Uitspraak
RECHTBANK GELDERLAND
Team strafrecht
Zittingsplaats Zutphen
Parketnummer : 05/880287-19
Datum uitspraak : 23 maart 2019
Tegenspraak
vonnis van de meervoudige kamer
in de zaak van
de officier van justitie
tegen
[verdachte]
geboren op [verdachte] 1999 te [geboorteplaats] ,
wonende te [woonadres]
raadsman: mr. P. Buikes, advocaat te Apeldoorn.
Dit vonnis is gewezen naar aanleiding van het onderzoek op de terechtzitting van 9 maart 2020.
1.De inhoud van de tenlastelegging
Aan verdachte is, na een door de rechtbank toegewezen vordering wijziging tenlastelegging, ten laste gelegd dat:
1.
hij op of omstreeks 20 februari 2019 (in de periode van ongeveer 9.58 uur tot en met 11.21 uur, althans in de ochtend) te Markelo, gemeente Hof van Twente,, althans in Nederland,
opzettelijk en wederrechtelijk
in een (gedeelte van) een geautomatiseerd werk, te weten in de webserver van en/of in de administratie omgeving (het 'admin' account) van de applicatie van Traject Planner en/of van [benadeelde 1] en/of [benadeelde 1] van het ROC Aventus( Apeldoorn),
is binnengedrongen
a. door het doorbreken van een beveiliging, te weten het wijzigen van een URL en/of
b. door een technische ingreep, te weten het wijzigen van een URL en/of
c. met behulp van valse signalen of een valse sleutel, te weten door het gebruikmaken van een aan hem, verdachte, door het ROC Aventus verstrekte gebruikersnaam en wachtwoord van voornoemde applicatie,
d. door het aannemen van een valse hoedanigheid;
art 138ab lid 1 Wetboek van Strafrecht
2.
hij op of omstreeks 20 februari 2019 (vanaf ongeveer 14.45 uur, althans in/vanaf de middag) te Markelo, gemeente Hof van Twente,, althans in Nederland,
(telkens) opzettelijk en wederrechtelijk
meermalen, althans eenmaal in een (gedeelte van) een geautomatiseerd werk, te weten in de webserver van en/of in de administratie omgeving (het 'admin' account) van de applicatie van Traject Planner en/of van [benadeelde 1] en/of [benadeelde 1] van het ROC Aventus
(Apeldoorn),,
is binnengedrongen
a. door het doorbreken van een beveiliging, te weten het wijzigen van een URL en/of
b. door een technische ingreep, te weten het wijzigen van een URL en/of
c. met behulp van valse signalen of een valse sleutel, te weten het gebruikmaken van een aan hem, verdachte, door het ROC Aventus verstrekte gebruikersnaam en wachtwoord van voornoemde applicatie, ,
d. door het aannemen van een valse hoedanigheid;
en hij vervolgens de gegevens die zijn opgeslagen, worden verwerkt of worden overgedragen door middel van voornoemd geautomatiseerd werk
waarin hij zich wederrechtelijk bevond
voor zichzelf/haarzelf en/of een ander
heeft overgenomen, afgetapt en/of opgenomen (te weten
- door het wachtwoord van het 'admin account' te wijzigen en/of
- één of meer accounts aan te maken en/of
- één of meer wijzigingen aan te brengen in voornoemde applicatie van Traject Planner);
art 138ab lid 2 Wetboek van Strafrecht
3.
hij in of omstreeks periode van 20 februari 2019 t/m 21 februari 2019 te Markelo, gemeente Hof van Twente,, althans in Nederland, (telkens)
opzettelijk en wederrechtelijk,
gegevens, die door middel van een geautomatiseerd werk en/of door middel van telecommunicatie waren opgeslagen, werden verwerkt en/of werden overgedragen, te weten gegevens in de applicatie Traject Planner en/of van [benadeelde 1] en/of [benadeelde 1] van het ROC Aventus te Apeldoorn,
heeft veranderd, gewist, onbruikbaar en/of ontoegankelijk heeft gemaakt (te weten het aanpassen van het wachtwoord van het 'admin' account) en/of
aan gegevens, te weten gegevens in de applicatie Traject Planner van het ROC Aventus te Apeldoorn, die door middel van een geautomatiseerd werk en/of door middel van telecommunicatie waren opgeslagen, werden verwerkt en/of
werden overgedragen, andere gegevens, te weten
één of meer nieuwe accounts heeft toegevoegd door
(nadat hij, verdachte opzettelijk en wederrechtelijk was binnengedrongen in de
administratie omgeving (het 'admin' account),
(vervolgens) één of meer nieuwe accounts, (te weten Satan/z6 en Peedo) aan te maken en/of (vervolgens) (via/middels die twee accounts) 1700 mutaties, althans één of meer mutaties in
voornoemde applicatie Traject Planner aan te brengen.
art 350a lid 1 Wetboek van Strafrecht
2. Overwegingen ten aanzien van het bewijs [1]
Het standpunt van de officier van justitie
De officier van justitie heeft gesteld dat wettig en overtuigend bewezen kan worden dat verdachte zich schuldig heeft gemaakt aan de tenlastegelegde feiten.
Het standpunt van de verdediging
De raadsman van verdachte heeft zich op het standpunt gesteld dat niet bewezen kan worden dat verdachte de persoon is geweest die de software van het ROC heeft gehackt. Verdachte dient van de tenlastegelegde feiten te worden vrijgesproken.
[naam 3] heeft namens ROC Aventus aangifte gedaan en heeft het volgende verklaard. Op 20 februari 2019 omstreeks 10:00 uur had verdachte bij [naam 4] , servicedeskmedewerker, melding gedaan van een mogelijke datalek in Traject Planner. Traject Planner was een applicatie van [benadeelde 1] en werd gebruikt door alle medewerkers en leerlingen van ROC Aventus. In de applicatie werden alle gegevens bijgehouden en bewaard van de medewerkers van leerlingen van ROC Aventus, basisgegevens maar ook uiterst gevoelige gegevens. [benadeelde 1] had de melding onderzocht en kwam tot de conclusie dat er geen sprake was van een datalek, maar had het ‘admin account’ wel dichtgezet. Op 21 februari 2019 werd duidelijk dat er wijzingen waren aangebracht in het ‘admin account’. Deze wijzingen waren gemaakt vanaf het account [verdachte] . Vanaf het ‘admin account’ waren twee nieuwe admin account aangemaakt, ‘Satan/Z6’ en ‘Peedo’. Met deze toegevoegde accounts zijn mutaties aangebracht in Traject Planner. Nadat bekend was gemaakt dat Traject Planner was gehackt, werd Traject Planner door [benadeelde 1] uit de lucht gehaald. [4]
ROC Aventus heeft dus aangifte gedaan van een “hack”. De vraag is of wettig en overtuigend kan worden bewezen dat verdachte degene is geweest die het genoemde systeem heeft gehackt.
Het Team Digitale Opsporing heeft onderzoek verricht naar de logbestanden die ter beschikking waren gesteld door [benadeelde 1] . Het IP-adres in gebruik bij [naam 1] , gelegen aan de [adres] , was ‘ [ip-adres 1] ’. In de Kibana omgeving is een zoekslag gemaakt op het IP-adres van [naam 1] .
Op basis van de geanalyseerde data is de volgende tijdlijn vastgesteld.
Op 20 februari 2019 om 9:58:03 uur werd de eerste registratie van het IP-adres van [naam 1] vastgelegd. De user agent maakte gebruik van een 64-bits Windows 10 computer met de webbrowser Chrome versie [ip-adres 2] . De gebruiker was ‘ [naam 8] ’. Om 10:49:23 uur werd vanaf hetzelfde IP-adres door de gebruiker ‘ [naam 8] ’ ingelogd. De user agent kwam overeen. Om 10:52:05 uur werd met die inloggegevens een gebruiker met de naam ‘ [naam 2] ’ aangepast. Om 11:19:43 uur werd de gebruiker met UserID ‘1’, een gebruiker met de naam ‘Administrator’, aangepast. Om 11:21:40 uur werd de gebruiker met UserID ‘2’, een gebruiker met de naam ‘TP’ aangepast. Om 12:11:37 uur werd een gebruiker met de naam ‘Kenzo Pelupussy’, gewijzigd.
Tussen 12:54:31 en 12:57:55 uur werden meerdere wijzigingen aangebracht aan het UserID van [naam 2] . Om 14:45:45 uur werd een wijziging aangebracht aan de gebruiker met UserID ‘1’. Deze wijzigingen werden aangepast vanaf hetzelfde IP-adres en door dezelfde user agent.
Om 14:46:46 uur werd door de gebruiker ‘admin’ met UserID ‘1’ met IP-adres [ip-adres 3] ingelogd. Hierbij werd dezelfde user agent gebruikt als waarmee de gebruiker ‘ [naam 8] ’ was ingelogd om 9:59:03 uur. Om 14:51:09 logde de gebruiker ‘admin’ in met het IP-adres [ip-adres 4] . Het IP-adres werd ter beschikking gesteld door een VPN-dienst De gebruiker ‘admin’ bracht om 15:10:30 en 15:10:36 uur een wijziging door een gebruiker aan te maken met de naam ‘Z6’. De gebruiker ‘Z6’ logde om 15:10.56 en 15:20.22 uur in vanaf het IP-adres ‘ [ip-adres 4] ’. Om 16:28.03 uur bracht de gebruiker ‘Z6’ een wijziging aan vanaf het IP-adres ‘ [ip-adres 4] ’ door een gebruiker met de naam ' [naam 5] ’ aan te maken.
Om 16:57.05 uur logde de gebruiker ‘Z6’ vanaf het IP-adres ‘ [ip-adres 5] ’ in. Om 16:40.24 uur logde de gebruiker ‘admin’ met het IP-adres ‘ [ip-adres 5] ’ in. Om 16:40.58 uur werd door de gebruiker ‘admin’ een wijziging aanbracht aan een gebruiker met de naam ‘ [naam 6] ’, en om 16:44.14 uur werd een wijziging aanbracht aan, een gebruiker met de naam ‘ [naam 7] ’. De gebruiker 'admin' logde om 20:18.22 uur met het IP-adres ‘ [ip-adres 6] ’ in. De genoemde IP-adressen werden ter beschikking gesteld door een VPN-dienst.
Om 20:18.46 logde de gebruiker ' [naam 8] ' in met hetzelfde IP-adres als om 20:18:22 uur met dezelfde user agent als waarmee de gebruiker ‘ [naam 8] ’ om 9:59:03 uur was ingelogd. De gebruiker ‘ [naam 8] ’ was binnen deze sessie actief van 20:18.46 tot 20:19.17 uur op Trajectplanner. De gebruiker ‘admin’ logde om 20:19.31, 20:22.52 en 20:44.18 uur opnieuw in wederom vanaf het IP-adres ‘ [ip-adres 6] ’. Om 20:24:40 uur logde de gebruiker ‘ [naam 5] ’, aangemaakt door gebruiker Z6, met de naam ‘ [naam 5] ’ in vanaf hetzelfde IP-adres, ‘ [ip-adres 6] ’. De gebruiker ‘ [naam 5] ’ logde opnieuw in om 20:54.12 en 21:06.31, vanaf het IP-adres ‘ [ip-adres 6] ’, De gebruiker ‘admin’ logde om 21:17.19 uur in met het IP-adres ‘ [ip-adres 6] ’. Om 21:32:43 en 21:32:50 uur werd door de gebruiker ‘admin’ een wijziging aanbracht aan een gebruiker met de naam ‘ [naam 9] ’. [5]
Op basis van de tijdlijn kan worden vastgesteld dat alle genoemde aangebrachte wijzigingen en aangemaakte gebruikers terug te leiden zijn naar gebruiker “ [naam 8] ”. Immers, vanuit “ [naam 8] ” worden wijzigingen aangebracht en gebruikers aangemaakt en vanuit die gebruikers worden dan weer nieuwe gebruikers aangemaakt. Ook valt op dat telkens dezelfde IP-adressen terug komen: die van het bedrijf van verdachte of een telkens terugkerend VPN-adres.
Die gegevens rechtvaardigen op zichzelf de conclusie dat verdachte, als gebruiker van [naam 8] en het IP-adres van zijn bedrijf, de wijzigingen heeft aangebracht. Verdachte heeft dit ontkend en stelt dat het de stagiaire kan zijn geweest en dat op basis van deze gegevens niet vast staat dat hij het is geweest. Waar de fouten in de zich in het dossier bevindende tijdlijn zich dan bevinden, kan verdachte desgevraagd niet toelichten. De ICT-gegevens staan echter niet op zichzelf.
[naam 10] , de eigenaar van de fietsenwinkel waarin verdachte zijn bedrijf runt, opperde op het moment dat de politie de computers van verdachte in beslag kwam nemen tegen de politie uit zichzelf dat verdachte misschien iets te maken had met het hacken van de school. [6] Op 19 of 20 februari 2019 had hij verdachte namelijk horen zeggen dat hij zomaar in het systeem van de school kon en dat hij kon wijzigen wat hij wilde. [7]
[naam 2] heeft verklaard dat hij op 14 februari 2020 bij [naam 1] stage kwam lopen. Na een week had verdachte de inloggegevens van het ROC Aventus gekregen, zodat hij de uren van [naam 2] kon valideren. Verdachte ging in het systeem van de school, Trajectplanner rondkijken. Hij riep de hele tijd, ‘
kom kijken, kom kijken’. Hij liet dan zien wat hij kon. Hij kon de uren van [naam 2] zien. Op dat moment was er niets aan de hand. Vervolgens vond verdachte een lek in het systeem van de school. Verdachte drukte overal op en zei hij dat hij iets had gevonden. Vervolgens heeft hij de school gebeld. Hij kon er eerst in als stagebegeleider en vervolgens als administrator. Hij kon gewoon alles in het systeem. Hij probeerde ook het wachtwoord van de andere administrators te veranderen zodat zij niks konden. [naam 2] heeft in het computerscherm van verdachte gezien dat verdachte bezig was om dingen aan te passen. Hij heeft een paar accounts van studenten en het account van een lerares die hij niet mocht, gewist. Verdachte had [naam 2] mentorrechten gegeven tot alles, wat zou inhouden dat zijn mentor ook alles kon doen als administrator. Verdachte heeft ook gerommeld in het account van een rekendocente. Verdachte was heel blij en het spontaan tegen [naam 2] aan het vertellen. Verdachte maakte foto’s van het computerscherm en stuurde die door naar andere mensen. Ook belde verdachte vrienden van hem op en vertelde wat hij had gedaan. Verdachte zei tegen hen maar ook tegen [naam 2] dat zij het niet door mochten vertellen, omdat hij anders gepakt zou worden. Verdachte kon dit zowel vanuit zijn bedrijf doen als vanuit thuis. De vrijdag na het hacken heeft verdachte besturingssysteem op zijn laptop gewijzigd, namelijk van Windows naar Linux. [8]
kom kijken, kom kijken’. Hij liet dan zien wat hij kon. Hij kon de uren van [naam 2] zien. Op dat moment was er niets aan de hand. Vervolgens vond verdachte een lek in het systeem van de school. Verdachte drukte overal op en zei hij dat hij iets had gevonden. Vervolgens heeft hij de school gebeld. Hij kon er eerst in als stagebegeleider en vervolgens als administrator. Hij kon gewoon alles in het systeem. Hij probeerde ook het wachtwoord van de andere administrators te veranderen zodat zij niks konden. [naam 2] heeft in het computerscherm van verdachte gezien dat verdachte bezig was om dingen aan te passen. Hij heeft een paar accounts van studenten en het account van een lerares die hij niet mocht, gewist. Verdachte had [naam 2] mentorrechten gegeven tot alles, wat zou inhouden dat zijn mentor ook alles kon doen als administrator. Verdachte heeft ook gerommeld in het account van een rekendocente. Verdachte was heel blij en het spontaan tegen [naam 2] aan het vertellen. Verdachte maakte foto’s van het computerscherm en stuurde die door naar andere mensen. Ook belde verdachte vrienden van hem op en vertelde wat hij had gedaan. Verdachte zei tegen hen maar ook tegen [naam 2] dat zij het niet door mochten vertellen, omdat hij anders gepakt zou worden. Verdachte kon dit zowel vanuit zijn bedrijf doen als vanuit thuis. De vrijdag na het hacken heeft verdachte besturingssysteem op zijn laptop gewijzigd, namelijk van Windows naar Linux. [8]
Uit een Whatsapp gesprek tussen [naam 2] en verdachte komt naar voren dat verdachte op 22 februari 2019 om 18:38:16 uur een bericht heeft gestuurd naar [naam 2] met de tekst ‘
het is me gelukt! :D’. Verder zegt verdachte in die gesprekken dat [naam 2] zich moet beroepen op zijn zwijgrecht en dat ze toch niets gaan vinden omdat hij Linux op de laptop heeft gezet [9]
het is me gelukt! :D’. Verder zegt verdachte in die gesprekken dat [naam 2] zich moet beroepen op zijn zwijgrecht en dat ze toch niets gaan vinden omdat hij Linux op de laptop heeft gezet [9]
Verdachte heeft verder verklaard dat [naam 2] niet op de laptop van verdachte kon omdat hij het wachtwoord niet had en dat [naam 2] bovendien op zijn eigen laptop werkte. [10]
Op grond van bovenstaande bewijsmiddelen overweegt de rechtbank als volgt.
Feit 1
Voor de rechtbank staat vast dat verdachte de persoon is geweest die om 9:58 uur heeft ingelogd in het systeem van het ROC Aventus. Dit werd gedaan door de gebruiker ‘ [naam 8] ’ en vanaf het IP-adres van [naam 1] . Hiervan heeft verdachte omstreeks 10:00 uur een melding bij de school gedaan en gemeld dat er sprake zou zijn van een lek in het systeem van de school. Vervolgens wordt door de gebruiker ‘ [naam 8] ’ om 10:48, 10:52, en 11:21 uur ingelogd en wijzigingen ten aanzien van het UserID ‘op naam van [naam 2] , UserID ’1’ en UserID ‘2’ aangebracht. Telkens werd dit gedaan vanaf hetzelfde IP-adres en door dezelfde user agent. Dat een ander het account van verdachte zou hebben gehackt of [naam 2] verantwoordelijk zou zijn, wordt weersproken door de verklaring van [naam 10] en de app-berichten tussen verdachte en [naam 2] .
De rechtbank is van oordeel dat verdachte de persoon is geweest die om 9.58 uur en na 9:58 uur heeft ingelogd. Met de officier van justitie is de rechtbank van oordeel het specifieke moment van inloggen om 9.58 uur verdachte niet strafbaar is, nu hij direct hierna de melding bij de school deed van het vermeende lek in het systeem van de school. Echter, hierna ging verdachte door met inloggen in het systeem van de school en hij bracht zelfs wijzigingen aan.
Verdachte is dus na de melding doorgegaan met hacken en dat is strafbaar. Uit het feit dat hij in de app-gesprekken [naam 2] erop wijst dat hij zich met beroepen op zijn zwijgrecht en dat hij Linux installeert om digitale sporen uit te wissen, volgt dat hij ook wist dat het strafbaar is wat hij deed. Gelet hierop, acht de rechtbank het onder 1 tenlastegelegde feit wettig en overtuigend bewezen.
Feit 2
Vanaf 14:45 uur op 20 februari 2019 werd door verschillende gebruikers ingelogd op het systeem van ROC Aventus. Niet alleen door de gebruiker ‘ [naam 8] ’, maar ook door de gebruikers ‘admin’ en ‘Z6’. In de meeste gevallen werd gebruik gemaakt van een VPN-dienst om het IP-adres van de eigenlijk gebruiker te verhullen voor de buitenwereld. De user agent werd op meerdere manieren gelinkt aan de gebruiker ‘ [naam 8] ’ of aan een door die gebruiker eerdergebruikte user agent. In samenhang met de verklaringen van [naam 10] en [naam 2] acht de rechtbank bewezen dat de verdachte de persoon is geweest die na 14:45 uur meermalen heeft ingelogd in het systeem van het ROC Aventus. Vervolgens zijn door verdachte meerdere wijzigingen aangebracht, accounts aangemaakt en wachtwoorden veranderd. Hiermee acht de rechtbank ook het onder 2 tenlastegelegde feit wettig en overtuigend bewezen.
De rechtbank acht, net als de officier van justitie heeft aangevoerd, niet bewezen dat de tenlastegelegde 1700 mutaties door verdachte zijn aangebracht. Nu niet duidelijk is wat die mutaties dan zijn geweest, kan evenmin worden vastgesteld dat het verdachte is geweest die deze mutaties heeft aangebracht.
Van wijzigingen die middels de gebruikers ‘admin’ ‘Z6’ en ‘ [naam 8] ’ zijn gedaan, is voor de rechtbank vast komen te staan dat deze wel door verdachte zijn aangebracht.
Feit 3
Gelet op het voorgaande in onderlinge samenhang bezien zijn de gegevens van Trajectplanner veranderd, gewist, onbruikbaar gemaakt en ontoegankelijk gemaakt door verdachte. Verdachte heeft accounts aangemaakt, wachtwoorden gewijzigd en gegevens van personen in het systeem gewist. Aldus heeft hij verschillende mutaties uitgevoerd waartoe hij het recht niet had. Hierdoor is in juridische zin sprake van vernieling van gegevens in het systeem van de school.
De rechtbank acht dan ook het onder 3 tenlastegelegde feit wettig en overtuigend wettig en overtuigend bewezen.
3.Bewezenverklaring
Naar het oordeel van de rechtbank is wettig en overtuigend bewezen dat de verdachte het tenlastegelegde heeft begaan, te weten dat:
1.
hij op
of omstreeks20 februari 2019
(in de periode van ongeveer 9.58 uur tot en met 11.21 uur, althansin de ochtend) te Markelo, gemeente Hof van Twente,
, althans in Nederland,
of omstreeks20 februari 2019
(in de periode van ongeveer 9.58 uur tot en met 11.21 uur, althansin de ochtend) te Markelo, gemeente Hof van Twente,
, althans in Nederland,
opzettelijk en wederrechtelijk
in een (gedeelte van) een geautomatiseerd werk, te weten in de webserver van en
/ofi
n de administratie omgeving (het 'admin' account) van de applicatie van Traject Planner en/ofvan [benadeelde 1] en
/of[benadeelde 1] van het ROC Aventus( Apeldoorn),
/ofi
n de administratie omgeving (het 'admin' account) van de applicatie van Traject Planner en/ofvan [benadeelde 1] en
/of[benadeelde 1] van het ROC Aventus( Apeldoorn),
is binnengedrongen
a. door het doorbreken van een beveiliging, te weten het wijzigen van een URL en
/of
/of
b. door een technische ingreep, te weten het wijzigen van een URL en
/of
/of
c. met behulp van valse signalen of een valse sleutel, te weten door het gebruikmaken van een aan hem, verdachte, door het ROC Aventus verstrekte gebruikersnaam en wachtwoord van voornoemde applicatie,
d. door het aannemen van een valse hoedanigheid;
2.
hij op
of omstreeks20 februari 2019 (vanaf ongeveer 14.45 uur,
althans in/vanaf de middag) te Markelo, gemeente Hof van Twente
,, althans in Nederland,
of omstreeks20 februari 2019 (vanaf ongeveer 14.45 uur,
althans in/vanaf de middag) te Markelo, gemeente Hof van Twente
,, althans in Nederland,
(telkens) opzettelijk en wederrechtelijk
meermalen,
althans eenmaalin een (gedeelte van) een geautomatiseerd werk, te weten in de webserver van en
/ofin de administratie omgeving (het 'admin' account) van de applicatie van Traject Planner en
/ofvan [benadeelde 1] en/of [benadeelde 1] van het ROC Aventus
althans eenmaalin een (gedeelte van) een geautomatiseerd werk, te weten in de webserver van en
/ofin de administratie omgeving (het 'admin' account) van de applicatie van Traject Planner en
/ofvan [benadeelde 1] en/of [benadeelde 1] van het ROC Aventus
(Apeldoorn),
,
,
is binnengedrongen
a. door het doorbreken van een beveiliging, te weten het wijzigen van een URL en
/of
/of
b. door een technische ingreep, te weten het wijzigen van een URL en
/of
/of
c. met behulp van valse signalen of een valse sleutel, te weten het gebruikmaken van een aan hem, verdachte, door het ROC Aventus verstrekte gebruikersnaam en wachtwoord van voornoemde applicatie,
,
,
d. door het aannemen van een valse hoedanigheid;
en hij vervolgens de gegevens die zijn opgeslagen, worden verwerkt of worden overgedragen door middel van voornoemd geautomatiseerd werk
waarin hij zich wederrechtelijk bevond
voor
zichzelf/haarzelf en/ofeen ander
zichzelf/haarzelf en/ofeen ander
heeft overgenomen
, afgetapt en/of opgenomen(te weten
, afgetapt en/of opgenomen(te weten
- door het wachtwoord van het 'admin account' te wijzigen en
/of
/of
-
één of meeraccounts aan te maken en
/of
één of meeraccounts aan te maken en
/of
-
één ofmeer wijzigingen aan te brengen in voornoemde applicatie van Traject Planner);
één ofmeer wijzigingen aan te brengen in voornoemde applicatie van Traject Planner);
3.
hij in
of omstreeksperiode van 20 februari 2019 t/m 21 februari 2019 te Markelo, gemeente Hof van Twente,,
althans in Nederland,(telkens)
of omstreeksperiode van 20 februari 2019 t/m 21 februari 2019 te Markelo, gemeente Hof van Twente,,
althans in Nederland,(telkens)
opzettelijk en wederrechtelijk,
gegevens, die door middel van een geautomatiseerd werk en
/ofdoor middel van telecommunicatie
waren opgeslagen, werden verwerkt en/ofwerden overgedragen, te weten gegevens in de applicatie Traject Planner en
/ofvan [benadeelde 1] en
/of[benadeelde 1] van het ROC Aventus te Apeldoorn,
/ofdoor middel van telecommunicatie
waren opgeslagen, werden verwerkt en/ofwerden overgedragen, te weten gegevens in de applicatie Traject Planner en
/ofvan [benadeelde 1] en
/of[benadeelde 1] van het ROC Aventus te Apeldoorn,
heeft veranderd, gewist, onbruikbaar en
/ofontoegankelijk heeft gemaakt (te weten het aanpassen van het wachtwoord van het 'admin' account) en
/of
/ofontoegankelijk heeft gemaakt (te weten het aanpassen van het wachtwoord van het 'admin' account) en
/of
aan gegevens, te weten gegevens in de applicatie Traject Planner van het ROC Aventus te Apeldoorn, die door middel van een geautomatiseerd werk en
/ofdoor middel van telecommunicatie
waren opgeslagen, werden verwerkt en/of
/ofdoor middel van telecommunicatie
waren opgeslagen, werden verwerkt en/of
werden overgedragen, andere gegevens, te weten
één of meernieuwe accounts heeft toegevoegd door
(nadat hij, verdachte opzettelijk en wederrechtelijk was binnengedrongen in de
administratie omgeving (het 'admin' account),
(vervolgens)
één of meernieuwe accounts, (te weten Satan/z6
en Peedo) aan te maken en
/of(vervolgens)
(via/middels die twee accounts
) 1700 mutaties, althans één ofmeer mutaties in
één of meernieuwe accounts, (te weten Satan/z6
en Peedo) aan te maken en
/of(vervolgens)
(via/middels die twee accounts
) 1700 mutaties, althans één ofmeer mutaties in
voornoemde applicatie Traject Planner aan te brengen.
Voor zover er in de tenlastelegging kennelijke taal- en/of schrijffouten voorkomen, zijn die fouten verbeterd. Verdachte is daardoor niet in zijn verdediging geschaad.
Wat meer of anders is ten laste gelegd dan hiervoor bewezen is verklaard, is niet bewezen.
Verdachte moet daarvan worden vrijgesproken.
4.De kwalificatie van het bewezenverklaarde
Het bewezenverklaarde levert op:
Ten aanzien van feit 1:
Computervredebreuk
Ten aanzien van feit 2:
Computervredebreuk, gepleegd door tussenkomst van een openbaar telecommunicatiewerk, terwijl de dader vervolgens door tussenkomst van het geautomatiseerde werk waarin hij is binnengedrongen de toegang verwerft tot het geautomatiseerd werk van een derde, meermalen gepleegd
Ten aanzien van feit 3:
Opzettelijk en wederrechtelijk gegevens die door midden van een geautomatiseerd werd en door middel van telecommunicatie worden overgedragen, veranderen, wissen, onbruikbaar gemaakt en ontoegankelijk gemaakt
5.De strafbaarheid van de feiten
De feiten zijn strafbaar.
6.De strafbaarheid van de verdachte
Verdachte is strafbaar, nu geen omstandigheid is gebleken of aannemelijk geworden die de strafbaarheid van verdachte uitsluit.
7.Overwegingen ten aanzien van straf en/of maatregel
Het standpunt van de officier van justitie
De officier van justitie heeft geëist dat verdachte ter zake van het tenlastegelegde zal worden veroordeeld tot het verrichten van 200 uren werkstraf, te vervangen door 100 dagen hechtenis waarvan 60 uren subsidiair 30 dagen voorwaardelijk met een proeftijd van 2 jaar.
Het standpunt van de verdediging
De raadsman van verdachte heeft naar voren gebracht, dat wanneer tot een veroordeling wordt gekomen, dat verdachte een werkstraf kan verrichten.
Beoordeling door de rechtbank
De rechtbank heeft bij de bepaling van de op te leggen straf gelet op de aard en de ernst van hetgeen bewezen is verklaard, de omstandigheden waaronder dit is begaan, mede gelet op de persoon en de omstandigheden van de verdachte zoals van een en ander bij het onderzoek ter terechtzitting is gebleken, waarbij onder meer is gelet op:
- het uittreksel justitiële documentatie, gedateerd 11 februari 2020;
- een voorlichtingsrapportage van Tactus Verslavingszorg, gedateerd 8 maart 2020.
Verdachte heeft zich schuldig gemaakt aan computervredebreuk en vernieling van het computersysteem van de school. Verdachte heeft met gebruikmaking van als stagebegeleider zijnde verkregen inloggegevens ingelogd in het computersysteem van de school, na het constateren en melden van een lek in dit computersysteem meermalen ingelogd, accounts aangemaakt, wachtwoorden veranderd en gegevens welbewust gewijzigd.
Verdachte heeft met zijn handelen inbreuk gemaakt op het recht van de school op het ongestoorde gebruik van hun digitale systeem en op het recht van de studenten en werknemers van de school op bescherming van gevoelige gegevens. De school heeft door toedoen van verdachte schade geleden en is het systeem een tijd onbereikbaar geweest voor vele studenten. Verdachte wist wat hij deed want hij was in het verleden al een keer gewaarschuwd. Verdachte was echter ook nu trots op wat hij deed, zo blijkt uit het dossier. De rechtbank neemt het verdachte kwalijk dat hij onvoldoende doordrongen was en is van de ernst van zijn handelen.
Verdachte is niet eerder onherroepelijk is veroordeeld. Echter, verdachte was al wel eerder gewaarschuwd voor vergelijkbaar handelen.
Tot slot heeft de rechtbank kennisgenomen van het reclasseringsrapport van Tactus Verslavingszorg van 8 maart 2020. Verdachte heeft zijn leven in praktische zin op de rit. Hij is woonachtig bij zijn ouders, heeft een eigen bedrijf op het gebied van IT, heeft geen verslavingsgerelateerde of psychische problemen en zou niet bekend zijn bij hulpinstanties.
Alles afwegend acht de rechtbank de eis van de officier van justitie geen recht doen aan de ernst van de feiten. Verdachte heeft doelbewust zeer veel schade aangericht en de school en vele leerlingen zijn met de gevolgen van zijn hack geconfronteerd. Bovendien heeft verdachte het desbetreffende lek ook via de app wereldkundig gemaakt en daarbij tevens de gegevens verstrekt hoe men in het systeem kon komen. Zo hadden vele anderen ook toegaan tot het systeem en gezien het grote aantal mutaties wat daarna heeft plaatsgevonden is dat ook gebeurd. Een onvoorwaardelijke gevangenisstraf had passend kunnen zijn, ware het niet dat het gaat om een jonge verdachte die zijn leven verder op de rit heeft. De rechtbank zal daarom geen onvoorwaardelijke gevangenisstraf opleggen maar wel een taakstraf van de maximale duur (met aftrek van het voorarrest volgens de gebruikelijke maatstaf) en een gevangenisstraf van twee maanden voorwaardelijk met een proeftijd van twee jaar. De voorwaardelijke gevangenisstraf is om verdachte ervan te weerhouden om in herhaling te vallen en om de ernst van de door hem gepleegde feiten tot uitdrukking te brengen.
Ten aanzien van het beslag
Het na te melden in beslag genomen en nog niet teruggegeven voorwerp, te weten;
een computer (Notebook, Hp 17-F086nd0, serienummer [nummer] , inclusief case logic laptoptas en adapter), volgens opgave van verdachte aan hemverdachte toebehorend, is vatbaar voor verbeurdverklaring nu dit het voorwerp is met behulp waarvan het bewezenverklaarde is begaan.
7a. De beoordeling van de civiele vordering(en), alsmede de gevorderde oplegging van de schadevergoedingsmaatregel
De benadeelde partij [benadeelde 1] heeft zich in het strafproces gevoegd ter verkrijging van schadevergoeding ter zake van de bewezenverklaarde feiten. Gevorderd wordt een bedrag van € 15.387,00.
Het standpunt van de officier van justitie
De officier van justitie heeft zich op het standpunt gesteld dat de gehele vordering van de benadeelde partij kan worden toegewezen als voorschot, met oplegging van de schadevergoedingsmaatregel en de wettelijke rente.
Het standpunt van de verdediging
De raadsman van verdachte heeft zich op het standpunt gesteld dat de benadeelde partij niet-ontvankelijk dient te worden verklaard in haar vordering.
Beoordeling door de rechtbank
Naar het oordeel van de rechtbank is, op grond van de gebezigde bewijsmiddelen en hetgeen verder ter terechtzitting met betrekking tot de vordering is gebleken, komen vast te staan dat de benadeelde partij als gevolg van het bewezen verklaarde handelen schade heeft geleden, waarvoor verdachte naar burgerlijk recht aansprakelijk is.
De kosten voor de test door Hoffmann Bedrijfsrecherche is voldoende aannemelijk geworden en zal in haar geheel, zijnde € 4.158,00, worden toegewezen.
Met betrekking tot de schade voor de gemaakte uren is de omvang van de schade moeilijk vast te stellen nu deze schade post nadere onderbouwing zou behoeven. Voor de rechtbank is wel vast komen te staan dat door de benadeelde partij uren zijn gemaakt voor het restoren en het opschonen van het systeem. Om die reden zal de rechtbank in het kader van dit strafproces een bedrag van € 5.000,00 toewijzen. Het meerdere kan en zal de school via een civiele procedure van verdachte moeten vorderen. De benadeelde partij zal in zoverre niet-ontvankelijk worden verklaard.
Het totale toegewezen bedrag bedraagt daarmee € 9.158,00.
De rechtbank ziet aanleiding om aan verdachte op basis van het bepaalde in artikel 36f van het Wetboek van Strafrecht de verplichting op te leggen tot betaling aan de Staat van het toe te wijzen bedrag ten behoeve van genoemde benadeelde partijen. De gevorderde en toegewezen rente, alsmede de vergoeding voor proceskosten, zijn daar niet bij inbegrepen. De gevorderde wettelijke rente is toewijsbaar vanaf 21 februari 2019.
8.De toegepaste wettelijke bepalingen
De beslissing is gegrond op de artikelen 14a, 14b, 14c, 22c, 22d, 33, 33a, 36f, 57, 138ab en 350a van het Wetboek van Strafrecht.
9.De beslissing
De rechtbank:
verklaart bewezen dat verdachte het tenlastegelegde, zoals vermeld onder punt 3, heeft begaan;
verklaart niet bewezen hetgeen verdachte meer of anders is ten laste gelegd dan hierboven bewezen is verklaard en spreekt verdachte daarvan vrij;
verstaat dat het aldus bewezenverklaarde oplevert de strafbare feiten zoals vermeld onder punt 4;
verklaart verdachte hiervoor strafbaar;
veroordeelt verdachte wegens het bewezenverklaarde tot een gevangenisstraf voor de duur van
2 (twee) maanden;
2 (twee) maanden;
bepaalt, dat deze gevangenisstraf,
niet ten uitvoer zal worden gelegd, tenzij de rechter later anders mocht gelasten, wegens niet nakoming van na te melden voorwaarde(n) voor het einde van de proeftijd die op twee jaren wordt bepaald;
niet ten uitvoer zal worden gelegd, tenzij de rechter later anders mocht gelasten, wegens niet nakoming van na te melden voorwaarde(n) voor het einde van de proeftijd die op twee jaren wordt bepaald;
dat de veroordeelde zich voor het einde daarvan niet zal schuldig maken aan een strafbaar feit;
en voorts
een
taakstrafgedurende
240 (tweehonderdveertig) uren, met bevel dat indien deze straf niet naar behoren wordt verricht vervangende hechtenis zal worden toegepast voor de duur van 120 (honderdtwintig dagen);
taakstrafgedurende
240 (tweehonderdveertig) uren, met bevel dat indien deze straf niet naar behoren wordt verricht vervangende hechtenis zal worden toegepast voor de duur van 120 (honderdtwintig dagen);
beveelt dat voor de tijd die door de veroordeelde vóór de tenuitvoerlegging van de werkstraf in verzekering en voorlopige hechtenis is doorgebracht, bij de uitvoering van die straf uren in mindering worden gebracht volgens de maatstaf dat per dag in verzekering doorgebracht 2 uur in mindering wordt gebracht;
heft op het geschorste bevel voorlopige hechtenis.
Ten aanzien van het beslag
verklaart verbeurdhet in beslag genomen, nog niet teruggegeven voorwerp, te weten: een computer (Notebook, Hp 17-F086nd0, serienummer [nummer] , inclusief case logic laptoptas en adapter);
verklaart verbeurdhet in beslag genomen, nog niet teruggegeven voorwerp, te weten: een computer (Notebook, Hp 17-F086nd0, serienummer [nummer] , inclusief case logic laptoptas en adapter);
De beslissing op de vordering van de benadeelde partij [benadeelde 1] .
veroordeelt verdachte tot betaling van
schadevergoedingaan de
benadeelde partij [benadeelde 1], van een bedrag van
€ 9.158,00 (negenduizend eenhonderd achtenvijftig euro), vermeerderd met de wettelijke rente vanaf 21 februari 2019 tot aan de dag der algehele voldoening en met betaling van de kosten van het geding en de tenuitvoerlegging door de benadeelde partij gemaakt, tot op heden begroot op nihil;
schadevergoedingaan de
benadeelde partij [benadeelde 1], van een bedrag van
€ 9.158,00 (negenduizend eenhonderd achtenvijftig euro), vermeerderd met de wettelijke rente vanaf 21 februari 2019 tot aan de dag der algehele voldoening en met betaling van de kosten van het geding en de tenuitvoerlegging door de benadeelde partij gemaakt, tot op heden begroot op nihil;
verklaart de
benadeelde partij [benadeelde 1] voor het overige niet-ontvankelijkin haar vordering;
benadeelde partij [benadeelde 1] voor het overige niet-ontvankelijkin haar vordering;
legt aan veroordeelde de
verplichtingop
om aan de Staat, ten behoeve van de benadeelde
[benadeelde 1], van een bedrag van
€ 9.158,00 (negenduizend eenhonderd achtenvijftig euro), vermeerderd met de wettelijke rente vanaf 21 februari 2019 tot aan de dag der algehele voldoening, met bepaling dat bij gebreke van betaling en verhaal van de hoofdsom 80 dagen gijzeling zal kunnen worden toegepast zonder dat de betalingsverplichting vervalt;
verplichtingop
om aan de Staat, ten behoeve van de benadeelde
[benadeelde 1], van een bedrag van
€ 9.158,00 (negenduizend eenhonderd achtenvijftig euro), vermeerderd met de wettelijke rente vanaf 21 februari 2019 tot aan de dag der algehele voldoening, met bepaling dat bij gebreke van betaling en verhaal van de hoofdsom 80 dagen gijzeling zal kunnen worden toegepast zonder dat de betalingsverplichting vervalt;
bepaalt dat, indien veroordeelde heeft voldaan aan de verplichting tot betaling aan de Staat daarmee de verplichting tot betaling aan de benadeelde partij in zoverre komt te vervallen en andersom dat, indien veroordeelde heeft voldaan aan de verplichting tot betaling aan de benadeelde partij daarmee de verplichting tot betaling aan de Staat in zoverre komt te vervallen.
Dit vonnis is gewezen door en mr. C.C.M. Poland (voorzitter), mr. M.C. van der Mei en
mr. S.C.A.M. Janssen, rechters, in tegenwoordigheid van mr. M.S. Verhagen, griffier, en door
mr. S.C.A.M. Janssen, rechters, in tegenwoordigheid van mr. M.S. Verhagen, griffier, en door
mr. M.C. van der Mei uitgesproken ter openbare terechtzitting van deze rechtbank op 23 maart 2019.
Vanwege het coronavirus en de in verband daarmee door de Rijksoverheid en de Rechtspraak met ingang van 17 maart 2020 genomen maatregelen is de rechtbank voor medewerkers slechts zeer beperkt toegankelijk en is het openbare gedeelte gesloten.
Mrs. Poland en Janssen zijn daarom buiten staat dit vonnis mede te ondertekenen.
De openbaarheid van dit vonnis/beslissing wordt geborgd doordat het vonnis/de beslissing aan (de raadsman van) verdachte (en eventuele andere procesdeelnemers) kenbaar wordt gemaakt en overigens door spoedige publicatie op www.rechtspraak.nl.