Computercriminaliteit Arresten en Uitspraken 2018/2019
Computercriminaliteit
Arresten en Uitspraken
Edwin van der Velde Rijksuniversiteit Groningen
,Computercriminaliteit Arresten en Uitspraken 2018/2019
Inhoudsopgave
Inhoudsopgave..................................................................................................................................... 2
Week 1b................................................................................................................................................... 3
Week 2a ................................................................................................................................................... 9
Week 2b................................................................................................................................................. 13
Week 4a ................................................................................................................................................. 25
Week 4b................................................................................................................................................. 30
Week 5a ................................................................................................................................................. 37
Week 6................................................................................................................................................... 40
Week 7a ................................................................................................................................................. 44
Edwin van der Velde Rijksuniversiteit Groningen
,Computercriminaliteit Arresten en Uitspraken 2018/2019
Week 1b
Naam DDOS-aanval
Rechtsvraag Kan een DDOS-aanval kwalificeren als het gemeengevaarlijke delict
van art 161sexies Sr en als het aantasten van gegevens in de zin van
art. 350a Sr?
Kort antwoord Niet zonder meer. In ieder geval is duidelijk dat art. 138b Sr nu de
aangewezen bepaling is om (D)DOS-aanvallen te sanctioneren.
Samenvatting feitencomplex Verdachte heeft zich geërgerd aan de ‘spam’ van een aantal bedrij-
ven. Om de betreffende bedrijven het ‘spammen’ af te leren heeft hij
een of meer (D)DOS-aanvallen aan de servers van de betreffende be-
drijven gericht, waardoor de websites van de bedrijven niet meer be-
reikbaar waren en de bedrijven inkomsten hebben misgelopen. Op
aangifte van de bedrijven wordt verdachte vervolgd voor de in art.
161sexies en 350a Sr genoemde strafbare feiten.
Belangrijkste overwegingen Eerste aanleg
Door het onderzoek ter terechtzitting is naar het oordeel van de recht-
bank wettig en overtuigend bewezen dat verdachte
Primair:
op tijdstippen in de periode van 30 november 2003 tot en met 04 de-
cember 2003 te Gilze en Rijen opzettelijk (door middel van zoge-
naamde ‘Denial of Service attacks’) in enig geautomatiseerd werk
voor opslag of verwerking van gegevens en enig werk voor telecom-
municatie, te weten:
— een internetwebsite ten name gesteld van [He.]) die (automa-
tisch) offerte- en/of besteldiensten verleent aan en optreedt
als (automatisch) offerte- en/of bestelsysteem voor Gebroe-
ders [H.] B.V. en [R.] B.V. en een fax ten name gesteld van
Gebroeders [H.] B.V., een stoornis in de gang en in de wer-
king van die zodanige werken heeft veroorzaakt terwijl daar-
van gemeen gevaar voor de verlening van diensten te duch-
ten was.
De rechtbank heeft, gelet op de context van het tenlastegelegde, in de
4e regel het woord ‘in’, alsmede in de 21ste regel het woord ‘een’
toegevoegd. Naar haar oordeel is hier sprake van een kennelijke ver-
schrijving.
Hetgeen meer of anders is ten laste gelegd dan hierboven bewezen is
verklaard, is naar het oordeel van de rechtbank niet bewezen. Ver-
dachte zal hiervan worden vrijgesproken.
De raadsvrouwe heeft ter zitting aangevoerd dat de handelwijze van
verdachte geen strafbaar feit oplevert, nu er volgens haar geen sprake
is van vernieling, beschadiging of het onbruikbaar maken van enig
geautomatiseerd werk.
Naar het oordeel van de rechtbank is weliswaar geen sprake van ver-
nieling, beschadiging of onbruikbaar maken, maar levert de handel-
wijze van verdachte een stoornis in de gang en in de werking van een
geautomatiseerd werk op, welk strafbaar feit expliciet is opgenomen
in art. 161sexies van het Wetboek van Strafrecht.
Het ten laste van verdachte bewezen verklaarde levert het volgende
misdrijf op:
Primair:
Opzettelijk stoornis in de gang en in de werking van enig geautoma-
tiseerd werk voor opslag of verwerking van gegevens en in enig werk
Edwin van der Velde Rijksuniversiteit Groningen
,Computercriminaliteit Arresten en Uitspraken 2018/2019
voor telecommunicatie veroorzaken, terwijl daarvan gemeen gevaar
voor de verlening van diensten te duchten is.
Hoger beroep
Met betrekking tot het primair ten laste gelegde (artikel 161 sexies
Wetboek van Strafrecht) overweegt het hof als volgt.
Vastgesteld kan worden dat de verdachte een computerprogramma
heeft geschreven en heeft laten "draaien" waardoor een zeer grote
hoeveelheid post via het internet naar de computer van de aangever
is gestuurd. Dit heeft tot gevolg gehad dat het computersysteem van
de aangever, met name het orderverwerkingssysteem, overbelast is
geraakt en daardoor niet meer functioneerde. De internetservicepro-
vider van de aangever heeft de aansluiting van de aangever op het
internet opgeheven vanwege de zeer grote hoeveelheden elektroni-
sche data die via deze aansluiting verliepen. Het is echter niet ge-
bleken dat het netwerk van de genoemde internetserviceprovider in
gevaar is geweest,
Kort gezegd heeft het handelen van de verdachte uitsluitend gevaar
veroorzaakt voor de computer van de aangever en is niet gebleken
van gevaar voor het openbaar telecommunicatienetwerk.
Nu geen sprake is van, kort gezegd, het bemoeilijken van een open-
baar telecommunicatienetwerk, is er geen bewijs voor het ten laste
gelegde voor zover dit inhoudt de overtreding van artikel 161 sexies,
onder 1°, van het Wetboek van Strafrecht.
Ook is er geen bewijs voor het ten laste gelegde voor zover dit in-
houdt de overtreding van artikel 161 sexies, onder 2°, van het Wet-
boek van Strafrecht, nu geen sprake is van gemeen gevaar voor goe-
deren of voor de verlening van diensten. Het begrip "gemeen gevaar"
ziet immers op de algemene veiligheid, niet enkel op de stoornis in
een enkele computer zonder verderstrekkende gevolgen (zie kamer-
stukken Tweede Kamer 1990-1991, 21 551, nr. 6 (memorie van ant-
woord), p. 13).
Ook het feitelijk onbruikbaar maken van de fax van de aangever -
doordat de fax aan een stuk door faxberichten van dezelfde inhoud
produceerde als gevolg van het door de verdachte in werking gezette
programma - valt niet onder "gemeen gevaar voor goederen of voor
de verlening van diensten" als bedoeld in artikel 161 sexies, onder
2°, van het Wetboek van Strafrecht.
Derhalve moet de verdachte worden vrijgesproken van het primair
ten laste gelegde.
Met betrekking tot het subsidiair ten laste gelegde (artikel 350a Wet-
boek van Strafrecht) overweegt het hof als volgt.
Zoals hiervoor reeds is vermeld heeft verdachte een zeer grote hoe-
veelheid post via het internet naar de computer van aangever ge-
stuurd, waardoor de internetserviceprovider de aansluiting van de
aangever op het internet heeft opgeheven, tengevolge waarvan de IP-
adressen, E-mailadressen en/of internetwebsite van aangever via het
internet - in elk geval tijdelijk - niet meer bereikbaar waren. In die
zin zijn deze IP-adressen, E-mailadressen en /of website onbruikbaar
en ontoegankelijk gemaakt.
Daargelaten of IP-adressen, E-mailadressen of internetwebsites kun-
nen worden aangemerkt als "gegevens" in de zin van artikel 350a jo
Edwin van der Velde Rijksuniversiteit Groningen
, Computercriminaliteit Arresten en Uitspraken 2018/2019
artikel 80 quinquies van het Wetboek van Strafrecht, valt niet elk on-
bruikbaar of ontoegankelijk maken daarvan onder de werking van
artikel 350a van het Wetboek van Strafrecht. Dit is slechts het geval
indien die gegevens zelf zijn gewist, gemanipuleerd of veranderd.
Uit de inhoud van het dossier en het verhandelde ter terechtzitting is
daarvan niet gebleken. Integendeel, van aantasting van de IP-adres-
sen, E-mailadressen en/of website van aangever was geen sprake; zij
zijn onbruikbaar en ontoegankelijk geworden door de veelheid van
berichten die er door toedoen van verdachte naar werden verzonden
Derhalve moet de verdachte ook van het subsidiair ten laste gelegde
worden vrijgesproken.
Geheel ten overvloede merkt het hof nog op dat handelen als van
verdachte wel zou kunnen vallen onder het sinds 1 september 2006
in het Wetboek van Strafrecht opgenomen artikel 138b: het door tus-
senkomst van een openbaar telecommunicatienetwerk of een open-
bare telecommunicatiedienst toezenden van gegevens, die bestemd
zijn om de toegang tot dat netwerk of die dienst te belemmeren (de
zgn. spam of bombing).
Geparafraseerde rechtsregel Eerste Aanleg
DDOS-aanvallen kunnen – als aan de onderscheidenlijke bestandde-
len is voldaan – niet alleen worden gesanctioneerd via art. 138b, 350a
lid 1 en 351 Sr, maar ook via art. 161sexies Sr. Voorwaarde daarvoor
is thans dat men enig geautomatiseerd werk of enig werk voor tele-
communicatie verstoort met ‘gemeen gevaar voor goederen of voor
de verlening van diensten’ tot gevolg. Dat gevaar is niet vereist als
men gebruikmaakt van art. 138b (lid 2) Sr.
Hoger beroep
DDOS-aanvallen die zich richten op enkele computers zullen door-
gaans niet onder art. 161sexies Sr vallen, aangezien dat vaak geen
‘gemeen gevaar voor goederen of diensten’ oplevert. Het begrip ‘ge-
meen gevaar’ ziet immers op de algemene veiligheid, niet enkel op
de stoornis in een enkele computer zonder verderstrekkende gevol-
gen. Ook art. 350a Sr is niet van toepassing, nu dat artikel alleen be-
trekking heeft op het wissen, manipuleren of veranderen van de ge-
gevens zelf. DDOS-aanvallen vallen daarentegen wel onder art. 138b
(lid 2) Sr.
Annotatie H.W.K. Kaspersen Kaspersen kan zich niet vinden in het oordeel van de rechtbank dat
sprake zou zijn van ‘gemeen gevaar voor goederen of diensten’ in de
zin van (thans) art. 161sexies onder 1 Sr. Of er sprake is van gemeen
gevaar hangt af van de omstandigheden. Art. 161 sexies (en septies)
Sr richt zich op voor de communicatie-infrastructuur belangrijke
voorzieningen. Websites van bedrijven zijn niet zonder meer belang-
rijk voor de communicatie-infrastructuur (vgl. ook de kritiek van
Oerlemans en Koops op het Toxbot-arrest). Dat zou anders zijn als
de DDOS-aanvallen bijvoorbeeld waren gericht op internetservice-
providers, waardoor niet alleen gevaar zou kunnen ontstaan voor de
diensten van die provider zelf, maar ook voor de dienstverlening van
derden die van de opslag- of transportdiensten van deze provider ge-
bruikmaken. Overigens is een website – anders dan de rechtbank lijkt
te menen – ook geen geautomatiseerd werk. De website is een verza-
meling gegevens die kan worden opgeslagen in een geautomatiseerd
werk, zoals een server. Betere formulering is geboden.
Edwin van der Velde Rijksuniversiteit Groningen