ECLI:NL:RBOBR:2015:3980

• Datum uitspraak: 13 juli 2015
• Publicatiedatum: 13 juli 2015
• Zaaknummer: 01/990006-14
• Instantie: Rechtbank Oost-Brabant
• Type: Uitspraak
• Rechtsgebied: Strafrecht
• Procedures: Eerste aanleg - meervoudig
• Rechters: T. van de Woestijne; W. Schoorlemmer; E. Sikkema
• Vindplaatsen: Rechtspraak.nl

AI samenvatting door Lexboost • Automatisch gegenereerd

Computervredebreuk met ongeautoriseerde toegang tot het Landelijk Crisis Management Systeem

Op 13 juli 2015 heeft de Rechtbank Oost-Brabant uitspraak gedaan in een strafzaak tegen een verdachte die zich schuldig heeft gemaakt aan computervredebreuk. De verdachte heeft in de periode van 24 februari 2014 tot en met 27 februari 2014 opzettelijk en wederrechtelijk toegang verkregen tot een of meer geautomatiseerde werken, specifiek de servers van het Landelijk Crisis Management Systeem (LCMS). De rechtbank heeft vastgesteld dat de verdachte inloggegevens had verkregen via openbare bronnen en deze heeft gebruikt om toegang te krijgen tot het systeem, waar hij vervolgens gegevens heeft overgenomen en gedeeld met derden. De rechtbank heeft het verweer van de verdediging, dat de verdachte niet-ontvankelijk verklaard moest worden in de vervolging, verworpen. De rechtbank oordeelde dat de officier van justitie ontvankelijk was in de vervolging, ondanks de argumenten van de verdediging over de schending van het verbod van willekeur. De rechtbank heeft geoordeeld dat de verdachte zich bewust was van het feit dat hij geen toestemming had om in te loggen op het systeem en dat zijn handelingen wederrechtelijk waren. De verdachte is veroordeeld tot een taakstraf van 80 uren, waarvan 40 uren voorwaardelijk met een proeftijd van 2 jaren. De rechtbank heeft rekening gehouden met de persoonlijke omstandigheden van de verdachte, waaronder het feit dat hij niet eerder was veroordeeld en de negatieve gevolgen van de strafzaak voor hem.

Uitspraak

vonnis

RECHTBANK OOST-BRABANT

Strafrecht

Parketnummer: 01/990006-14

Datum uitspraak: 13 juli 2015

Vonnis van de rechtbank Oost-Brabant, meervoudige kamer voor de behandeling van strafzaken, in de zaak tegen:

[verdachte],

geboren te [geboorteplaats] op [1993],

wonende te [adres 1].

Dit vonnis is op tegenspraak gewezen naar aanleiding van het onderzoek ter terechtzitting van 29 juni 2015. De zaak is op 5 februari 2015 door de politierechter naar de meervoudige kamer verwezen.

De rechtbank heeft kennisgenomen van de vordering van de officier van justitie en van hetgeen van de zijde van verdachte naar voren is gebracht.

De tenlastelegging.

De zaak is aanhangig gemaakt bij dagvaarding van 12 december 2014.

Aan verdachte is ten laste gelegd dat:

1.

hij in of omstreeks de periode van 24 februari 2014 tot en met 27 februari 2014 te Drunen, gemeente Heusden, althans in Nederland,

opzettelijk en wederrechtelijk in een of meer geautomatiseerde werken, te weten een of meer server(s) of computer(s) ([bedrijf 1]), of in een deel daarvan, is binnengedrongen, waarbij hij de beveiliging heeft doorbroken, in elk geval de toegang heeft verworven door een technische ingreep, met behulp van een valse sleutel, te weten het onbevoegd gebruik maken van een of meerdere account(s) en/of (een) wachtwoord(en) en/of door het aannemen van een valse hoedanigheid, waarna verdachte vervolgens gegevens, die waren opgeslagen, werden verwerkt of werden overgedragen door middel van dat/die geautomatiseerd(e) werk(en) waarin verdachte zich wederrechtelijk bevond, voor zichzelf of een ander heeft overgenomen, afgetapt of opgenomen;

De formele voorvragen.

Bij het onderzoek ter terechtzitting is gebleken dat de dagvaarding geldig is. De rechtbank is bevoegd van het ten laste gelegde kennis te nemen.

Door de verdediging is verzocht de officier van justitie niet-ontvankelijk te verklaren in de vervolging omdat sprake is van schending van het verbod van willekeur, meer in het bijzonder schending van het beginsel van een redelijke en billijke belangenafweging.

Daartoe heeft de verdediging de volgende gronden aangevoerd.

Verdachte is door middel van openbare gegevens, die gepubliceerd zijn op openbare websites, binnengekomen in het Landelijk Crisis Management Systeem (hierna LCMS). Bovendien had het Openbaar Ministerie (hierna OM) contact kunnen opnemen met verdachte toen het OM vernam dat verdachte in het systeem was gekomen.

Tot slot heeft verdachte niet het belang van LCMS geschonden door te hacken, maar is het LCMS juist gebaat bij de ontdekking dat de beveiliging van hun computersysteem niet deugde.

De rechtbank verwerpt het verweer.

In artikel 167 lid 1 van het Wetboek van Strafvordering is aan het OM de bevoegdheid toegekend te beslissen of naar aanleiding van een ingesteld opsporingsonderzoek vervolging moet plaatsvinden. De beslissing om tot vervolging over te gaan leent zich slechts in zeer beperkte mate voor een inhoudelijke rechterlijke toetsing. Slechts in uitzonderlijke gevallen is plaats voor een niet-ontvankelijkverklaring van het OM in de vervolging om reden dat het instellen of voortzetten van die vervolging onverenigbaar is met beginselen van een goede procesorde, zoals het verbod van willekeur (ook wel genoemd het beginsel van een redelijke en billijke belangenafweging. Van willekeur is sprake ingeval geen redelijk handelend lid van het OM heeft kunnen oordelen dat met (voortzetting van) de vervolging enig door strafrechtelijke handhaving beschermd belang gediend kan zijn.

Uit het opsporingsonderzoek is de verdenking gerezen dat verdachte met gebruikmaking van uit openbare bronnen verkregen inloggegevens en wachtwoorden meermalen heeft ingelogd op de servers [bedrijf 1] en aldus ongeautoriseerde toegang heeft verkregen tot het – niet-openbare – netwerk van LCMS. De enkele omstandigheid dat de inloggegevens zijn verkregen uit voor eenieder toegankelijke bronnen laat onverlet dat de officier van justitie via haar beslissing om de zaak aan de strafrechter voor te leggen aan de orde kan stellen de vraag in hoeverre de handelingen van verdachte – zo al bewezen – een strafbaar feit opleveren, niettegenstaande de wijze van verkrijging van de beweerdelijk daarbij gebruikte inloggegevens. Dit redelijke opsporingsbelang geldt te meer nu voorts de verdenking bestaat dat verdachte zich niet alleen toegang heeft verschaft tot het niet-openbare netwerk maar voorts verkregen data heeft verspreid onder derden die evenmin het recht hadden zich toegang tot die gegevens te verschaffen.

Alles afwegende is sprake van een redelijk vervolgingsbelang en is niet-ontvankelijkverklaring op de door de verdediging aangevoerde gronden niet aan de orde. Ook overigens kan de officier van justitie in de vervolging worden ontvangen. Voorts zijn er geen gronden gebleken voor schorsing van de vervolging.

Bewijs

Inleiding.

De rechtbank gaat uit van de volgende vaststaande feiten. Het Veiligheidsbureau Brabant-Noord coördineert de multidisciplinaire inzet van ketenpartners bij rampen, crises en incidenten. Het Veiligheidsbureau is verantwoordelijk voor het in stand houden van het proces management binnen de veiligheidsregio. Het Landelijk Crisis Management Systeem is een gesloten (computer-) netwerk waarop medewerkers van ketenpartners ingeval van een ramp, crisis of incident met gebruikmaking van een inlognaam en wachtwoord kunnen inloggen en waarbinnen informatie kan worden uitgewisseld. Het LCMS heeft tot doel de gecoördineerde inzet van politie, brandweer en geneeskundige hulpverlening te ondersteunen en de samenwerking met bestuur, coördinatiecentra en iedere andere bij de rampenbestrijding betrokken organisatie te bevorderen.

Het systeem is afgeschermd met gebruikersnamen en daarbij horende wachtwoorden.

Uit onderzoek door het Team High Tech Crime van de Landelijke Eenheid van de Nationale Politie is gebleken dat een of meer wachtwoorden voor het systeem via algemeen toegankelijke bronnen waren te achterhalen.

Het onderzoek is opgestart nadat een politiemedewerkster via een familielid een printscreen had ontvangen van een tabblad uit LCMS waarop informatie stond aangaande een incident in de Penitentiaire Inrichting te Vught op 24 februari 2014.

Het standpunt van de officier van justitie.

De officier van justitie heeft op grond van de bewijsmiddelen, weergegeven in het op schrift gestelde requisitoir, geconcludeerd tot bewezenverklaring van het ten laste gelegde feit.

Het standpunt van de verdediging.

Namens verdachte is betoogd dat verdachte dient te worden vrijgesproken.

Aangevoerd is dat bij het zich toegang verschaffen tot het netwerk geen sprake was van “wederrechtelijkheid” omdat niet gesproken kan worden van een beveiligd systeem nu de inloggegevens immers waren verspreid op openbare websites met instructies over de wijze van inloggen. Aangevoerd is tevens dat geen sprake is van “binnendringen” nu op reglementaire wijze verbinding is gemaakt met de server terwijl de toegang niet is geweigerd.

Het oordeel van de rechtbank. ^[1]

Op grond van het dossier en het verhandelde ter zitting staat vast dat de toegang tot de servers waarop het systeem LCMS draaide uitsluitend kon worden verkregen met behulp van het ingeven van een inlognaam/account en een bijbehorend wachtwoord. Daarmee is, anders dan de verdediging meent, sprake van een afgeschermd, beveiligd systeem ^[2] . Verdachte heeft ter terechtzitting verklaard dat hij niet bij een van de overheidsdiensten werkzaam was waarvoor het LCMS is bestemd en dat hij evenmin toestemming had om in te loggen op het systeem LCMS. Verdachte heeft ter terechtzitting ook verklaard te begrijpen dat uit het voorgeschreven gebruik van een inlognaam en wachtwoord volgt dat het niet de bedoeling is dat iedereen toegang heeft tot het systeem; de inloggegevens zijn juist bedoeld om onbevoegden buiten te sluiten. Hij heeft verklaard 112-fotograaf te zijn, uit nieuwsgierigheid te hebben ingelogd op het systeem van LCMS en daar te hebben rondgekeken. ^[3] Aldus moet verdachte hebben geweten dat hij niet gerechtigd was om de door hem aangetroffen inlognamen/accounts en wachtwoorden te gebruiken. Het feit dat anderen fouten maken of slordig zijn bij de beveiliging van een server, is geen vrijbrief voor verdachte om zich vervolgens zonder autorisatie toegang te verschaffen tot de desbetreffende servers. De wederrechtelijkheid van de bewezen te verklaren handelingen van verdachte is daarmee naar het oordeel van de rechtbank gegeven.

De rechtbank is voorts van oordeel dat wettig en overtuigend bewezen is dat verdachte door het gebruik van de inlognamen/accounts en wachtwoorden teneinde het geautomatiseerde werk te betreden terwijl hij daartoe onbevoegd was, zich heeft schuldig gemaakt aan het opzettelijk en wederrechtelijk binnendringen van de servers en dat hij vervolgens met gebruikmaking van een valse sleutel en een valse hoedanigheid gegevens heeft overgenomen voor zichzelf en voor anderen, een en ander zoals bedoeld in artikel 138ab van het Wetboek van Strafrecht. De rechtbank wijst daarbij in het bijzonder op de voorbeelden die in het eerste lid van dit artikel zijn genoemd met betrekking tot de vraag wanneer van binnendringen sprake is. Nu verdachte niet gerechtigd was tot het gebruik van de door hem gehanteerde accounts/inlognamen en wachtwoorden, is sprake van het toegang verkrijgen door middel van een valse sleutel zoals aldaar bedoeld. Door hantering van deze inlognamen/accounts en wachtwoorden heeft verdachte zich voorts een valse hoedanigheid aangemeten.

De volgende bewijsmiddelen zijn verder redengevend voor het te bewezen verklaren feit.

Op 27 februari 2014 werd aangever in een vertrouwelijk gesprek door een medewerker van politie geïnformeerd over mogelijk misbruik van het LCMS-systeem. Aangever heeft een printscreen gezien met specifieke incidentgegevens van 24 februari 2014. ^[4]

De inhoud van LCMS is nadrukkelijk niet voor het publieke domein bedoeld en is afgeschermd met gebruikersnamen en daarbij horende wachtwoorden. ^[5]

Onderzoek heeft uitgewezen dat gebruik is gemaakt van accounts “[naam 1]”, “[naam 2]

” en “[naam 3]”, o.a. met gebruikmaking van [ip-adres] alsmede

met mobiel internet. Ook blijkt uit het onderzoek dat op de computer van verdachte een SID-nummer (security identifier die random wordt aangemaakt bij o.a. het in- en uitloggen bij LCMS) is aangetroffen, welk nummer ook werd aangetroffen in de logbestanden bij een log-out van [ip-adres]. Dit IP-adres kwam eveneens voor in de gebruikersgeschiedenis van de gebruikersaccounts “[naam 1]”, “[naam 2]” en “[naam 3]”. Op 24 februari 2014 werd ingelogd door gebruiker [naam 3] en op 27 februari 2014 om 17:14 uur gebeurde dit voor het laatst. ^[6]

Op de computer van verdachte werd een wachtwoord aangetroffen voor gebruikersaccount “[naam 1]”. Met de medewerker van [bedrijf 1] is dit wachtwoord getoetst en deze toetsing heeft tot een succesvolle log-in op het systeem geleid. ^[7]

Verdachte heeft verklaard dat hij op internet een gebruikersnaam en wachtwoord heeft gevonden van LCMS en dat op de LCMS-oefenpagina alle gebruikersnamen en wachtwoorden van de oefenaccounts te vinden zijn. ^[8]

Verdachte heeft verder verklaard dat hij meer accounts gebruikt heeft namelijk de accounts, “[naam 4]”, “[naam 3]”, nog iets met “[naam 5]” en iets wat begon met een “[naam 6]”. Hij heeft ingelogd bij hem thuis, via zijn mobiel en bij [persoon 1]. ^[9]

Verdachte heeft tevens verklaard dat hij een screenshot heeft gemaakt dat hij gedeeld heeft in een Whatsapp-groep waarin onder meer [persoon 2], [persoon 3], [persoon 4] en [persoon 5] leden van zijn. Hij herkent het screenshot (p. 157) en deelt daarover mee dat hij dit tijdens zijn werk in [gemeente] heeft gemaakt. Volgens verdachte was dit de 23e of 24e (de rechtbank begrijpt februari 2014). ^[10]

De bewezenverklaring.

Op grond van de feiten en omstandigheden die zijn vervat in de hierboven uitgewerkte bewijsmiddelen komt de rechtbank tot het oordeel dat wettig en overtuigend bewezen is dat verdachte

in de periode van 24 februari 2014 tot en met 27 februari 2014 in Nederland,

opzettelijk en wederrechtelijk in een of meer geautomatiseerde werken, te weten servers ([bedrijf 1]) is binnengedrongen,

waarbij hij de toegang heeft verworven met behulp van een valse sleutel,

te weten het onbevoegd gebruik maken van accounts en wachtwoorden en

door het aannemen van een valse hoedanigheid, waarna verdachte vervolgens

gegevens, die waren opgeslagen, werden verwerkt of werden overgedragen

door middel van dat/die geautomatiseerd(e) werk(en) waarin verdachte zich

wederrechtelijk bevond, voor zichzelf of een ander heeft overgenomen.

Hetgeen meer of anders is ten laste gelegd dan hierboven bewezen is verklaard, is naar het oordeel van de rechtbank niet bewezen. Verdachte zal hiervan worden vrijgesproken.

De strafbaarheid van het feit.

Het bewezen verklaarde levert op het in de uitspraak vermelde strafbare feit.

Er zijn geen feiten of omstandigheden gebleken die de strafbaarheid van het feit uitsluiten.

De strafbaarheid van verdachte.

Er zijn geen feiten of omstandigheden gebleken die de strafbaarheid van verdachte uitsluiten. Verdachte is daarom strafbaar voor hetgeen bewezen is verklaard.

Oplegging van straf en/of maatregel.

De eis van de officier van justitie.

De officier van justitie heeft gevorderd de oplegging van een taakstraf voor de duur van 40 uren subsidiair 20 dagen hechtenis en met aftrek van de inverzekeringstelling.

Een kopie van de vordering van de officier van justitie is aan dit vonnis gehecht.

Het standpunt van de verdediging.

Namens verdachte is verzocht om toepassing van het rechterlijk pardon als bedoeld in artikel 9a Sr en subsidiair om een straf gelijk aan de in verzekering doorgebrachte tijd met daarbij eventueel een voorwaardelijke taakstraf.

Het oordeel van de rechtbank.

Bij de beslissing over de straf die aan verdachte dient te worden opgelegd heeft de rechtbank gelet op de aard en de ernst van het bewezen verklaarde en de omstandigheden waaronder dit is begaan. Bij de beoordeling van de ernst van het door verdachte gepleegde strafbare feit betrekt de rechtbank het wettelijke strafmaximum en de straffen die voor soortgelijke feiten worden opgelegd. Daarnaast houdt de rechtbank bij de strafbepaling rekening met de persoon en de persoonlijke omstandigheden van verdachte.

De rechtbank heeft in het bijzonder het volgende in aanmerking genomen.

Verdachte heeft zich schuldig gemaakt aan, kortgezegd, computervredebreuk.

Weliswaar hebben aangevers en de beheerders van het systeem niet gezorgd voor een juiste beveiliging, maar dat neemt niet weg dat verdachte een eigen verantwoordelijkheid had om af te zien van het gebruik van deze gegevens teneinde zich toegang te verschaffen tot een systeem waarvan hij moet hebben geweten dat hij daartoe niet gerechtigd was. Hij heeft zich desondanks de toegang tot dit netwerk verschaft en zelfs verkregen data met derden gedeeld op een wijze die het reële risico in zich droeg op nog veel omvangrijker verspreiding. Verdachte heeft daarmee het recht geschonden op de bescherming van de integriteit van het geautomatiseerde werk waar het systeem op draaide.

Kijkend naar de persoon van verdachte, houdt de rechtbank rekening met de omstandigheden dat hij niet eerder is veroordeeld voor strafbare feiten en dat de negatieve gevolgen van deze strafzaak voor verdachte groot zijn geweest. Met name weegt de rechtbank daarbij mee dat verdachte als gevolg van de onderhavige strafzaak zijn baan is verloren.

De rechtbank acht de geëiste onvoorwaardelijke taakstraf als onvoorwaardelijk strafdeel passend en geboden. De rechtbank zal daarnaast echter, omdat verdachte ter terechtzitting er onvoldoende blijk van heeft gegeven doordrongen te zijn van het kwalijke karakter van zijn gedragingen en verdachte in de toekomst, gelet op zijn hobby als 112-fotograaf en beheerder van een nieuwssite, wellicht opnieuw in de verleiding zal komen zich langs illegale wijze van voor hem mogelijk nuttige informatie te voorzien, een voorwaardelijke taakstraf opleggen om verdachte ervan te weerhouden opnieuw strafbare feiten te plegen. Toepassing van artikel 9a Sr doet naar het oordeel van de rechtbank geen recht aan de ernst van het feit en de omstandigheden waaronder dit heeft plaatsgevonden.

Toepasselijke wetsartikelen.

De beslissing is gegrond op de artikelen:

Wetboek van Strafrecht art. 14a, 14b, 14c, 22c, 22d, 27, 138ab.

DE UITSPRAAK

De rechtbank:

Verklaart het ten laste gelegde bewezen zoals hiervoor is omschreven.

Verklaart niet bewezen hetgeen verdachte meer of anders is ten laste gelegd dan hiervoor bewezen is verklaard en spreekt hem daarvan vrij.

Het bewezen verklaarde levert op het misdrijf:

computervredebreuk, terwijl de dader vervolgens gegevens die zijn opgeslagen, worden verwerkt of overgedragen door middel van het geautomatiseerd werk waarin hij zich wederrechtelijk bevindt, voor zichzelf of een ander overneemt. Verklaart verdachte hiervoor strafbaar.

Legt op de volgende straf.

Een taakstraf voor de duur van 80 uren subsidiair 40 dagen hechtenis met aftrekovereenkomstig artikel 27 Wetboek van Strafrecht waarvan 40 uren subsidiair 20dagen hechtenis voorwaardelijk met een proeftijd van 2 jaren.

De rechtbank waardeert een in verzekering doorgebrachte dag op 2 uur te verrichten arbeid.

De rechtbank stelt als algemene voorwaarde dat de veroordeelde zich voor het einde van de

proeftijd niet schuldig maakt aan een strafbaar feit.

Dit vonnis is gewezen door:

mr. T. van de Woestijne, voorzitter,

mr. W. Schoorlemmer en mr. E. Sikkema, leden,

in tegenwoordigheid van mr. H.J.G. de Bruijn-van der Sluijs, griffier,

en is uitgesproken op 13 juli 2015.

Mr. Sikkema is buiten staat dit vonnis mede te ondertekenen.

Voetnoten

1. Wanneer hierna wordt verwezen naar een proces-verbaal, wordt – tenzij anders vermeld – bedoeld een proces-verbaal, opgemaakt in de wettelijke vorm door daartoe bevoegde opsporingsambtenaren. Waar wordt verwezen naar bijlagen betreffen dit de bijlagen bij het proces-verbaal van de Team High Tech Crime van de Landelijke Eenheid van de Nationale Politie, genummerd PL26149968-001.

2. Relaasproces-verbaal, p.9.

3. Verklaring van verdachte, afgelegd ter terechtzitting van 29 juni 2015.

4. Proces-verbaal van aangifte door [persoon 6], werkzaam voor het Veiligheidsbureau Brabant-Noord, p. 150 ev.

5. Relaasproces-verbaal, p. 9.

6. Proces-verbaal van verhoor [getuige 1] namens [bedrijf 1], p. 159 ev.

7. Proces-verbaal inloggen op account [naam 1] op LCMS, p. 174.

8. Verklaring van verdachte, p. 181.

9. Verklaring van verdachte, p. 191.

10. Verklaring van verdachte, p. 186-187.