Rechtbank Oost-Brabant 13 juli 2015, ECLI:NL:RBOBR:2015:3980 Het Veiligheidsbureau Brabant-Noord coördineert de multidisciplinaire inzet van ketenpartners bij rampen, crises en incidenten. Het Veiligheidsbureau is verantwoordelijk voor het in stand houden van het proces management binnen de veiligheidsregio. Het Landelijk Crisis Management Systeem is een gesloten (computer-) netwerk waarop medewerkers van ketenpartners ingeval van een ramp, crisis of incident met gebruikmaking van een inlognaam en wachtwoord kunnen inloggen en waarbinnen informatie kan worden uitgewisseld. Het LCMS heeft tot doel de gecoördineerde inzet van politie, brandweer en geneeskundige hulpverlening te ondersteunen en de samenwerking met bestuur, coördinatiecentra en iedere andere bij de rampenbestrijding betrokken organisatie te bevorderen.

Het systeem is afgeschermd met gebruikersnamen en daarbij horende wachtwoorden.

Uit onderzoek door het Team High Tech Crime van de Landelijke Eenheid van de Nationale Politie is gebleken dat een of meer wachtwoorden voor het systeem via algemeen toegankelijke bronnen waren te achterhalen.

Het onderzoek is opgestart nadat een politiemedewerkster via een familielid een printscreen had ontvangen van een tabblad uit LCMS waarop informatie stond aangaande een incident in de Penitentiaire Inrichting te Vught op 24 februari 2014.

Verdenking

Aan verdachte is ten laste gelegd dat: hij in of omstreeks de periode van 24 februari 2014 tot en met 27 februari 2014 te Drunen, gemeente Heusden, althans in Nederland, opzettelijk en wederrechtelijk in een of meer geautomatiseerde werken, te weten een of meer server(s) of computer(s) (bedrijf 1), of in een deel daarvan, is binnengedrongen, waarbij hij de beveiliging heeft doorbroken, in elk geval de toegang heeft verworven door een technische ingreep, met behulp van een valse sleutel, te weten het onbevoegd gebruik maken van een of meerdere account(s) en/of (een) wachtwoord(en) en/of door het aannemen van een valse hoedanigheid, waarna verdachte vervolgens gegevens, die waren opgeslagen, werden verwerkt of werden overgedragen door middel van dat/die geautomatiseerd(e) werk(en) waarin verdachte zich wederrechtelijk bevond, voor zichzelf of een ander heeft overgenomen, afgetapt of opgenomen;

Ontvankelijkheid OM

Door de verdediging is verzocht de officier van justitie niet-ontvankelijk te verklaren in de vervolging omdat sprake is van schending van het verbod van willekeur, meer in het bijzonder schending van het beginsel van een redelijke en billijke belangenafweging.

Daartoe heeft de verdediging de volgende gronden aangevoerd.

Verdachte is door middel van openbare gegevens, die gepubliceerd zijn op openbare websites, binnengekomen in het Landelijk Crisis Management Systeem (LCMS). Bovendien had het Openbaar Ministerie contact kunnen opnemen met verdachte toen het OM vernam dat verdachte in het systeem was gekomen.

Tot slot heeft verdachte niet het belang van LCMS geschonden door te hacken, maar is het LCMS juist gebaat bij de ontdekking dat de beveiliging van hun computersysteem niet deugde.

De rechtbank verwerpt het verweer.

In artikel 167 lid 1 Sv is aan het OM de bevoegdheid toegekend te beslissen of naar aanleiding van een ingesteld opsporingsonderzoek vervolging moet plaatsvinden. De beslissing om tot vervolging over te gaan leent zich slechts in zeer beperkte mate voor een inhoudelijke rechterlijke toetsing. Slechts in uitzonderlijke gevallen is plaats voor een niet-ontvankelijkverklaring van het OM in de vervolging om reden dat het instellen of voortzetten van die vervolging onverenigbaar is met beginselen van een goede procesorde, zoals het verbod van willekeur (ook wel genoemd het beginsel van een redelijke en billijke belangenafweging. Van willekeur is sprake ingeval geen redelijk handelend lid van het OM heeft kunnen oordelen dat met (voortzetting van) de vervolging enig door strafrechtelijke handhaving beschermd belang gediend kan zijn.

Uit het opsporingsonderzoek is de verdenking gerezen dat verdachte met gebruikmaking van uit openbare bronnen verkregen inloggegevens en wachtwoorden meermalen heeft ingelogd op de servers bedrijf 1 en aldus ongeautoriseerde toegang heeft verkregen tot het – niet-openbare – netwerk van LCMS. De enkele omstandigheid dat de inloggegevens zijn verkregen uit voor eenieder toegankelijke bronnen laat onverlet dat de officier van justitie via haar beslissing om de zaak aan de strafrechter voor te leggen aan de orde kan stellen de vraag in hoeverre de handelingen van verdachte – zo al bewezen – een strafbaar feit opleveren, niettegenstaande de wijze van verkrijging van de beweerdelijk daarbij gebruikte inloggegevens. Dit redelijke opsporingsbelang geldt te meer nu voorts de verdenking bestaat dat verdachte zich niet alleen toegang heeft verschaft tot het niet-openbare netwerk maar voorts verkregen data heeft verspreid onder derden die evenmin het recht hadden zich toegang tot die gegevens te verschaffen.

Alles afwegende is sprake van een redelijk vervolgingsbelang en is niet-ontvankelijkverklaring op de door de verdediging aangevoerde gronden niet aan de orde. Ook overigens kan de officier van justitie in de vervolging worden ontvangen. Voorts zijn er geen gronden gebleken voor schorsing van de vervolging.

Standpunt officier van justitie

De officier van justitie heeft op grond van de bewijsmiddelen, weergegeven in het op schrift gestelde requisitoir, geconcludeerd tot bewezenverklaring van het ten laste gelegde feit.

Standpunt verdediging

Namens verdachte is betoogd dat verdachte dient te worden vrijgesproken.

Aangevoerd is dat bij het zich toegang verschaffen tot het netwerk geen sprake was van “wederrechtelijkheid” omdat niet gesproken kan worden van een beveiligd systeem nu de inloggegevens immers waren verspreid op openbare websites met instructies over de wijze van inloggen. Aangevoerd is tevens dat geen sprake is van “binnendringen” nu op reglementaire wijze verbinding is gemaakt met de server terwijl de toegang niet is geweigerd.

Beoordeling rechtbank

Op grond van het dossier en het verhandelde ter zitting staat vast dat de toegang tot de servers waarop het systeem LCMS draaide uitsluitend kon worden verkregen met behulp van het ingeven van een inlognaam/account en een bijbehorend wachtwoord. Daarmee is, anders dan de verdediging meent, sprake van een afgeschermd, beveiligd systeem2. Verdachte heeft ter terechtzitting verklaard dat hij niet bij een van de overheidsdiensten werkzaam was waarvoor het LCMS is bestemd en dat hij evenmin toestemming had om in te loggen op het systeem LCMS. Verdachte heeft ter terechtzitting ook verklaard te begrijpen dat uit het voorgeschreven gebruik van een inlognaam en wachtwoord volgt dat het niet de bedoeling is dat iedereen toegang heeft tot het systeem; de inloggegevens zijn juist bedoeld om onbevoegden buiten te sluiten. Hij heeft verklaard 112-fotograaf te zijn, uit nieuwsgierigheid te hebben ingelogd op het systeem van LCMS en daar te hebben rondgekeken. Aldus moet verdachte hebben geweten dat hij niet gerechtigd was om de door hem aangetroffen inlognamen/accounts en wachtwoorden te gebruiken. Het feit dat anderen fouten maken of slordig zijn bij de beveiliging van een server, is geen vrijbrief voor verdachte om zich vervolgens zonder autorisatie toegang te verschaffen tot de desbetreffende servers. De wederrechtelijkheid van de bewezen te verklaren handelingen van verdachte is daarmee naar het oordeel van de rechtbank gegeven.

De rechtbank is voorts van oordeel dat wettig en overtuigend bewezen is dat verdachte door het gebruik van de inlognamen/accounts en wachtwoorden teneinde het geautomatiseerde werk te betreden terwijl hij daartoe onbevoegd was, zich heeft schuldig gemaakt aan het opzettelijk en wederrechtelijk binnendringen van de servers en dat hij vervolgens met gebruikmaking van een valse sleutel en een valse hoedanigheid gegevens heeft overgenomen voor zichzelf en voor anderen, een en ander zoals bedoeld in artikel 138ab Sr. De rechtbank wijst daarbij in het bijzonder op de voorbeelden die in het eerste lid van dit artikel zijn genoemd met betrekking tot de vraag wanneer van binnendringen sprake is. Nu verdachte niet gerechtigd was tot het gebruik van de door hem gehanteerde accounts/inlognamen en wachtwoorden, is sprake van het toegang verkrijgen door middel van een valse sleutel zoals aldaar bedoeld. Door hantering van deze inlognamen/accounts en wachtwoorden heeft verdachte zich voorts een valse hoedanigheid aangemeten.

De volgende bewijsmiddelen zijn verder redengevend voor het te bewezen verklaren feit.

Op 27 februari 2014 werd aangever in een vertrouwelijk gesprek door een medewerker van politie geïnformeerd over mogelijk misbruik van het LCMS-systeem. Aangever heeft een printscreen gezien met specifieke incidentgegevens van 24 februari 2014.

De inhoud van LCMS is nadrukkelijk niet voor het publieke domein bedoeld en is afgeschermd met gebruikersnamen en daarbij horende wachtwoorden.

Onderzoek heeft uitgewezen dat gebruik is gemaakt van accounts “naam 1”, “naam 2” en “naam 3”, o.a. met gebruikmaking van ip-adres alsmede

met mobiel internet. Ook blijkt uit het onderzoek dat op de computer van verdachte een SID-nummer (security identifier die random wordt aangemaakt bij o.a. het in- en uitloggen bij LCMS) is aangetroffen, welk nummer ook werd aangetroffen in de logbestanden bij een log-out van ip-adres. Dit IP-adres kwam eveneens voor in de gebruikersgeschiedenis van de gebruikersaccounts “naam 1”, “naam 2” en “naam 3”. Op 24 februari 2014 werd ingelogd door gebruiker naam 3 en op 27 februari 2014 om 17:14 uur gebeurde dit voor het laatst.

Op de computer van verdachte werd een wachtwoord aangetroffen voor gebruikersaccount “naam 1”. Met de medewerker van bedrijf 1 is dit wachtwoord getoetst en deze toetsing heeft tot een succesvolle log-in op het systeem geleid.

Verdachte heeft verklaard dat hij op internet een gebruikersnaam en wachtwoord heeft gevonden van LCMS en dat op de LCMS-oefenpagina alle gebruikersnamen en wachtwoorden van de oefenaccounts te vinden zijn.

Verdachte heeft verder verklaard dat hij meer accounts gebruikt heeft namelijk de accounts, “naam 4”, “naam 3”, nog iets met “naam 5” en iets wat begon met een “naam 6”. Hij heeft ingelogd bij hem thuis, via zijn mobiel en bij persoon 1.

Verdachte heeft tevens verklaard dat hij een screenshot heeft gemaakt dat hij gedeeld heeft in een Whatsapp-groep waarin onder meer persoon 2, persoon 3, persoon 4 en persoon 5 leden van zijn. Hij herkent het screenshot (p. 157) en deelt daarover mee dat hij dit tijdens zijn werk in gemeente heeft gemaakt. Volgens verdachte was dit de 23e of 24e (de rechtbank begrijpt februari 2014).

Bewezenverklaring

Computervredebreuk, terwijl de dader vervolgens gegevens die zijn opgeslagen, worden verwerkt of overgedragen door middel van het geautomatiseerd werk waarin hij zich wederrechtelijk bevindt, voor zichzelf of een ander overneemt.

Strafoplegging

De rechtbank heeft een taakstraf opgelegd van 80 uren subsidiair 40 dagen hechtenis met aftrek van de tijd in verzekering doorgebracht, waarvan 40 uren subsidiair 20 dagen hechtenis voorwaardelijk met een proeftijd van 2 jaren.

Lees hier de volledige uitspraak.