Hof vindt website geen geautomatiseerd werk en spreekt verdachte vrij

| AE 13510 | Regulering, Security | 13 reacties

Een man uit Tiel die voor het inbreken op de website van een Haagse huisartsenpost werd veroordeeld tot een gevangenisstraf van twee maanden, waarvan één maand voorwaardelijk, is in hoger beroep vrijgesproken, las ik bij Security.nl. Dit omdat een website volgens het gerechtshof Den Haag niet als geautomatiseerd werk kan worden aangemerkt. Is dat een pietluttig zoeken naar spijkers op laag water of zit hier meer achter?

Eerst een organisatie hacken, en vervolgens voor veel geld aanbieden om het ‘lek’ te dichten. Dat was volgens het OM het business model van de 29-jarige man uit Tiel. Hem werd computervredebreuk ten laste gelegd, het OM kon zijn beroep op “white hat hacken” niet serieus nemen. Het was een mooie casus om eens te bepalen wat er wel en niet kan als je tegen lekken aanloopt en het je werk is die te dichten.

Die kans is gemist, want na een veroordeling in eerste instantie ging de man in hoger beroep. En daar werd hij vrijgesproken vanwege de semantische discussie dat een website geen “geautomatiseerd werk” is zoals de wet dat bedoelt, namelijk “een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen”. In 2013 hadden we nog een discussie over die term ‘inrichting’, dat mag best een samenstel van fysieke dingen zijn maar er moeten wel fysieke ding(en) gehackt zijn, uiteindelijk. (Ook de tegenwoordige definitie, die nog niet gold ten tijde van dit feit, vereist een of meer stukken hardware.)

In 2020 deed ditzelfde Hof ook zoiets, toen het ging om het hacken van een Facebook-account: “Een account op Facebook bestaat feitelijk slechts uit een samenstel van gegevens en heeft daarmee geen fysieke vorm. ” Het OM was daar destijds op voorbereid, door subsidiair “de server achter het account” op te nemen als voorwerp van hack, maar dat mocht dan ook weer niet:

Dat geldt eveneens ten aanzien van het tweede en derde gedachtestreepje, aangezien de webserver en/of het netwerk en/of de computer(s)(systemen) achter het Facebook-account waarop de verdachte trachtte in te loggen niet toebehoren aan [slachtoffer 2]. Het tweede en het derde gedachtestreepje uit de tenlastelegging kunnen naar het oordeel van het hof daarom evenmin wettig en overtuigend bewezen worden verklaard.
Nou weet ik dat men in het strafrecht van de precieze is, en het is inderdaad fout om te zeggen dat er bij Jansen is ingebroken als men bij een pand in eigendom Pietersen naar binnen ging. Maar ik snap in deze situatie niet welk belang het Hof probeert te beschermen. Had in die Facebook-zaak Meta als mede-slachtoffer moeten zijn opgevoerd? Dat voelt raar: als Jansen de huurder was van dat pand van Pietersen, dan is “inbreken bij Jansen” toch gewoon juist?

Een jaar later kwam de Hoge Raad met een arrest over ddos-aanvallen, die ook alleen op geautomatiseerde werken kunnen worden uitgevoerd. Daar was in de tenlastelegging alleen opgenomen dat “gegevens toegezonden naar de website “[internetsite 2]” waren, wat kennelijk genoeg was:

Het hof heeft vastgesteld dat de verdachte via de website ‘[internetsite 1]’ zestien Distributed Denial of Service-aanvallen (hierna: DDoS-aanvallen) heeft laten uitvoeren op de website ‘[internetsite 2]’, en dat de toegang tot de website ‘[internetsite 2]’ door deze aanvallen daadwerkelijk (tijdelijk) belemmerd is geweest. Op grond hiervan heeft het hof bewezenverklaard dat de verdachte de toegang tot en/of het gebruik van een geautomatiseerd werk heeft belemmerd. In het licht van de onder 2.5 en 2.6 weergegeven wetsgeschiedenis en gelet op wat hiervoor onder 2.7 is vooropgesteld, geeft dit oordeel niet blijk van een onjuiste rechtsopvatting.
De HR lijkt dus “website” zo te lezen dat “onderliggende serverhardware en netwerkinfrastructuur” er gewoon bij hoort, en heeft er geen moeite mee dat de website-eigenaar een andere entiteit is dan de eigenaar of exploitant van die hardware. Het belang van de strafbaarheid zit hem erin dat die website offline was, of hier dat de verdachte is gegaan waar hij niet mocht zijn. Niet of er een complete lijst bijgevoegd is van de eigenaren van alle componenten.

Dus nee, ik zie niet hoe het Hof in enige redelijkheid tot deze conclusie kan komen.

Arnoud

Deel dit artikel

  1. Dus nee, ik zie niet hoe het Hof in enige redelijkheid tot deze conclusie kan komen.

    Helemaal mee eens. Zelfs als je niet naar jurisprudentie kijkt of naar de definities in het wetboek, kun je op je klompen aanvoelen dat het echt niet oké is, wat deze man gedaan heeft.

  2. Ha Arnoud, ben je het eens met de volgende opmerking van gisteren 15:58 op security.nl “Had in de tenlastelegging gestaan dat er wederrechtelijk was binnengedrongen op een (deel van) een geautomatiseerd werk, te weten een webserver (een apparaat) waarop een website werd aangeboden, dan had de aanklacht waarschijnlijk wel stand gehouden.”? Waardoor dit probleem voor de toekomst dus eigenlijk al direct verholpen is als het OM hier in de tenlastelegging wat handiger mee omgaat? Waardoor dit dus geen precedentwerking hoeft te hebben?

      • Het ging er niet om dat Meta niet als slachtoffer werd genoemd, maar dat in de tenlastelegging expliciet stond dat de webserver van [slachtoffer 2] was (“(een) geautomatiseerd(e) werk(en) voor opslag of verwerking van gegevens, te weten (..) een webserver en/of een netwerk toebehorende aan die [slachtoffer 2] en/of “). Dat deel van de tll kon niet worden bewezen omdat de webserver van Facebook is. Er hoeft geen slachtoffer genoemd te worden in de tll. Het vierde gedachtestreepje onder het subsidiaire feit in de Facebookzaak sprak van een geautomatiseerd werk “toebehorende aan (een) ander(en) dan verdachte”, wat niet kon worden bewezen omdat het dossier daarvoor onvoldoende informatie bevatte. Als dit wel bewezen kon worden, zie ik niet waarom dit feit niet als computervredebreuk kan kwalificeren.

        De Conclusie bij het ddos-arrest gaat de PG in op de specifieke bewoording van de tll:

        3.20. Tenlastegelegd (als het primaire feit) is dat: “primair hij in of omstreeks de periode van 23 oktober 2017 tot en met 25 oktober 2017 te Amsterdam, in elk geval in Nederland, opzettelijk en wederrechtelijk de toegang tot en/of het gebruik van een geautomatiseerd werk heeft belemmerd, door daaraan gegevens aan te bieden en/of toe te zenden, immers heeft verdachte door middel van de site ” [internetsite 1] ” gegevens aangeboden en/of toegezonden naar de website ” [internetsite 2] ” waardoor de toegang tot en/of het gebruik van dit geautomatiseerde werk werd(en) belemmerd;” 3.21. Zou men, zoals de steller van het middel kennelijk als uitgangspunt neemt, het gedeelte van de tenlastelegging dat voorafgaat aan het woordje “immers” als een louter kwalificatief gedeelte aanmerken, en dat dus voor de feitelijke omschrijving van hetgeen de verdachte verweten wordt niet meetellen, dan kan men wellicht tot de conclusie komen dat het hof miskend heeft dat een website niet als een geautomatiseerd werk kan worden aangemerkt. In die lezing zou het in het laatste zinsdeel genoemde “geautomatiseerde werk” terugslaan op de website ” [internetsite 2] ” waarvan de toegang is belemmerd. Het lijkt mij echter aannemelijker dat het hof ook het eerste deel van de tenlastelegging, voorafgaand aan “immers” als onderdeel van de feitsomschrijving heeft aangemerkt. Dan kan het in het laatste zinsdeel genoemde “geautomatiseerde werk” heel goed worden gelezen als terugslaand op het eerstgenoemde, zelfde begrip. Kennelijk heeft het hof dit ook zo gezien en dat is niet in strijd met de bewoordingen van de tenlastelegging.(..)
        In deze zaak van de man uit Tiel begon de tll met:
        hij op of omstreeks 25 augustus 2017 te ‘s-Gravenhage en/of te Tiel, althans in Nederland, opzettelijk en wederrechtelijk in een (gedeelte van) een geautomatiseerd werk, te weten de website van [onderneming 1] ([website onderneming 1]), is binnengedrongen
        Dit laat zich maar op één manier lezen: de website is het geautomatiseerde werk.Volgens mij ben je er met de tenlastelegging van J2CV.

  3. Hoi Arnoud,

    Ik snap de reuring die dit arrest veroorzaakt, maar kan toch niet direct tot dezelfde conclusie komen. Ik denk niet dat uit het door jou aangehaalde arrest van de Hoge Raad volgt dat de HR een website onder het begrip ‘geautomatiseerd werk’ vindt vallen. Uit de laatste zin van rechtsoverweging 2.8 – die door jou niet is geciteerd – blijkt dat volgens mij:

    “Het is ook niet onbegrijpelijk, in aanmerking genomen dat de instandhouding van een actieve website vereist dat een geautomatiseerd werk in de onder 2.7 bedoelde zin in werking is, en dat het uitvoeren van een DDoS-aanval de toegang tot die website belemmert, wat meebrengt dat daardoor ook de werking van dit geautomatiseerd werk, voor zover het de functionaliteit van die website in stand houdt, wordt belemmerd.”

    De Hoge Raad vond dat het cassatiemiddel faalt, niet omdat een website een geautomatiseerd werk is, maar omdat door het uitvoeren van een DDoS-aanval op een website, ook noodzakelijkerwijs de werking van het geautomatiseerde werk belemmerd wordt. Zo lees ik het althans.

    Uiteraard kan je beargumenteren dat dat voor onderhavige zaak analoog toegepast kan worden, dus dat het inbreken op een website automatisch betekent dat er ingebroken wordt op het geautomatiseerde werk zelf, maar dat lijkt me niet evident. Ook hoe uit de wetsgeschiedenis blijkt dat de wetgever waarde hecht aan het fysieke aspect van het geautomatiseerde werk, zijn de opties van het Hof ook niet zo heel breed.

    Inmiddels is ook met de Wet computercriminaliteit III een nieuw delict ingevoegd (art. 138c Sr), die denk ik wel het onderhavige geval zal dekken. Dus zo groot lijkt me de impact ook weer niet. Al is er wel het risico op een onbedoeld verschil in strafbedreigingen.

    Kortom, ik denk dat met deze casus het Hof niet veel anders kon. Uiteraard kan het misschien een aanleiding zijn voor reflectie van de wetgever, maar onredelijk lijkt me het arrest van het Haagse Hof niet. Ik hoor graag hoe jij daar over denkt.

    • In dat arrest was de tenlastelegging nadrukkelijk uitsluitend “binnendringen in een website”, er was niet ten laste gelegd “binnendringen in een server waarop draaiend een website” of iets dergelijks. Je zou dan zeggen dat Hof of HR gaat piepen als het noemen van de fysieke hardware essentieel is.

      Het citaat waar ik op drijf, is volgens mij een zelfstandige overweging:

      de toegang tot de website ‘[internetsite 2]’ door deze aanvallen daadwerkelijk (tijdelijk) belemmerd is geweest. Op grond hiervan heeft het hof bewezenverklaard dat de verdachte de toegang tot en/of het gebruik van een geautomatiseerd werk heeft belemmerd.
      Een website wordt hiermee gelijkgesteld met “geautomatiseerd werk”, zonder voorbehoud.

      Jouw ro 2.8 is een verdere overweging, zie het woord “ook”. Ik haal daaruit geen nadere eis van wat een “geautomatiseerd werk” zou moeten zijn. Maar los daarvan, het steunt mijn stelling dat je in het begrip “website” de hardware meeleest:

      in aanmerking genomen dat de instandhouding van een actieve website vereist dat een geautomatiseerd werk in de onder 2.7 bedoelde zin in werking is,
      Dit is kennelijk iets dat je meeleest in die term, althans de HR noemt niet waar ze deze kennis vandaan haalt, zelfs niet uit algemene bekendheid. Ik lees dit citaat dus als “in de term website zit besloten de onderliggende hardware”. Daarmee heeft de HR dus wél gezegd dat enkel “website” in de tll genoeg is voor het bestanddeel “geautomatiseerd werk”.

      • In dat arrest was de tenlastelegging nadrukkelijk uitsluitend “binnendringen in een website”, er was niet ten laste gelegd “binnendringen in een server waarop draaiend een website” of iets dergelijks. Je zou dan zeggen dat Hof of HR gaat piepen als het noemen van de fysieke hardware essentieel is.

        Technisch gezien is een website helemaal niets. Het is een gebruikersconcept dat in feite verwijst naar de technische inrichting waaraan (geautomatiseerde) verzoeken gericht kunnen worden die door de gebruiker dan als “website” worden ervaren.

        Daarnaast wordt in de tenlastelegging explicliet verwezen naar databases (in deze context altijd verwijzend naar draaiende software – dus op een server) en SQL injecties. Ik geef toe dat de tenlastelegging blijk geeft van een aanklager die het niet duidelijk weergeeft. Het is echter heel duidelijk in de tenlastelegging dat het hier niet gaat om het alleen uitlezen van de html bestanden of wellicht het aanmaken van alternatieven.

        Inderdaad de web (en database) server is aangevallen met het doel om gegevens te ontfutselen. Dit is omschreven als het hacken van de website. Dat is niet 100% correct vanuit wat er technisch gebeurd, maar wel correct vanuit normaal taalgebruik. Aangezien een website een server (software en hardware – dus een inrichting voor automatisch ….) nodig heeft is het voor mij niet vol te houden dat de tenlastelegging te onduidelijk was om een fatsoenlijke verdediging tegen te staan.

        Wat Arnoud zegt over de HR, lees ik het dat de HR zo ook tegen de zaak aankeek, dus inderdaad toch wel een rechterlijke dwaling, mede omdat het voor mij een laagdrempelige correctie zou zijn als “binnendringen bij de website” wordt vervangen door “binnendringen bij de servers die website .. aanbieden” aangezien dat de enige correcte interpretatie is van “binnendringen bij de website..”

  4. Ik vindt het bizar dat een rechter dent dat een website iets is dat zonder hardware kan bestaan. Dat is onmogelijk. De server is impliciet net zo goed onderdeel van de website als papier onderdeel is van een fysieke krant. Dat moet je ook helemaal niet benoemen moeten tenzij de locatie van de server/website relevant is voor de rechtszaak.

  5. Stel de website zou op een virtuele machine draaien. En niet op een fysieke machine. Bij het binnendringen blijft dan de fysieke machine ongemoeid, alleen de virtuele machine wordt aangetast. Is het dan nog steeds strafbaar?

    Dergelijke virtuele machines kunnen met een druk op een knop verwijderd en opnieuw aangemaakt worden. De “machine” hoeft niet eens meer te bestaan.

    • Goeie vraag. Mijn insteek zou zijn: uiteindelijk ben je toch ergens waar je niet mag zijn. De afnemer van de VM heeft het verboden, de reseller bij wie hij de VM afneemt heeft met hem afgesproken dat hij regelt wie er wel en niet in mag, en de reseller heeft iets dergelijks met de hardwareboer afgesproken.

      Vergelijk: een winkelier verbiedt een overlastgever de toegang, de verhuurder van het pand staat de winkelier toe dit zo te regelen, en de eigenaar van alle panden samen had de verhuurder van dit ene pand ook weer zoiets afgesproken. Dat kan gewoon, en het is dan niet nodig dat de eigenaar van Winkelstraat bv in de strafzaak tegen de overlastgever komt zeggen dat de winkelier huisregels mag stellen toch?

      • Mee eens. Al was het maar omdat bij het binnendringen in een Virtual Machine, Virtual Private Server, cloud computing faciliteit, of hoe je het allemaal maar noemen wilt, er ook wordt binnengedrongen in de fysieke hostcomputer. De virtualisatiesoftware, zoals KVM/QEMU, beeldt stukjes virtuele hardware af op echte hardware (netwerkinterface, geheugen, “schijf” (nu SSD e.d.), processor(kern(en))). Die echte hardware doet het werk en speelt dus een rol in het ongeoorloofd binnendringen.

        En de aanwezigheid daarvan is essentieel voor het functioneren van een website. Software op zich doet niks. Hardware op zich ook niet, die staat wat te zoemen maar er gebeurt niks.

        Daarom zou ik “een website” willen zien als een geheel van samenwerkende hardware, middleware, firmware en software, en dus als een “geautomatiseerd werk” in juridische zin.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS