Bandbreedte kun je niet stelen

| AE 1220 | Security | 17 reacties

dak plafond studentenflat computer aftappenHet aftappen van internetverbindingen is geen diefstal, bepaalde de rechtbank Amsterdam donderdag. In deze strafzaak had de verdachte een computer geinstalleerd in het vals plafond van een studentenflat om zo van de snelle internetverbinding daar te profiteren. Naast inbreuk op het auteursrecht (vanwege uitgewisselde muziek) werd ook diefstal van “capaciteit van bandbreedte” ten laste gelegd.

De rechtbank bepaalt in het vonnis echter dat dat niet kan. Door ongeoorloofd gebruik te maken van bandbreedte verliest de rechthebbende immers hierover niet noodzakelijkerwijs de feitelijke macht, aldus de rechtbank. Hij heeft nog steeds controle over de netwerkverbinding en kan deze nog steeds gebruiken. Misschien dat de snelheid omlaag gaat door de meeliftende plafondpc, maar snelheid is geen tastbaar iets dat je kunt stelen.

Het stelen van niet-tastbare zaken is al lang een moeilijk punt in het recht. Tjalling Hielkema van Solv wijst terecht op het Elektriciteits-arrest uit 1921, waarin werd bepaald dat elektriciteit wel degelijk gestolen kon worden. Stroom is voor menselijk beheersing vatbaar, en door het aftappen van de stroom van de buurman kon deze niet meer over die stroom beschikken. Dat vond de Hoge Raad hetzelfde als het stelen van een fysiek object zoals een fiets.

Computergegevens waren volgens diezelfde Hoge Raad geen goed, zo bleek in 1996. Het kopiëren of wegnemen van gegevens is vervolgens apart strafbaar gesteld in de Wet Computercriminaliteit.

Het verbaast me dan ook dat hier gekozen is voor een tenlastelegging van diefstal en niet van computervredebreuk. Het aansluiten van je eigen PC op andermans netwerk lijkt mij een vorm van binnendringen, en het gebruik van de netwerkcapaciteit is daarbij een strafverzwarende omstandigheid (art. 138a leden 1 en 3 Wetboek van Strafrecht). Mag ik dit een flater van het OM noemen?

Via Boek9.nl en met dank aan Mr. D.M. Rupert, Teurlings & Ellens advocaten .

Arnoud

Deel dit artikel

  1. De vraag is echter of een netwerk(verbinding) als een (zelfstandig) geautomatiseerd werk kan worden gezien, de overtreding heet nota bene ook computervredebreuk, dus de benaming impliceert al dat het werk dat moet worden binnengedrongen een data verwerkend apparaat dient te zijn. Waar toegang toe is verkregen is een (openbaar) telecommunicatienetwerk en geen geautomatiseerd werk, dit wordt bevestigd 138a lid 3 Sr, doordat beide definities daar naast elkaar gebruikt worden.

  2. Ik vind het in ieder geval wel aardig dat de OvJ het heeft geprobeerd. Het oordeel lijkt me geheel juist. Je zou het betalen voor bandbreedte kunnen vergelijken met het afhuren van een snelweg. Als nu een onbevoegd persoon zich op die snelweg begeeft, “berooft” die persoon je wel van capaciteit, maar diefstal van een goed zal niemand het noemen.

    Naast bandbreedte is er ook elektriciteit weggenomen, dus een veroordeling voor diefstal zou misschien wel mogelijk zijn geweest. Het is echter de vraag of de verdachte kan worden aangemerkt als een persoon die elektriciteit heeft gestolen.

    Verder was er hier sprake van vernieling en huisvredebreuk (art. 138 lid 2, valse sleutels), maar de verdachte op wie het vonnis betrekking had heeft daar volgens het vonnis niet aan meegewerkt. Misschien is dat ook de reden dat computervredebreuk niet ten laste is gelegd. De verdachte is zelf geen geautomatiseerd systeem binnengedrongen.

    Ook is het mij niet duidelijk dat er hier sprake is geweest van computervredebreuk door ??n van de andere verdachten. Een computer aansluiten op het netwerk van de universiteit lijkt me nog geen “binnendringen” van het netwerk. Maar er is hier wel met valse sleutels toegang verkregen tot de netwerkaansluiting, en dat zou voldoende moeten zijn.

  3. @bona fides: het enkele aansluiten nog niet, maar het vervolgens gebruik maken van datzelfe universiteitsnetwerk is m.i. wel binnendringen gevolgd door gebruiken (138a lid 1 en 3 Sr). Het binnendringen is in dit geval het wederrechtelijk gebruiken van de netwerkfaciliteiten. Routers en dergelijke zijn ook geautomatiseerde werken. En een router overhalen om jou een IP-adres te geven en jouw pakketjes naar internet te sturen, is gebruik maken van de verwerkingscapaciteit van die router.

    Art. 80sexies Sr: “Onder geautomatiseerd werk wordt verstaan een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen.” Wat m.i. precies omschrijft wat een router doet.

    Het mogelijke twijfelpunt is dat lid 3 vereist dat er tussenkomst is van een openbaar telecommunicatienetwerk. Bedoeld was, blijkens de MvT, binnendringen via internet vanaf je eigen PC thuis. Geen flauw idee waarom alleen in die situatie het gebruik maken van de capaciteit strafverzwarend zou moeten zijn.

  4. @Arnoud: wat m.i. mist is het “binnendringen”. Daarvoor is “ietsje meer” nodig dan het enkele gebruik maken zonder recht daartoe. Bij de router stond geen bordje “verboden toegang voor niet-studenten” en er was geen password om te kraken.

    In dit geval kan dat “ietsje meer” wellicht worden gevonden in het gebruik van de valse sleutels, maar helemaal overtuigd daarvan ben ik niet. De universiteit waartoe de router behoort heeft niet zoveel te maken met die sleutels.

  5. @Arnoud, nee, dat vind ik te makkelijk, het modem en de router maakt integraal onderdeel uit van het openbare telecommunicatienetwerk en is in die hoedanigheid naar mijn idee ook geen zelfstandig geautomatiseerd werk. Deze discussie sluit daarom ook naadloos aan bij de eerdere discussie over de kwetsbaarheid in BGP, waarbij je je nog afvroeg of het strafbaar is om misbruik te maken van na?viteit, feitelijk gaat het hier om vrijwel het zelfde.

    Zodra er toegang wordt verkregen tot de administratieve interface (console) van een modem/router kan er naar mijn idee overigens wel sprake zijn van computervredebreuk.

  6. @Arnout: als ik je goed begrijp bedoel je dat er geen toegang wordt verkregen tot de router. Daar valt inderdaad iets voor te zeggen. Zonder toegang is er in ieder geval geen sprake van “binnendringen”.

    Het gebruik maken van de draadloze internetverbinding van de buren valt volgens jou dus ook niet onder “toegang verkrijgen” (en dus al helemaal niet onder binnendringen)? Ik moet aan deze discussie denken. Als het juist is dat het gebruik van een router niet voldoende is om “toegang” tot de router te hebben verkregen, dan kan die discussie een flink stuk worden ingekort.

  7. @Arnout en @bona fides: dit is wel iets meer dan misbruik maken van na?viteit. Er wordt een nieuwe aansluiting op een netwerk gemaakt, met nota bene een verborgen computer onder een vals plafond. Via die aansluiting krijgt men toegang tot het netwerk en daarmee het internet. Dat is in feite de bedrade variant van op andermans draadloze netwerk inloggen.

    Opzettelijk is het zeker, dit doe je niet zomaar (in tegenstelling tot een iets te slim meedenkend Windows dat je aanmeldt op elk open netwerk dat in de buurt is).

    En m.i. is dat wel degelijk binnendringen. Je meldt je aan met een DHCP-verzoek en je krijgt dat ding zover dat ‘ie je een IP-adres geeft. Binnendringen is niet alleen maar het klassieke loginscherm en dan een #-prompt krijgen. Tenminste, ik hoop van niet, want anders is de WCC vrijwel compleet irrelevant gegeven de huidige praktijk.

  8. @Arnoud: in bericht #7 beschouwde je volgens mij het gebruik van de verbinding/router zelf als computervredebreuk. Daar was mijn reactie tegen gericht. Er is iets meer nodig. Het binnendringen van het gebouw is misschien dat ietsje meer.

    Of dat binnendringen volstaat is echter ook maar de vraag. In ieder geval kon het binnendringen van het gebouw de verdachte in deze zaak niet worden aangerekend. Daarnaast is het mij niet zo duidelijk of dat binnendringen voldoende te maken heeft met de router van de universiteit. Misschien wel, misschien niet.

    “En m.i. is dat wel degelijk binnendringen. Je meldt je aan met een DHCP-verzoek en je krijgt dat ding zover dat ???ie je een IP-adres geeft.” Je moet m.i. in ieder geval onderscheid maken tussen toegang verkrijgen en binnendringen. Binnendringen is “ietsje meer” dan alleen toegang verkrijgen. Dit volgt duidelijk uit de parlementaire behandeling en de parallel met art. 138 Sr (binnenlopen vs. binnendringen).

    Mijn punt is dat het “ietsje meer” (wellicht) ontbreekt. Arnout’s punt is (als ik het goed begrip) dat er geen toegang wordt verkregen. Tot nu toe ging ik er zelf ook vanuit dat “toegang” nauwelijks een eis was, maar nu twijfel ik daar toch sterk aan.

    Een aanmelding via DHCP opvatten als toegang verkrijgen gaat behoorlijk ver. Valt elk contact met een geautomatiseerd werk onder toegang hebben/verkrijgen? Ik denk het niet.

    Zijn er aanwijzingen te vinden in rechtspraak of parlementaire geschiedenis dat het (normale) gebruik van een router inderdaad als het verkrijgen van toegang tot de router moet worden beschouwd? (Dus even afgezien van dat “ietsje meer” dat nodig is om tot binnendringen te komen.)

    Een tegenargument zou zijn dat in de interpretatie van Arnout (nogmaals, als ik hem goed heb begrepen) het gebruik van een beveiligd draadloos internet (bijv. door het raden van het password) mogelijk ook niet onder art. 138a Sr zou vallen. Maar dat doet het misschien ook niet.

  9. Als ik er van uit ga dat deze servers met een utp kabel waren aangesloten, en niet dmv glas (licht), is er toch echt stroom gebruikt (de enen van de ‘enen en nullen’ worden gevormd dmv electriciteit). Zelfs door BW te gebruiken, had men daarmee dus ook stroom gebruikt imho. Nu zullen deze enen en nullen niet zo heel veel stroom gebruikt hebben, maar als die man daar nou voor veroordeeld werd, had men genoeg strafverzwarende dingen kunnen bedenken (maak ik op uit bovenstaande reacties).

  10. @bona fides: ik heb “binnendringen” altijd gelezen als “wederrechtelijk binnengaan”. Het binnentreden van een niet-afgesloten huis tegen de verklaarde wil van de bewoner is huisvredebreuk, toch? Dat begreep ik van de parlementaire behandeling van WCC II (EK 26671 nr D). Daarin tref ik ook deze zinsnede:

    Als men zich daarentegen bijvoorbeeld na een fysieke inbraak in een woning toegang verschaft tot een zich in die woning bevindende computer, zal daarbij van computervredebreuk sprake kunnen zijn ??? een situatie waarvan het de vraag is of die door de huidige wetsbepaling wordt gedekt. Iets dergelijks is denkbaar indien iemand zich toegang verschaft tot een computer terwijl dat hem uitdrukkelijk is verboden.

    Wat toch wel sterk aan de situatie van deze strafzaak doet denken.

    Natuurlijk, het gaat over in een computer binnendringen en niet expliciet over op een netwerk aanloggen. Maar toch ben ik ervoor om dat laatste onder de bewoordingen van “geautomatiseerd werk” te laten vallen. Niet omdat je ‘binnendringt’ op de router om zo een IP-adres te krijgen. Zo’n router doet meer. Ook al het verkeer van en naar jouw PC verloopt via die router. Je krijgt zo toegang tot het achterliggende netwerk, het verkeer over dat netwerk (uitgaande van Ethernet) en tot de andere op dat netwerk aangesloten computers. Ik vind het juist ver gaan om alleen het klassieke inloggen op een specifieke computer als computervredebreuk aan te merken.

  11. @Freeaqingme: ik denk dat als er elektriciteit is gestolen (en gezien het elektriciteitsarrest zou dat heel goed het geval kunnen zijn), de persoon die de tap heeft aangelegd de dader is. Het enkele aansturen van een apparaat dat is aangesloten op andermans elektriciteitsmeter lijkt me geen diefstal van elektriciteit. Anders valt het versturen van spam ook onder diefstal van elektriciteit van de ontvanger. Op zich valt het wel te proberen hoor, maar ik verwacht niet dat het lukt.

    @Arnoud: binnendringen is niet hetzelfde als wederrechtelijk binnengaan. Zie bijv. Hof Amsterdam 8 maart 2005, LJN AS9143, waarin uit de MvT wordt geciteerd: “Aansluiting is gezocht bij het bestaande artikel 138 van het wetboek van Strafrecht betreffende huisvredebreuk. Daar geldt in beginsel dat een ieder vrij is te gaan waar hij wil. Zelfs wanneer iemand wederrechtelijk in een woning, besloten lokaal of erf vertoeft, is hij nog niet zonder meer strafbaar.” Binnentreden tegen de verklaarde wil van de bewoner is inderdaad wel binnendringen. Binnentreden met valse sleutels ook.

    De passage over de fysieke inbraak ken ik; dat is ook waar ik aan dacht. Maar in de huidige zaak is het een beetje toeval dat het gebruik van de router is mogelijk gemaakt door de inbraak in het hus. Ik weet niet goed of dat voldoende is. Die inbraak is namelijk niet “tegen de verklaarde wil” van de beheerder van de router. (En de verdachte in het vonnis heeft die inbraak dus niet gepleegd.)

    Toegang tot het achterliggende netwerk? Misschien tot het intranet van de universiteit, maar daar lijkt geen gebruik van te zijn gemaakt, was het opzet ook niet op gericht, en heeft niet zoveel te maken met verkrijgen van een IP-adres op een router. (Wat je nu eigenlijk zegt is volgens mij dat het verkrijgen van dat IP-adres neerkomt op het binnendringen van computers op het intranet, i.p.v. dat er werd binnengedrongen in de router. Een wijziging van de tenlastelegging ;).)

    Op het aftappen van het lokale netwerkverkeer ziet art. 139c Sr al.

  12. Foute uitspraak. Als bandbreedte gebruikt wordt door een ander, kan de rechthebbende er zelf geen beschikking over hebben (is dat niet ??n van de kenmerken van het begrip ‘goed’?). Tegenwoordig heeft niemand meer een bandbreedtelimiet, maar volgens mij moet een universiteit betalen naar mate het verkeer dat ze genereren op het netwerk. Er wordt zo afbreuk gedaan aan de achterliggende gedachte van het elektriciteitsarrest.

    Er zit een limiet aan ‘beschikbare’ bandbreedte. Een 100mbit lijn kan maximaal 10mbps per seconde aan ‘verkeer’ aan, als iemand op dat netwerk daar de helft van gebruikt, kan een ander die niet gebruiken (de verbinding wordt traag etc). Gebrek aan technische kennis bij de rechtbank.

    En mensen houdt het toch gewoon eenvoudig. 🙂

    @Bona Fides Binnen’dringen’ impliceert wederrechtelijkheid, binnen’gaan’ impliceert dat niet. Daarnaast is het door jou aangehaalde arrest gedateerd, in 2006 is de beveiligingseis vervallen als uitvloeisel van het Cybercrime-verdrag en wordt dit nu slechts als ‘voorbeeld’ van binnendringen genoemd in art. 138a Sr (een beveiliging hoeft dus niet meer te worden doorbroken voor het aannemen van wederrechtelijk binnendringen).

  13. @Dennis: als je op mijn stoel zit, kan ik er niet op zitten. Je “steelt” mijn stoelzitcapaciteit, maar daarmee maak je je nog niet schuldig aan diefstal. Stoelzitcapaciteit is geen “goed”. Met bandbreedte(capaciteit) is het niet anders.

    Als je stiekem bij mij achterop de fiets springt, “steel” je mijn energie. Er zit een limiet aan mijn fietsvermogen. Door stiekem achterop te springen wordt mijn fiets traag. Toch maak je je niet schuldig aan diefstal.

    Het is een foute gedachte dat uit het elektriciteitsarrest zou volgen dat “alles van waarde” gestolen kan worden in de zin van art. 310 Sr. De rechter heeft het zowel juridisch als technisch goed gezien.

    Wat betreft binnendringen/binnengaan, je hebt niet goed gelezen wat ik schreef. Hoewel binnendringen inderdaad richting “wederrechtelijk” gaat, was mijn punt nu juist dat er voor binnendringen m??r nodig is dan alleen wederrechtelijk binnengaan.

    Het arrest dat ik aanhaalde is niet achterhaald, want “binnendringen” heeft in art. 138a Sr nog steeds dezelfde betekenis als v??r de meest recente wetswijziging.

    “En mensen houdt het toch gewoon eenvoudig.” Met jouw “eenvoudige” opvatting van diefstal wordt het verdoen van een anders tijd een misdrijf. Tijd is immers geld en een seconde kan maar ??n keer worden besteed.

    Om te voorkomen dat diefstal van tijd, stoelzitcapaciteit en fietsvermogen mogelijk wordt, stel ik voor dat we ons toch maar bij de tekst van de wet en de uitleg daarvan in de rechtspraak houden en niet vervallen in simplisme.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS