Belemmeren van toegang tot geautomatiseerd werk door via website DDos-aanvallen uit te laten voeren op andere website: “geautomatiseerd werk”?
/Hoge Raad 24 december 2021, ECLI:NL:HR:2021:1944
De verdachte is door het gerechtshof Amsterdam veroordeeld tot een voorwaardelijke taakstraf voor de duur van 40 uren, met een proeftijd van één jaar wegens het “opzettelijk en wederrechtelijk de toegang tot en/of het gebruik van een geautomatiseerd werk belemmeren door daaraan gegevens toe te zenden”.
Het gaat in deze zaak om een zogenaamde DDOS-aanval. De term ‘DDOS’ is een afkorting voor Distributed Denial Of Service. De DDOS-aanval is de bekendste vorm van ‘verstikkingsaanvallen’ via het internet. Zo’n aanval bestaat uit het – typisch met behulp van een botnet – aansturen van een grote hoeveelheid computers (‘distributed’), zodat dat zij allemaal tegelijk een website te bezoeken. Het (beoogde) gevolg hiervan is dat de server van de aangevallen website de grote hoeveelheid verkeer niet meer aankan, ten gevolge waarvan de website die van deze server gebruik maakt niet meer toegankelijk is (‘denial of service’). Het betreft een vorm van criminaliteit die de laatste jaren in opkomst zou zijn.
Met betrekking tot het bewijs heeft het hof in de aanvulling van het verkorte arrest het volgende overwogen:
“Redengevende feiten en omstandigheden
Het hof stelt de volgende feiten en omstandigheden vast. In 2017 voelde de verdachte zich opgelicht door de website ' internetsite 2 ’ De verdachte zocht daarom een manier om de eigenaar van deze website te "treffen“ en kwam terecht bij de website ‘ internetsite 1 ’1 Dit betrof een zogeheten ‘bootersite’ die tegen betaling diensten leverde om (onder meer) Distributed Denial of Service-aanvallen (hierna: DDoS-aanvallen) uit te laten voeren op andere websites, door die websites te testen op hun bestendigheid tegen dergelijke aanvallen.2 DDoS-aanvallen zijn pogingen om een computer, computernetwerk of dienst niet of moeilijker bereikbaar te maken voor de bedoelde klanten, waarbij meerdere computers tegelijk de aanval op hun doelwit uitvoeren.3 De verdachte registreerde zich op de website ‘ internetsite 1 ’ als gebruiker en betaalde daartoe op 23 oktober 2017 via zijn PayPal-account een bedrag aan die website.4 Vanuit zijn woning in plaats (Nederland) liet de verdachte via ‘ internetsite 1 ' verschillende DDoS-aanvallen uitvoeren op de website ‘ internetsite 2 ’5. Meer specifiek ging het om in totaal 16 DDoS-aanvallen in de periode van 23 oktober 2017 tot en met 25 oktober 2017.6 De eigenaar van de aangevallen website, betrokkene 1. deed op 28 maart 2018 aangifte: hij verklaarde dat op zijn website ‘ internetsite 2 ' in de periode van 22 lot en met 26 oktober 2017 enkele DDoS-aanvallen waren uitgevoerd, dat daardoor schade was ontstaan, dat hij hiervan melding had gedaan bij de lokale (het hof begrijpt: Zuid-Afrikaanse) politie en dat hij hierover contact had gehad met de politie Amsterdam.7 Hij vermoedde namelijk dat de DDoS-aanval uit Nederland kwam. Voorts ontving de aangever enkele e-mails van het e-mailadres e-mailadres ,8 in gebruik bij de verdachte.9 Op 23 respectievelijk 24 oktober 2017 ontving de aangever onder meer de volgende berichten vanaf dit e-mailadres: "You fucking scammer. We have taken down your website amd we will continue taking clown your website untill you slop scamming people and refund people'' en: 'Im gonna take down your website again .... watch now hahahaha fuckign scamming bitch. We are on you man”10 Op 24 oktober 201 7 stuurde de verdachte aan ' internetsite 1 ' onder meer hel volgende bericht: “I upgraded to the paid plan but I wanna lake down this website https:// internetsite 2 but it’s not going down. Only temporary. How can I shut it down for long?".
Standpunt van de verdediging
Ofschoon de verdachte heeft bekend dat hij via ‘ internetsite 1 ' DDoS-aanvallen heeft uitgevoerd op de website ‘ internetsite 2 '. heeft de raadsman zich op het standpunt gesteld dat de verdachte van het primair tenlastegelegde moet worden vrijgesproken. Daartoe is aangevoerd dat op grond van het voorliggende dossier niet kan worden vastgesteld dat ten gevolge verdachtes gedragingen aanvallen zijn uitgevoerd op de website ‘ internetsite 2 '-en dat de toegang tot die website daardoor daadwerkelijk is belemmerd.
Overwegingen van het hof
Om te kunnen spreken van het belemmeren van het gebruik van een geautomatiseerd werk als bedoeld in artikel 138b, eerste lid, Wetboek van Strafrecht is vereist dat vast komt te staan dat het gebruik van het desbetreffende geautomatiseerd werk daadwerkelijk wordt belemmerd (vgl. Kamerstukken II. 2004-2005 26671. nr. 10. p. 28 en 29). Noch de tekst van de wet, noch de wetsgeschiedenis biedt aanknopingspunten voor de gedachte dat aan de in de wetsbepaling voorkomende term 'belemmert' een andere betekenis dient te worden toegekend dan daaraan volgens normaal spraakgebruik pleegt te worden gedaan, te weten: bemoeilijken, hinderen. Uit de bewijsmiddelen volgt naar het oordeel van het hof dal de website ‘ internetsite 2 ' door verdachtes toedoen meermalen is aangevallen door middel van een DDoS-aanval én dat de toegang tot die website daardoor (tijdelijk) metterdaad belemmerd is geweest. Dat laatste leidt het hof (meer specifiek) af uit de inhoud van de aangifte, de inhoud van de door de verdachte aan de aangever op 23 en 24 oktober 2017 verzonden e-mails en het bericht dat hij op 24 oktober 2017 aan ‘ internetsite 1 ' heeft verzonden. Dat het de verdachte kennelijk niet is gelukt om de website volledig en voor een lange periode 'uit de lucht te halen', doet hier niet aan af: ook een lijdelijke belemmering van de toegang tot de website is voldoende om tot een bewezenverklaring van het primair tenlastegelegde te kunnen komen. Het hof verwerpt het verweer dan ook.”
“1 De verklaring van de verdachte, zoals afgelegd op 8 juli 2020 ter terechtzitting in hoger beroep.
2 Proces-verbaal van bevindingen van 16 maart 2018 (documentcode 9407681), in de wettelijke vorm opgemaakt door de daartoe bevoegde opsporingsambtenaar verbalisant 1. dossierpagina's 22 tot en met 25.
3 Informatie die ieder van de rechtstreeks bij dit geding betrokkenen geacht moet worden te kennen en die men zonder noemenswaardige moeite op internet kan achterhalen uit algemeen toegankelijke bronnen, zoals https://nl.wikipedia.org/wiki/Distribiited_denial_of_service.
4 Proces-verbaal van verdenking van 16 maart 2018 (documentcode 9409266), in de wettelijke vorm opgemaakt door de daartoe bevoegde opsporingsambtenaar verbalisant 1, dossierpagina 26 tot en met 29.
5 De verklaring van de verdachte, zoals afgelegd op 8 juli 2020 ter terechtzitting in hoger beroep.
6 Een schriftelijk bescheid, te weten een "analyserapport gebruiker verdachte van internetsite 1 " (dossierpagina's 13 tot en met 20), dat als bijlage is gevoegd bij een proces-verbaal van verdenking en overdracht brondata van 30 maart 2018 (met proces-verbaalnummer LERDB17012-378), in de wettelijke vorm opgemaakt door de daartoe bevoegde opsporingsambtenaar verbalisant 2 .
7 Een geschrift, te weten een niet ondertekend proces-verbaal van aangifte van 28 maart 2018 (met nummer PL 1300-2018048487-1), opgemaakt door de daartoe bevoegde opsporingsambtenaar aangeduid als AML13292.
8 Proces-verbaal van onderzoek laptop van 17 mei 2018 (met nummer 201 8048487), in de wettelijke vorm opgemaakt door de daartoe bevoegde opsporingsambtenaar verbalisant 1, dossierpagina’s 49 en 50.
9 De verklaring van de verdachte, zoals afgelegd op 8 juli 2020 ter terechtzitting in hoger beroep. 10 Een geschrift, te weten een niet ondertekend proces-verbaal van aangifte van 28 maart 2018 (met nummer PL 1300-2018048487-1), opgemaakt door de daartoe bevoegde opsporingsambtenaar aangeduid als AML13292.
11 Een schriftelijk bescheid, te weten een "analyserapport gebruiker verdachte van internetsite 1 " (dossierpagina's 13 tot en met 20), dat als bijlage is gevoegd bij een proces-verbaal van verdenking en overdracht brondata van 30 maart 2018 (met proces-verbaalnummer LERDB17012-378), in de wettelijke vorm opgemaakt door de daartoe bevoegde opsporingsambtenaar verbalisant 2 .”
Middel
Het cassatiemiddel klaagt over de bewezenverklaring van het in de tenlastelegging voorkomende begrip “geautomatiseerd werk” in de zin van artikel 138b van het Wetboek van Strafrecht.
Beoordeling Hoge Raad
De tenlastelegging is toegesneden op artikel 138b Sr. Daarom moet worden aangenomen dat het in de tenlastelegging en de bewezenverklaring voorkomende begrip “geautomatiseerd werk” is gebruikt in de betekenis die dat begrip heeft in die bepaling.
Bij de beoordeling van het cassatiemiddel zijn de volgende wettelijke bepalingen van belang.
Artikel 80sexies (oud) Sr zoals dat luidde tijdens het bewezenverklaarde feit:
“Onder geautomatiseerd werk wordt verstaan een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen.”
Artikel 80sexies Sr zoals dat sinds 1 maart 2019 luidt:
“Onder geautomatiseerd werk wordt verstaan een apparaat of groep van onderling verbonden of samenhangende apparaten, waarvan er één of meer op basis van een programma automatisch computergegevens verwerken.”
Artikel 138b lid 1 Sr:
“Met gevangenisstraf van ten hoogste twee jaren of geldboete van de vierde categorie wordt gestraft hij die opzettelijk en wederrechtelijk de toegang tot of het gebruik van een geautomatiseerd werk belemmert door daaraan gegevens aan te bieden of toe te zenden.”
De memorie van toelichting bij het wetsvoorstel dat heeft geleid tot de Wet van 27 juni 2018 tot wijziging van het Wetboek van Strafrecht en het Wetboek van Strafvordering in verband met de verbetering en versterking van de opsporing en vervolging van computercriminaliteit (computercriminaliteit III), Stb. 2018, 322, houdt ten aanzien van artikel 80sexies Sr zoals dat sinds 1 maart 2019 luidt onder meer het volgende in:
“Dit onderdeel betreft een verruiming van het begrip geautomatiseerd werk in artikel 80sexies. Met de Wet computercriminaliteit is een omschrijving van het begrip geautomatiseerd werk in het Wetboek van Strafrecht opgenomen. Hieronder werd verstaan elke inrichting die met technische middelen geschikt is gemaakt voor de opslag en verwerking van gegevens. Hieronder vielen computers, netwerken van aan elkaar verbonden computers en geautomatiseerde inrichtingen voor telecommunicatie. Met de Wet computercriminaliteit II is het vereiste van de overdracht toegevoegd aan de begripsomschrijving. De termen «verwerken» en «overdragen» overlappen elkaar ten dele. De term «overdragen» heeft betrekking op het transport van gegevens naar een ander geautomatiseerd werk, de term «verwerken» heeft ook betrekking op bewerkingen van gegevens binnen een geautomatiseerd werk. Volgens de memorie van toelichting is de overdrachtsfunctie een wezenskenmerk van een geautomatiseerd werk. Opslag, verwerking en overdracht van gegevens zijn cumulatieve voorwaarden (Kamerstukken II 1998/99, 26 671, nr. 3, blz. 44). Met dit begrip worden op zichzelf staande computers aangeduid, maar ook netwerken van computers en geautomatiseerde inrichtingen voor telecommunicatie. Van belang is dat de inrichting zowel gegevens kan opslaan als deze verwerken en overdragen (Kamerstukken II 2004/05, 26 671, nr. 10, blz. 31). Een inrichting die enkel als bestemming heeft om gegevens over te dragen, zoals bijvoorbeeld een eenvoudig telefoontoestel, valt buiten de begripsomschrijving. Hierbij kan nog worden opgemerkt dat in de wetsgeschiedenis op verschillende plaatsen wordt uitgegaan van een alternatieve opsomming van de verschillende handelingen (Kamerstukken II 1989/90, 21 551, nr. 3, blz. 6, 1998/99, 26 671, nr. 3, blz. 28, 2004/05, en 26 671, nr. 10, blz. 5).
Inmiddels heeft de Hoge Raad bepaald dat uit de wetsgeschiedenis volgt dat het begrip geautomatiseerd werk niet is beperkt tot apparaten die zelfstandig voldoen aan de cumulatie van functies, te weten opslag, verwerking en overdracht van gegevens (HR 26 maart 2013, LJN BY9718). Naar het oordeel van het hoogste rechtscollege heeft de wetgever ook netwerken bestaande uit computers en/of telecommunicatievoorzieningen onder het begrip «geautomatiseerd werk» willen brengen.
Niettemin bestaat er aanleiding tot aanpassing van het begrip «geautomatiseerd» werk vanwege de technologische ontwikkelingen, die ertoe leiden dat apparaten zelfstandig op basis van een programma automatisch gegevens verwerken, zonder dat deze onderdeel vormen van een netwerk. In het conceptwetsvoorstel dat in consultatie is gegeven was voorgesteld de definitie van geautomatiseerd werk over te nemen van artikel 2, onderdeel a, van de Richtlijn 2013/40/EU van het Europees Parlement en de Raad van 12 augustus 2013 over aanvallen op informatiesystemen en ter vervanging van Kaderbesluit 2005/222/JBZ van de Raad (Pb EU L 218/8). Deze definitie omvatte niet enkel apparaten maar tevens de gegevens die met dat apparaat werden verwerkt met het oog op de werking, het gebruik, de beveiliging en het onderhoud daarvan. De Afdeling advisering heeft geadviseerd af te zien van het gebruik van het begrip «computergegevens» in de definitie van geautomatiseerd werk. Aan dit advies is gevolg gegeven. Met de voorgestelde definitie van het begrip «geautomatiseerd» werk wordt aangesloten bij de terminologie van het Cybercrime Verdrag (artikel 1, onderdeel a). In de voorgestelde begripsomschrijving vormt het op basis van een programma automatisch verwerken van computergegevens een essentieel vereiste. Deze definitie omvat computers, servers, modems, routers, smartphones en tablets. In het advies van Bof wordt erop gewezen dat de begripsomschrijving van het conceptwetsvoorstel dat in consultatie is gegeven ook technische apparaten omvat die in verbinding staan met een netwerk, zoals de SCADA-systemen die worden gebruikt bij industriële productiesystemen, navigatiesystemen, televisies, een digitaal fototoestel met Wifi-compatibiliteit of een pacemaker. Deze apparaten vallen ook onder de thans voorgestelde begripsomschrijving. Dit is echter niet zozeer een gevolg van de wens tot verruiming van de omschrijving van het geautomatiseerd werk als wel van de ontwikkeling van de techniek, die ertoe leidt dat steeds meer apparaten beschikken over functies die voorheen waren voorbehouden aan de computer. In die gevallen waarin dergelijke apparaten worden gebruikt voor de verwerking van gegevens met betrekking tot ernstige strafbare feiten, kan de toepassing van de bevoegdheden (...) van het Wetboek van Strafvordering (...) noodzakelijk zijn. Het ligt niet voor de hand dat een pacemaker of een televisie in beslag wordt genomen omdat daarop gegevens zijn opgeslagen of verwerkt die kunnen dienen om de waarheid aan de dag te brengen, bij voorbaat is dit echter evenmin uitgesloten. Dit is sterk afhankelijk van de ontwikkeling van zowel de techniek als de modus operandi van de misdaad.” (Kamerstukken II 2015/16, 34372, nr. 3, p. 85-86.)
Artikel 138b lid 1 Sr is ingevoerd bij Wet van 1 juni 2006 tot wijziging van het Wetboek van Strafrecht, het Wetboek van Strafvordering en enige andere wetten in verband met nieuwe ontwikkelingen in de informatietechnologie (computercriminaliteit II), Stb. 2006, 300. De geschiedenis van deze wet houdt onder meer het volgende in:
Memorie van toelichting:
“Spam - het ongevraagd toezenden van e-mail, waarbij de afzender vaak een onjuist adres opgeeft zodat de ontvanger geen actie tegen hem kan ondernemen - wordt op Internet in toenemende mate als een probleem ervaren. De Vereniging van Nederlandse Internet Providers (NLIP) heeft in haar commentaar op het ontwerp van dit wetsvoorstel gepleit voor een betere formulering en strafbaarstelling van spam. Ook de Beleidsadviesgroep digitaal rechercheren van de politie heeft aandacht gevraagd voor deze «digitale variant van stalking». Onder spam worden verschillende gedragingen verstaan met verschillende gevolgen. De «klassieke» vorm is het ongevraagd toezenden van een e-mail aan een groot aantal personen. Vaak gebeurt dit voor reclamedoeleinden (direct marketing). Daarnaast is er het toezenden van een grote hoeveelheid e-mail (inhoud vaak niet relevant, bijvoorbeeld tienmaal de bijbel) aan één persoon met als doel dat diens e-mailbox verstopt raakt waardoor hij geen e-mails meer kan ontvangen. Dit wordt ook wel bombing genoemd. In zo’n geval is de beschikbaarheid (availability) van een Internetdienst voor individuele gebruikers in het geding. Dergelijke bombardementen van e-mails kunnen dusdanig ernstige vormen aannemen dat zelfs de werking van de server van een Internet Service Provider tijdelijk wordt verstoord en daardoor diens dienstverlening ernstig wordt bemoeilijkt. In zo’n geval kan sprake zijn van het strafbaar feit van artikel 161sexies (onderdeel 1) of artikel 161septies (onderdeel 1) Sr: het (opzettelijk dan wel culpoos) vernielen, beschadigen, onbruikbaar maken, stoornis in de werking veroorzaken enz., van een geautomatiseerd werk, waardoor wederrechtelijk verhindering of bemoeilijking van de opslag of verwerking van gegevens ten algemene nutte of stoornis in een openbaar telecommunicatienetwerk of in de uitvoering van een openbare telecommunicatiedienst ontstaat. Ik meen, mede gelet op de genoemde maatschappelijke signalen, dat het wenselijk is ook die gevallen van spam (of bombing) strafbaar te stellen, waarin weliswaar niet de werking van een compleet netwerk of complete telecommunicatiedienst wordt verstoord maar wel de toegang van een individuele gebruiker tot zo’n netwerk of dienst wordt belemmerd. In zo’n geval wordt immers een elementair rechtsgoed in gevaar gebracht, namelijk de mogelijkheid van eenieder om ongehinderd gebruik te maken van een in de moderne samenleving belangrijk communicatiemedium. Daarom stel ik voor om na artikel 138a Sr betreffende computervredebreuk een nieuw artikel 138b op te nemen, strafbaar stellende het opzettelijk en wederrechtelijk, door tussenkomst van een openbaar telecommunicatienetwerk of een openbare telecommunicatiedienst, aan een ander gegevens toezenden die zijn bestemd om diens toegang tot dat netwerk of die dienst te belemmeren.” (Kamerstukken II 1998/99, 26671, nr. 3, p. 40.)
Tweede nota van wijziging:
“Artikel 5 van het Verdrag heeft betrekking op de strafbaarstelling van de schending van de integriteit van computersystemen. Artikel 3 van het EU-kaderbesluit heeft hierop eveneens betrekking. Artikel 5 van het Verdrag spreekt over «the serious hindering of the functioning of a computer system», artikel 3 van het Kaderbesluit over «het ernstig hinderen of het onderbreken van de werking van een informatiesysteem». Het moet hierbij dus gaan om ernstige vormen van hinder voor de gebruiker. Gedacht kan worden aan het toezenden van gegevens aan een computer(systeem) in een zodanige vorm of omvang of met een zodanige frequentie dat dit een significant nadelig effect heeft op de mogelijkheid van de eigenaar of gebruiker om de computer (of het computersysteem) te gebruiken of te communiceren met andere systemen. Zo bestaan er programma’s die zogenaamde »denial of service» aanvallen opwekken; programma’s (bijvoorbeeld virussen) die het gebruik van computersystemen onmogelijk maken of dit substantieel vertragen; programma’s die grote hoeveelheden e-mail sturen met als doel de communicatiefuncties van een systeem te verstoren.
In het Wetsvoorstel «Computercriminaliteit II» werd een nieuw artikel 138b voorgesteld, dat zich richtte op het opzettelijk en wederrechtelijk aan een ander toezenden van gegevens die bestemd zijn om de toegang van die ander tot een openbaar telecommunicatienetwerk of tot een openbare telecommunicatiedienst te belemmeren. Een dergelijk artikel is in het licht van artikel 5 van het Verdrag te beperkt. Daarom wordt nu een herzien artikel 138b voorgesteld dat, tezamen met artikel 350a Sr, de onderhavige materie bestrijkt. De term «belemmeren» geeft een adequate invulling aan de in het Verdrag en het kaderbesluit gehanteerde termen.
Het artikel ziet daarmee (...) tevens op het «bombarderen» van servers en computers met e-mail, mits de opzet erop gericht is de toegang daartoe of het gebruik daarvan te belemmeren.” (Kamerstukken II 2004/05, 26671, nr. 7, p. 33-34.)
Een inrichting kan alleen als een “geautomatiseerd werk” in de zin van artikel 80sexies (oud) Sr worden aangemerkt als zij geschikt is om drie functies te vervullen, te weten opslag, verwerking en overdracht van gegevens. Het begrip “geautomatiseerd werk” in de zin van artikel 80sexies (oud) Sr is echter niet beperkt tot apparaten die zelfstandig aan deze drievoudige eis voldoen. Ook netwerken bestaande uit computers die door middel van via het internet verspreide software met elkaar zijn verbonden en/of telecommunicatievoorzieningen vallen onder dat begrip, evenals delen van zulke geautomatiseerde werken. (Vgl. HR 26 maart 2013, ECLI:NL:HR:2013:BY9718 en, over het in artikel 161sexies (oud) Sr voorkomende begrip “geautomatiseerd werk”, HR 22 februari 2011, ECLI:NL:HR:2011:BN9287.) Dat zo een apparaat, netwerk of deel daarvan slechts met behulp van een of meer computerprogramma’s die functies van opslag, verwerking en overdracht van gegevens kan vervullen, brengt mee dat een belemmering van de werking van een computerprogramma waarmee een of meer van die functies worden vervuld ook kan worden aangemerkt als een belemmering van de werking van dit geautomatiseerd werk.
Het hof heeft vastgesteld dat de verdachte via de website ‘internetsite 1’ zestien Distributed Denial of Service-aanvallen (hierna: DDoS-aanvallen) heeft laten uitvoeren op de website ‘internetsite 2’, en dat de toegang tot de website ‘internetsite 2’ door deze aanvallen daadwerkelijk (tijdelijk) belemmerd is geweest. Op grond hiervan heeft het hof bewezenverklaard dat de verdachte de toegang tot en/of het gebruik van een geautomatiseerd werk heeft belemmerd. In het licht van de onder 2.5 en 2.6 weergegeven wetsgeschiedenis en gelet op wat hiervoor onder 2.7 is vooropgesteld, geeft dit oordeel niet blijk van een onjuiste rechtsopvatting. Het is ook niet onbegrijpelijk, in aanmerking genomen dat de instandhouding van een actieve website vereist dat een geautomatiseerd werk in de onder 2.7 bedoelde zin in werking is, en dat het uitvoeren van een DDoS-aanval de toegang tot die website belemmert, wat meebrengt dat daardoor ook de werking van dit geautomatiseerd werk, voor zover het de functionaliteit van die website in stand houdt, wordt belemmerd.
Het cassatiemiddel faalt.
Aantekening verdient dat wat hiervoor is overwogen over een geautomatiseerd werk in de zin van artikel 80sexies (oud) Sr, in het licht van de weergegeven wetsgeschiedenis ook van toepassing is op het huidige artikel 80sexies Sr, dat volgens de wetsgeschiedenis immers een verruiming vormt ten opzichte van artikel 80sexies (oud) Sr.
Lees hier de volledige uitspraak.