet worden weggenomen, en zonder wegnemen kan er geen sprake van diefstal zijn. Wat meestal gebeurt is dat de inbreker de gegevens kopieert naar zijn eigen systeem, en ze zo zelf kan gebruiken of aan derden kan doorgeven. De oorspronkelijke eigenaar heeft ze dan nog steeds. Het enige dat hij kwijt is, is de exclusieve toegang tot de gegevens.

Gebruiken van verwerkingscapaciteit

Wie binnendringt op een supercomputer, kan deze misbruiken om bijvoorbeeld gratis dingen te laten doorrekenen. Hiervoor moet op dergelijke systemen normaal betaald worden. Ook kan een systeem met een snelle Internetverbinding worden gebruikt om bestanden zonder toestemming ter verspreiding aan te bieden (bijvoorbeeld films of warez, illegaal gekopieerde software).

Dergelijk misbruik van andermans computer levert maximaal vier jaar cel of een boete van 16.750 euro op (art. 138ab lid 3).

Gebruik als springplank

Wie binnendringt in een computer, heeft daarna vaak makkelijker toegang tot andere computers op hetzelfde netwerk. Die andere computers herkennen de gekraakte computer immers als "een van hen". Denk bijvoorbeeld aan het kraken van de firewall die een intranet afschermt van het publieke Internet. Het is daarna vaak bijzonder eenvoudig om op de computers op het intranet binnen te dringen, omdat deze de firewall zullen zien als een geautoriseerd systeem.

Een dergelijk gebruik van een computer als "springplank" naar een ander systeem levert maximaal vier jaar cel of een boete van 16.750 euro op (art. 138ab lid 3).

Hulpmiddelen voor computervredebreuk

Voor computervredebreuk worden meestal speciale "hack"-programma's gebruikt. Het kraken van wachtwoorden, het exploiteren van fouten in de beveiliging ("exploits") of het zich voordoen als een ander persoon of systeem (bijvoorbeeld via een "rootkit") gaat een stuk gemakkelijker met speciale programma's om te hacken. Het maken, vervaardigen, verkopen, verwerven, invoeren, verspreiden of anderszins ter beschikking stellen of voorhanden hebben van dergelijke software is een strafbaar feit (art. 139d lid 2 onder a). Hierop staat een jaar cel (of een boete van 16.750 euro).

Dergelijke hulpmiddelen hoeven niet per se software te zijn. Ook hardware kan een hulpmiddel voor computervredebreuk zijn. Er bestaan apparaatjes die tussen toetsenbord en computer kunnen worden aangebracht en alle ingedrukte toetsen opslaan. Dergelijke hardwarematige keyloggers zijn te zien als zo'n hulpmiddel, als ze geadverteerd of geprogrammeerd zijn om wachtwoorden van anderen mee te achterhalen.

Op hulpmiddelen aanbieden of voorradig hebben die bedoeld is om niet alleen in te breken, maar ook gegevens op te slaan of een systeem wederrechtelijk te gebruiken, staat niet één maar vier jaar cel.

Oogmerk van computervredebreuk

Wel is het een eis dat het maken, aanbieden enzovoorts gebeurt met het oogmerk computervredebreuk te (laten) plegen. Wie de wachtwoorden van zijn gebruikers wil testen, mag een kraakprogramma gebruiken om te zien of ze daarmee te raden zijn. Een beveiligingsbedrijf mag software ontwikkelen om beveiligingsgaten op te sporen en te testen. Het bedrijf mag zelfs (met toestemming van de klant) proberen de beveiliging van het netwerk van de klant te passeren of uit te schakelen. Maar het in bezit hebben van diezelfde software terwijl je van plan bent daarmee ergens in te breken, is dus een misdrijf.

Wachtwoorden

Hetzelfde geldt voor het verkrijgen, verkopen, verspreiden of voorhanden hebben van wachtwoorden, toegangscodes en dergelijke (art. 139d lid 2 onder b). Ook dit moet gebeuren met het oogmerk computervredebreuk te (laten) plegen. De systeembeheerder die een kopie van alle wachtwoorden van gebruikers in de kluis bewaart, omdat mensen die steeds kwijtraken, pleegt dus geen misdrijf.

Meer informatie

Alle delen

Gerelateerde artikelen

Gespecialiseerd advies nodig?

Heeft u na het lezen van dit artikel nog vragen, of zit u met een juridisch probleem waar u advies over wilt? Neem dan contact op met ICT-jurist Arnoud Engelfriet, auteur van dit artikel.

© Arnoud Engelfriet. Dit werk mag vrij worden verspreid en gepubliceerd zoals bepaald in de licentievoorwaarden.

Laatste wijziging:
6 november 2018