ECLI:NL:GHDHA:2020:1559

• Datum uitspraak: 25 augustus 2020
• Publicatiedatum: 27 augustus 2020
• Zaaknummer: 2200441519
• Instantie: Gerechtshof Den Haag
• Type: Uitspraak
• Rechtsgebied: Strafrecht
• Procedures: Hoger beroep
• Rechters: Chr.A. Baardman; C.H.M. Royakkers; J.W. van den Hurk
• Vindplaatsen: Rechtspraak.nl

AI samenvatting door Lexboost • Automatisch gegenereerd

Vrijspraak van verdachte in zaak rondom computermisdrijven en gebruik van Razorscanner en Razorcrypter

In deze zaak heeft het Gerechtshof Den Haag op 25 augustus 2020 uitspraak gedaan in hoger beroep tegen een vonnis van de politierechter in de rechtbank Den Haag. De verdachte was eerder vrijgesproken van het ten laste gelegde, maar de officier van justitie had hoger beroep ingesteld. De tenlastelegging betrof het voorhanden hebben van technische hulpmiddelen, namelijk de services Razorscanner en Razorcrypter, die hoofdzakelijk geschikt zijn voor het plegen van computermisdrijven. Het hof heeft vastgesteld dat de verdachte deze services voorhanden had, maar niet bewezen kon worden dat hij met het voorhanden hebben van deze tools het oogmerk had om computermisdrijven te plegen. Het hof heeft daarbij gekeken naar de functionaliteiten van de services en de intenties van de verdachte. De verdachte had verklaard dat hij geïnteresseerd was in malware en anti-malware detectie, maar er was geen bewijs dat hij deze tools gebruikte met de intentie om misdrijven te plegen. Het hof heeft geconcludeerd dat de verdachte niet schuldig was aan de tenlastegelegde feiten en heeft hem vrijgesproken.

Uitspraak

Rolnummer: 22-004415-19

Parketnummer: 09-765038-17

Datum uitspraak: 25 augustus 2020

TEGENSPRAAK

Gerechtshof Den Haag

meervoudige kamer voor strafzaken

Arrest

gewezen op het hoger beroep tegen het vonnis van de politierechter in de rechtbank Den Haag van 3 september 2019 in de strafzaak tegen de verdachte:

[verdachte],

geboren op [geboortedatum] te [geboorteplaats],

ingeschreven in de Basisregistratie Personen op het adres: [adres].

Onderzoek van de zaak

Dit arrest is gewezen naar aanleiding van het onderzoek op de terechtzitting in eerste aanleg en het onderzoek ter terechtzitting in hoger beroep van dit hof op
11 augustus 2020.

Het hof heeft kennisgenomen van de vordering van de advocaat-generaal en van hetgeen door en namens de verdachte naar voren is gebracht.

Procesgang

In eerste aanleg is de verdachte vrijgesproken van het ten laste gelegde.

De officier van justitie heeft tegen het vonnis hoger beroep ingesteld.

Tenlastelegging

Aan de verdachte is - na wijziging van de tenlastelegging ter terechtzitting in hoger beroep - tenlastegelegd dat:

hij in of omstreeks de periode van 19 maart 2014 tot en met 10 januari 2015 te Zoetermeer, althans in Nederland, met het oogmerk dat daarmee een misdrijf als bedoeld in artikel 138ab, eerste lid, 138b of 139c van het Wetboek van Strafrecht wordt gepleegd:

een of meerderen technisch hulpmiddelen dat/die hoofdzakelijk geschikt gemaakt en/of ontworpen is/zijn tot het plegen van een zodanig misdrijf,

heeft vervaardigd, verkocht, verworven, ingevoerd, verspreid of anderszins ter beschikking heeft gesteld of voorhanden heeft gehad,

met het oogmerk dat daarmee een van die misdrijven werd gepleegd,

immers heeft hij (een) Razorscanner en/of crypter aangeschaft en/of gebruikt door in die periode 17 (malware) bestanden up te loaden naar (een) Razorscanner om zodoende te bekijken of deze (malware)bestanden zouden worden gedetecteerd door anti-virus programma’s;

Vordering van de advocaat-generaal

De advocaat-generaal heeft gevorderd dat het vonnis waarvan beroep zal worden vernietigd en dat de verdachte ter zake van het ten laste gelegde wordt veroordeeld tot een geheel voorwaardelijke taakstraf voor de duur van 30 uren, subsidiair 15 dagen hechtenis, met een proeftijd van 2 jaren.

Het vonnis waarvan beroep

Het vonnis waarvan beroep kan niet in stand blijven omdat het hof zich daarmee niet verenigt.

Vrijspraak

Naar het oordeel van het hof is niet wettig en overtuigend bewezen hetgeen aan de verdachte is tenlastegelegd, zodat de verdachte daarvan behoort te worden vrijgesproken.

Het hof overweegt daartoe het volgende.

In het voorjaar van 2015 is onder leiding van de Duitse Kriminalinspektion Mayen een onderzoek gestart naar een counter anti-virus service genaamd Razorscanner en een crypter service genaamd Razorcrypter. De beheerder van deze services is in dat onderzoek aangehouden en de server waarop de genoemde softwareproducten beschikbaar werden gesteld is in beslag genomen. Op deze server zijn ook gegevens met betrekking tot de gebruikers van Razorscanner en Razorcrypter aangetroffen.

De Nederlandse politie heeft in maart 2016 van de Duitse Openbaar Ministerie een rechtshulpverzoek ontvangen. In dat rechtshulpverzoek zijn de functionaliteiten van Razorscanner en Razorcrypter als volgt omschreven.

Razorscanner geeft de gebruiker de mogelijkheid om door hem ontwikkelde virussen te testen op de herkenbaarheid ervan door virusscanners. Om Razorscanner te kunnen gebruiken koopt de gebruiker “coins”. Daarmee kan de klant vervolgens een scan uitvoeren. Uit de uitgevoerde scan kan de gebruiker opmaken of een ontwikkeld virus “Fully UnDetectable” is, ofwel door geen enkel anti-virusprogramma zal worden herkend. De maker van Razorscanner garandeert dat de gegevens met betrekking tot de in het programma geüploade bestanden niet aan de makers van anti-virusproducten worden doorgegeven. Mede gezien het gebruik van de overkoepelende term ‘malware’ in de tenlastelegging en door verdachte, en op grond van hetgeen het hof ambtshalve omtrent deze materie bekend is, neemt het hof aan dat het hierboven omschrevene niet alleen voor ‘virussen’ maar voor alle vormen van ‘malware’ geldt. De term malware zal in het hierna volgende in deze zin worden gebruikt.

Razorcrypter maakt het mogelijk om uitvoerbare computerbestanden tegen de ontdekking door anti-malwareprogramma’s te beschermen. Dat is onder meer mogelijk door de computercode die Razorcrypter moet verpakken te “binden” oftewel vast te maken aan andere (legitieme) software, of door het programma aan een ander softwareprogramma te hangen (“process injection”, het hof begrijpt: doordat die code wordt uitgevoerd in de
geheugenruimte toegewezen aan een actief legitiem proces).

Het Duitse Openbaar Ministerie heeft de klantgegevens van Razorscanner en Razorcrypter beschikbaar gesteld aan Europol. De Nederlandse politie heeft de op Nederlandse

klanten betrekking hebbende gegevens van Europol ontvangen.

De naam van verdachte komt voor in deze klantgegevens. Uit de verstrekte gegevens blijkt dat de verdachte tussen 19 maart 2014 en 10 januari 2015 in totaal 17 bestanden heeft geüpload naar Razorscanner. Uit de gegevens blijkt niet dat de verdachte de service Razorcrypter heeft gebruikt.

De verdachte heeft ter terechtzitting in hoger beroep onder meer verklaard dat het klopt dat hij Razorscanner in de ten laste gelegde periode heeft gebruikt en dat hij daarvoor een account heeft aangemaakt en coins heeft aangeschaft. Nu dit account en deze coins eveneens gebruikt konden worden om gebruik te maken van de service Razorcrypter zal de rechtbank beide services in de beoordeling betrekken.

Het hof ziet zich allereerst voor de vraag gesteld of Razorscanner en Razorcrypter ieder voor zich aangemerkt kunnen worden als een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt en/of ontworpen is tot het plegen van een misdrijf als bedoeld in artikel 138ab, eerste lid, 138b of 139c van het Wetboek van Strafrecht (hierna: Sr).

Uit de hiervoor beschreven functionaliteit van Razorscanner blijkt dat het programma niet zelfstandig geschikt gemaakt of ontworpen is om computervredebreuk te plegen, ddos-aanvallen uit te voeren of gegevens af te tappen of op te nemen. Evenmin is dat een van de eigenschappen van Razorscanner. Immers, Razorscanner controleert of een in Razorscanner geüpload bestand wordt herkend door verschillende anti-malwaresoftware. Razorscanner speelt geen rol bij het daadwerkelijk binnendringen in (delen van) een geautomatiseerd werk of de andere hiervoor bedoelde computermisdrijven.

Voor Razorcrypter geldt eveneens dat het niet zelfstandig geschikt gemaakt of ontworpen is om computervredebreuk te plegen, ddos-aanvallen uit te voeren of gegevens af te tappen of op te nemen. Evenmin is dat een van de eigenschappen van Razorcrypter. Zoals reeds overwogen is het doel van Razorcrypter eenvoudig gezegd het ‘verstoppen’ van kwaadaardige computercode, opdat deze niet of moeilijk detecteerbaar wordt voor anti-malwaresoftware. Razorcrypter speelt geen rol bij het daadwerkelijk binnendringen in (delen van) een geautomatiseerd werk of bij de andere hiervoor bedoelde computermisdrijven.

Als gevolg van het voorgaande rijst de vraag of een softwareprogramma dat niet als zodanig hoofdzakelijk geschikt gemaakt en/of ontworpen is tot het plegen van computermisdrijven, maar wel een (belangrijke) rol kan spelen om dat doel te verwezenlijken, aangemerkt kan worden als technisch hulpmiddel in de zin van art. 139d lid 2 aanhef en sub a Sr. Dit artikel is in het Wetboek van Strafrecht opgenomen bij de invoering van de Wet Computercriminaliteit II in 2006. In de Memorie van Antwoord (Kamerstukken I, 2005-2006, 26671, Memorie van Antwoord, D, blz. 13) is door de wetgever in het kader van beantwoording van de vraag of het oogmerk tot het plegen van het misdrijf aanwezig is gesteld dat (passages vetgedrukt gemaakt door hof):

Degene die een computerprogramma vervaardigt dat «hoofdzakelijk geschikt gemaakt of ontworpen» is tot het plegen van bijvoorbeeld computervredebreuk, is strafbaar wegens overtreding van artikel 139d, tweede lid, indien dat
vervaardigen geschiedt met het oogmerk
dat met dat computerprogramma ook daadwerkelijk computervredebreuk zal worden gepleegd. Degene die zo’n computerprogramma koopt of

verkoopt, is strafbaar indien die
koop of verkoop plaatsvindt met het oogmerk
dat met dat computerprogramma ook daadwerkelijk computervredebreuk zal worden gepleegd. [..]

Uit het voorgaande kan worden opgemaakt dat de wetgever de eis heeft gesteld dat met het betreffende technisch hulpmiddel daadwerkelijk computervredebreuk of andere computermisdrijven in het betreffende artikel zal worden gepleegd.

Uit de Memorie van Antwoord (Kamerstukken I, 2005-2006, 26671, Memorie van Antwoord, D, blz. 12-13) blijkt echter ook een andere opvatting, te weten (passages vetgedrukt gemaakt door hof):

Aangezien de voorgestelde bepalingen nauw aansluiten bij artikel 6 van het Cybercrime Verdrag, wil ik om te beginnen nog eens de achtergrond van die verdragsbepaling aanstippen. Met name in de internetomgeving worden vaak middelen ter beschikking gesteld die gebruikt kunnen worden voor het begaan van strafbare feiten als omschreven in de artikelen 2 tot en met 5 van het Verdrag. Deze middelen zijn bijvoorbeeld zogenaamde kraakprogramma’s,
passwords en toegangscodes waarmee onbevoegden toegang tot een computersysteem kunnen verkrijgen, maar het kan ook gaan om programma’s die schade veroorzaken, zoals virussen en
worms . Deze middelen kunnen ook bestaan in de vorm van apparaten of toestellen. In de opvatting van de verdragspartijen zou het in strafrechtelijke

zin ongemoeid laten van het aanbod van dergelijke middelen ernstige risico’s met zich brengen voor de vertrouwelijkheid, de integriteit en de beschikbaarheid van geautomatiseerde gegevensbewerking en gegevens.

Artikel 6 van het Verdrag richt zich dan ook tegen het vervaardigen, verspreiden of anderszins ter beschikking stellen van dergelijke

middelen.
Onder dit laatste wordt mede begrepen het opnemen van een zgn. hyperlink naar de site van waaraf deze middelen kunnen worden gedownload.

Als delictshandelingen worden genoemd het vervaardigen, verkopen, verkrijgen voor gebruik, invoeren, verspreiden of anderszins beschikbaar stellen. Het enkele bezit van dergelijke middelen – daaronder mede te verstaan het ter beschikking stellen van deze middelen – is eveneens strafbaar. Voorwerp van het strafrechtelijk verbod zijn die middelen die
hoofdzakelijk zijn ontworpen of beschikt gemaakt voor het begaan van de genoemde delicten.
Uit de inrichting en de eigenschappen van het middel dient te blijken dat dit door de producent ook bedoeld is om een delict als omschreven in de artikelen 2 tot en met 5 van het Verdrag te begaan. Een cruciaal element in de strafbepaling is vervolgens dat het vervaardigen (etc.) geschiedt met het oogmerk dat het middel wordt gebruikt voor het plegen van (kort gezegd) computercriminaliteit.

Uit de voorgaande passages kan naar oordeel van het hof worden opgemaakt dat de wetgever niet een dusdanig strikte uitleg heeft willen hanteren dat de eis wordt gesteld dat een technisch hulpmiddel geschikt gemaakt en/of ontworpen moet zijn om als zelfstandig computerprogramma computermisdrijven mee te plegen.

Naar het oordeel van het hof is Razorscanner daarom aan te merken als technisch hulpmiddel als bedoeld in artikel 139d lid 2 aanhef en sub a Sr. Razorscanner geeft de gebruiker immers belangrijke inzichten ten aanzien van de vraag of malware onopgemerkt zal blijven door de meest gangbare anti-malwareprogramma’s. Een gebruiker kan de malware hierna aanpassen - bijvoorbeeld door het gebruik van Razorcrypter - en de scan herhalen, totdat duidelijk wordt dat geen enkel van de via Razorscanner beschikbare anti-malwareprogramma’s de malware zal detecteren. Daarbij speelt Razorscanner met betrekking tot in het programma geüploade bestanden geen informatie door aan de producenten van anti-malwareprogramma’s. De producenten van anti-malwareprogramma’s worden aldus niet in de gelegenheid gesteld om herkenning alsnog mogelijk te maken. Uit deze eigenschappen blijkt naar het oordeel van het hof dat het de maker van Razorscanner en Razorcrypter erom te doen is geweest afnemers van hun services meer succes te bieden bij het plegen van computervredebreuk en/of andere computermisdrijven.

De vraag die vervolgens aan de orde is, is of de verdachte zich schuldig heeft gemaakt aan een van de delictshandelingen van art. 139d lid 2 aanhef en onder sub a Sr. De verdachte is onder meer verweten dat hij Razorscanner en Razorcrypter voorhanden heeft gehad.

Zoals hiervoor reeds aan de orde is gekomen kon de gebruiker van Razorscanner en Razorcrypter coins aanschaffen om deze services te gebruiken. Uit de inhoud van het strafdossier maakt het hof op dat het hier gaat om een online service. De gebruiker installeerde dus geen software op zijn device, maar verkreeg via een webbrowser toegang tot de service. Op dit punt maakt het strafdossier ook de vergelijking met een andere online service genaamd Virustotal. Het hof houdt het er daarom voor dat Razorscanner en Razorcrypter in dat opzicht vergelijkbare online services zijn geweest.

De betreffende services werden beschikbaar gesteld op een server van de beheerder en verdachte had er geen zeggenschap over. Echter, uit het strafdossier is op te maken dat de verdachte bij Razorscanner een gebruikersaccount had aangemaakt. Daarnaast blijkt dat de verdachte coins had aangeschaft om scans te kunnen uitvoeren, hetgeen hij met betrekking tot Razorscanner ook daadwerkelijk heeft gedaan. Hieruit leidt het hof af dat een account met voldoende coins noodzakelijk was om een scan te kunnen uitvoeren. Naar het oordeel van het hof had de verdachte daarmee wel de beschikking over de door zowel Razorscanner als Razorcrypter geleverde services, en heeft hij deze daarmee voorhanden gehad in de zin van art. 139d lid 2 aanhef en onder sub a Sr. Bewijs voor de andere delictsgedragingen is echter niet aanwezig.

Het hof ziet zich vervolgens voor de vraag gesteld of de verdachte met het voorhanden hebben van Razorscanner en Razorcrypter het oogmerk heeft gehad om computermisdrijven te plegen.

De verdachte heeft ter terechtzitting in hoger beroep verklaard dat hij tijdens zijn middelbareschoolperiode geïnteresseerd is geraakt in de werking van malware en de detectiemogelijkheden van anti-malwareprogramma’s. Onder andere met behulp van MSFencode verstopte de verdachte malware in bestanden en uploadde deze bestanden naar onder meer Razorscanner. Ook testte hij bestanden die hij vond op internet. De verdachte bekeek verschillende alternatieve testmogelijkheden, waaronder het hiervoor genoemde Virustotal. De verdachte verkoos Razorscanner boven Virustotal, omdat Razorscanner een groter aantal anti-malwareprogramma’s in de scans betrok. De kosten voor de aankoop van coins waren ook betrekkelijk laag. De verdachte heeft naar eigen zeggen niet meer dan 10 euro betaald voor minstens 200 coins. Dat Razorscanner geen informatie over geüploade bestanden verstrekte aan anti-malwareprogramma’s was voor de verdachte niet relevant, het ging hem slechts om zo breed mogelijke resultaten van de scans.

Het hof stelt vast dat het strafdossier geen nadere informatie bevat over de bedoeling van de verdachte met de scans via Razorscanner.

De verdachte is in zijn verhoor wel geconfronteerd met de onderzoeksbevinding dat één van de 17 bestanden, [bestandsnaam].exe die hij heeft geüpload in Razorscanner op diezelfde dag, 19 september 2014, ook is geüpload bij Virustotal. Het hof heeft door het invoeren van de blijkens het dossier bij dat bestand behorend hashwaarde in de zoekfunctie op de website van Virustotal vastgesteld dat het betreffende bestand op die dag eerst om 3:09 uur is geüpload in Razorscanner en later, om 15:07 uur, in Virustotal. Daarbij is de inhoud van het betreffende bestand blijkens de hashwaarde tussentijds niet gewijzigd.

Het hof heeft vastgesteld dat nog drie bestanden die door de verdachte zijn geüpload in Razorscanner – ongewijzigd - zijn geüpload in Virustotal. Het gaat dan om de volgende bestanden.

Bestandsnaam

upload Razorscanner

upload Virustotal

[bestandsnaam 2].exe

30-03-14, 05:20:29

2014-05-11 18:30:25

[bestandsnaam 3]

14-09-14, 03:36:30

2014-09-17 15:48:59

[bestandsnaam 4].exe

10-01-15, 02:06:40

2014-11-12 02:33:09

Hoewel niet vaststaat dat het de verdachte is geweest die de bestanden heeft geüpload in Virustotal, kan aan de inhoud van het strafdossier en de hiervoor weergegeven informatie geen bewijs worden ontleend dat de verdachte bestanden met daarin malware naar Razorscanner heeft geüpload louter met de bedoeling te vermijden dat de omstandigheid dat de daarin aanwezige malware door geen enkele of slechts een beperkt aantal anti-malwareprogramma’s detecteerbaar was, ter kennis zou worden gebracht van de producenten van dergelijke scanners. Het biedt eerder steun aan de verklaring van verdachte, dat hij zowel Razorscanner alsook Virustotal gebruikte om scans uit te voeren aan bestanden.

Daarnaast bevat het strafdossier geen bewijs dat de verdachte daadwerkelijk malware beschikbaar heeft gesteld aan anderen, teneinde die anderen in staat te stellen computermisdrijven te plegen, noch dat hij dit zelf heeft gedaan.

Het hof komt daarmee tot de conclusie dat de uitleg die de verdachte heeft gegeven over zijn bedoelingen met de scans via Razorscanner niet wordt weersproken door de inhoud van het strafdossier en de hiervoor weergegeven informatie. Er is sprake van een geloofwaardige weerlegging die de verdenking ontkracht. Bij die stand van zaken komt het hof tot het oordeel dat niet kan worden bewezen dat de verdachte met het gebruik van Razorscanner het oogmerk heeft gehad daarmee computermisdrijven te plegen. De verdachte dient daarom van het hem ten laste gelegde vrijgesproken te worden.

BESLISSING

Het hof:

vernietigt het vonnis waarvan beroep en doet opnieuw recht:

verklaart niet bewezen dat de verdachte het tenlastegelegde heeft begaan en spreekt de verdachte daarvan vrij.

Dit arrest is gewezen door mr. Chr.A. Baardman, mr. C.H.M. Royakkers en mr. J.W. van den Hurk, in bijzijn van de griffier mr. S.J. de Vries.

Het is uitgesproken op de openbare terechtzitting van het hof van 25 augustus 2020.