Uitspraak
9 april 2019
Strafkamer
nr. S 17/00643
Hoge Raad der Nederlanden
Arrest
op het beroep in cassatie tegen een arrest van het Gerechtshof Den Haag van 22 november 2016, nummer 22/005651-14, in de strafzaak tegen:
[verdachte], geboren te [geboorteplaats] op [geboortedatum] 1981.
1.Geding in cassatie
Het beroep is ingesteld door de verdachte. Namens deze hebben R.J. Baumgardt en P. van Dongen, beiden advocaat te Rotterdam, bij schriftuur middelen van cassatie voorgesteld. De schriftuur is aan dit arrest gehecht en maakt daarvan deel uit.
De Advocaat-Generaal P.C. Vegter heeft geconcludeerd tot vernietiging van het bestreden arrest, maar uitsluitend voor wat betreft de hoogte van de opgelegde straf.
2.Beoordeling van het eerste middel
2.1.
Het middel klaagt onder meer dat de bewezenverklaring van het onder 2 tenlastegelegde voor zover inhoudende dat de verdachte is 'binnengedrongen' in een deel van een geautomatiseerd werk niet uit de gebezigde bewijsmiddelen kan worden afgeleid.
2.2.1.
Bij inleidende dagvaarding is aan de verdachte onder 2 ten laste gelegd dat:
"Primair
hij op één of meer tijdstip(pen) in of omstreeks de periode van 12 december 2011 tot en met 14 december 2011 te Rotterdam en/of Moordrecht, althans in Nederland, opzettelijk en wederrechtelijk in een geautomatiseerd werk voor opslag of verwerking van gegevens,
te weten de webserver en/of website en/of netwerk van het bedrijf [B] (met de naam [website 1]), althans in een deel daarvan, is binnen gedrongen,
waarbij hij, verdachte, enige beveiliging heeft doorbroken en/of de toegang heeft verworven door een technische ingreep en/of met behulp van valse signalen of een valse sleutel en/of door het aannemen van een valse hoedanigheid,
door (onder meer) gebruik te maken van een software programma, te weten het software programma Acunetix dan wel een ander software programma, welk programma gebruikt wordt om kwetsbaarheden in websites op te sporen;
Subsidiair
hij op één of meer tijdstip(pen) in of omstreeks de periode van 12 december 2011 tot en met 14 december 2011 te Rotterdam en/of Moordrecht, althans in Nederland, ter uitvoering van het door hem verdachte voorgenomen misdrijf om opzettelijk en wederrechtelijk in een of meer geautomatiseerde werken voor opslag of verwerking van gegevens, te weten de webserver en/of website en/of netwerk van het bedrijf [B] (met de naam [website 1]), althans in een deel daarvan,
- binnen te dringen, en/of
- (vervolgens) gegevens, die waren opgeslagen, werden verwerkt of werden overgedragen door middel van dat/die geautomatiseerde(e) werk(en), voor zichzelf of een ander over te nemen, af te tappen of op te nemen,
(onder meer) gebruik heeft gemaakt van een software programma, te weten het software programma Acunetix dan wel een ander software programma, welk programma gebruikt wordt om kwetsbaarheden in websites op te sporen, terwijl de uitvoering van dat voorgenomen misdrijf niet is voltooid."
2.2.2.
Daarvan is bewezenverklaard dat:
"hij in de periode van 12 december 2011 tot en met 14 december 2011 te Rotterdam en/of Moordrecht, althans in Nederland, opzettelijk en wederrechtelijk in een geautomatiseerd werk voor opslag of verwerking van gegevens,
van het bedrijf [B], althans in een deel daarvan, is binnen gedrongen,
waarbij hij, verdachte, de toegang heeft verworven door een technische ingreep,
door (onder meer) gebruik te maken van een programma."
2.2.3.
Deze bewezenverklaring steunt op de bewijsmiddelen zoals weergegeven in de conclusie van de Advocaat-Generaal onder 5 en 6, waaronder bewijsmiddel 3 en 11 (de Hoge Raad begrijpt: 12), die luiden:
"3. Het proces-verbaal van aangifte nummer 2012204021-1, pagina's 1 t/m 4 in het proces-verbaal zaakdossier [B], van politie Rotterdam-Rijnmond, inhoudende als verklaring van aangever [aangever], namens [B]:
Mijn functie binnen [B] is Information Security Officer en als zodanig ben ik belast met de netwerkbeveiliging van de [B]. Binnen de netwerk topologie van de [B] is een server aanwezig genaamd [B]-DMZ-01. Op deze server draait een web-applicatie. Deze webapplicatie is vanaf het internet te bereiken op het adres [website 1] en staat binnen het [B] domein in een DMZ (Demilitarized Zone).
Genoemde web-applicatie wordt gemonitord door een bedrijf genaamd Secode. Dit bedrijf monitort de website door middel van een intrusion protection system. Het bedrijf Secode heeft op 12 december 2011 een mail verstuurd dat er een aanval op de website [website 1] werd uitgevoerd. Tevens werd door Secode een log bestand aangeleverd die de gegevens van de uitgevoerde aanval bevatte. In dit log bestand van Secode was te zien dat er gebruik is gemaakt van de web vulnerability scanner genaamd Acunetix. Ik zag dat er door middel van de tool Acunetix naar verschillende kwetsbaarheden in de website waren gezocht waarvan er een aantal werden geblokkeerd. Verder zag ik dat er sommige aanvallen voorzien waren van de actie Permit. In verband met deze toestemming is het niet ondenkbaar dat er een geslaagde aanval heeft plaatsgevonden. De aanval zou zijn uitgevoerd vanaf het statische IP-adres: [IP adres 1]. De tijdsduur van deze aanval uitgevoerd vanaf dit IP-adres op 12-12-2011 was gelegen tussen de tijdstippen 13:10 CET tot 13:14 CET en 16:35 CET tot 16:41 CET. CET staat voor Central European Time.
Op 14 december 2011 werd ik telefonisch door Secode op de hoogte gesteld van een langdurige aanval op de website [website 1]. Door Secode werd een log bestand aangeleverd waarop te zien is dat er middels cross site scripting en directory traversal aanvallen op de website zijn uitgevoerd. Verder is er op de log te zien dat er diverse pogingen met betrekking tot Cross Site Scripting worden geblokkeerd. Ook is te zien dat door middel van Directory Traversal werd getracht in de root van de server te komen. In hoeverre deze aanval geslaagd is, is tot op heden bij ons niet bekend. Echter aangezien er diverse aanvallen zijn die zijn voorzien van de actie Permit is het niet ondenkbaar dat er een geslaagde aanval heeft plaatsgevonden.
Deze aanval is uitgevoerd vanaf het dynamische IP-adres: [IP adres 2]. De tijdsduur van de aanval vanaf dit IP-adres uitgevoerd op 12-12-2011 was gelegen tussen de tijdstippen 23:01 CET en 23:03 CET.
(...)
12.
De verklaring van de verdachte.
De verdachte heeft ter terechtzitting in hoger beroep van 8 november 2016 verklaard - zakelijk weergegeven -:
Acunetix geeft aan of en zo ja, welke zwakheden er zijn geconstateerd. Daarna kun je met Acunetix handelingen verrichten om daadwerkelijk binnen te dringen."
2.2.4.
Het Hof heeft geen nadere bewijsoverwegingen opgenomen.
2.3.1.
De tenlastelegging en bewezenverklaring zijn toegesneden op art. 138ab, eerste lid, Sr. Daarom moet de in de tenlastelegging en bewezenverklaring voorkomende term 'binnen gedrongen' geacht worden aldaar te zijn gebezigd in dezelfde betekenis als toekomt aan de term 'binnendringt' in dat artikel.
2.3.2.
Art. 138ab, eerste lid, Sr luidde ten tijde van het bewezenverklaarde:
"1. Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt, als schuldig aan computervredebreuk, gestraft hij die opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan. Van binnendringen is in ieder geval sprake indien de toegang tot het werk wordt verworven:
a. door het doorbreken van een beveiliging,
b. door een technische ingreep,
c. met behulp van valse signalen of een valse sleutel, of
d. door het aannemen van een valse hoedanigheid."
De delictsbestanddelen zijn gelijkluidend aan die van de huidige, op 1 juli 2015 in werking getreden, bepaling.
2.4.
Aangezien de bewezenverklaring, voor zover inhoudende dat de verdachte is 'binnengedrongen' in een geautomatiseerd werk of in een deel daarvan, niet zonder meer kan worden afgeleid uit de gebezigde bewijsmiddelen, is de bestreden uitspraak niet naar de eis der wet met redenen omkleed. De enkele omstandigheid dat de verdachte blijkens bewijsmiddel 3 op 12 september 2012 met behulp van een scan-programma de website van de aangever op kwetsbaarheden heeft onderzocht, waarvan een aantal werd geblokkeerd en dat als gevolg daarvan 'niet ondenkbaar is dat er een geslaagde aanval heeft plaatsgevonden' volstaat daartoe niet. De vermelding in bewijsmiddel 3 van aanvallen door middel van "cross site scripting" en "directory traversal" waarvan de werking niet nader is toegelicht maakt dat niet anders, in aanmerking genomen dat aldus zonder nadere motivering die ontbreekt in het midden blijft of de verdachte toegang heeft verworven door een technische ingreep of dat het bij een poging daartoe is gebleven.
2.5.
Het middel slaagt.
3.Beoordeling van het tweede middel
Gelet op de hierna volgende beslissing behoeft het middel geen bespreking.
4.Beslissing
De Hoge Raad:
vernietigt de bestreden uitspraak, maar uitsluitend wat betreft de beslissingen ter zake van het onder 2 tenlastegelegde en de strafoplegging;
wijst de zaak terug naar het Gerechtshof Den Haag, opdat de zaak ten aanzien daarvan op het bestaande hoger beroep opnieuw wordt berecht en afgedaan;
verwerpt het beroep voor het overige.
Dit arrest is gewezen door de vice-president W.A.M. van Schendel als voorzitter, en de raadsheren Y. Buruma, V. van den Brink, J.C.A.M. Claassens en A.E.M. Röttgering, in bijzijn van de waarnemend griffier
S.P. Bakker, en uitgesproken ter openbare terechtzitting van
9 april 2019.
S.P. Bakker, en uitgesproken ter openbare terechtzitting van
9 april 2019.