Tienduizend euro schadevergoeding voor het DDoS-sen van overheidswebsites. Dat is wat de rechtbank Breda woensdag oplegde aan de “DDoS-kabouters” die in oktober 2004 onder andere overheid.nl, regering.nl en nederland.nl platlegden (en ook diverse Telegraaf-sites). Een hoog bedrag, maar een stuk lager dan de overheid via haar automatiseringsafdeling ICTU had geëist, namelijk een slordige 471.553,54 euro.
De verantwoordelijken voor deze denial-of-service aanvallen kregen eerder al voorwaardelijke straffen (zie o.a. LJN AT0222 LJN AT0224 en het hoger beroep, LJN AV1454). Nu meldde ICTU zich met een schadeclaim voor het opruimen van de rommel.
Allereerst speelde de vraag of ICTU wel mócht claimen, nu niet zij als stichting maar diverse overheidsinstanties schade hadden geleden. De rechtbank vindt van wel. ICTU werd als beheerder gehinderd in haar taak door de DDoS-aanvallen, en moest maatregelen nemen die ze normaal niet had hoeven nemen. Ook stonden de domeinnamen op naam van ICTU, en dat geeft nog een reden voor ICTU om op te treden tegen deze verstoring van het gebruik van de domeinnaam.
Een andere leuke vraag is wie van de DDoS-kabouters nu verantwoordelijk was voor welk deel van de schade. Daar kom je eigenlijk niet uit, maar dat hoeft ook niet. De wet kent de groepsclaim (6:166 BW), waarbij je als slachtoffer ieder lid van een groep kunt aanspreken op de hele schade. De daders regelen dan maar onderling wie wat betaalt. En dat gaat hier op voor de groep DDoS’ser. Zij hebben samen de aanvallen besproken en gecoördineerd, en aanvaardden dus elk het risico dat er schade zou ontstaan door deze aanvallen. Daarom zijn ze samen aansprakelijk.
Dan komen we bij de hoofdmoot: de hoogte van de schade. ICTU moest noodmaatregelen nemen (zoals extra bandbreedte inkopen en een extra router inzetten om te kunnen filteren), en heeft ook de nodige structurele maatregelen genomen om te zorgen dat dit niet nog een keer kon gebeuren. Mag die hele rekening naar de DDoS’sers? Nee, dat niet:
Slechts de kosten, gemaakt ten behoeve van de oplossing van de crisissituatie, ontstaan als gevolg van de aanvallen, kunnen aan gedaagden worden toegerekend. Kosten als gevolg van structurele (beveiligings)maatregelen dienen voor rekening van ICTU te blijven.
ICTU krijgt dus alleen de kosten van de noodmaatregelen en de consultancykosten om die goed in te voeren vergoed. Een terecht vonnis wat mij betreft. Dit was puur vandalisme en dan mag je betalen voor het opruimen van de rotzooi.
Via ISPam.nl.
Arnoud