DDoS- aanval via een ‘bootersite’ strafbaar

‘Deze vormen van cybercriminaliteit lijken alweer iets uit vervlogen tijden …’ schrijft de Advocaat-Generaal(ECLI:NL:PHR:2021:1050, r.o. 3.5) in een interessante zaak waarin de Hoge Raad in december 2021 uitspraak deed (ECLI:NL:HR:2021:1944). Het is een cybercrime–zaak die draait om een Distributed Denial of Service- aanval (DDoS-aanval) en de toepassing van artikel 138b Sr. Een artikel dat stamt uit de tijd dat het bestoken met ongewenste e-mails (Spam en bombing) nog een van de grootste digitale problemen leek, iets uit lang vervlogen tijden. Toch laat de uitspraak zien dat de rechtspraktijk en de wetgeving met hun tijd mee proberen te gaan.

16 DDoS-aanvallen

Met een DDoS-aanval wordt (geprobeerd) een computer, computernetwerk of dienst niet of moeilijk bereikbaar te maken voor klanten, door meerdere computers tegelijk een aanval te laten uitvoeren. In deze zaak is de verdachte vervolgd en veroordeeld door het gerechtshof Amsterdam voor het uitvoeren van DDoS-aanvallen op een website, in totaal 16 aanvallen in drie dagen. Het gerechtshof heeft vastgesteld dat de verdachte zich opgelicht voelde door de website die hij later heeft aangevallen.

Uit het gepubliceerde arrest volgt dat de verdachte in Nederland woonde, maar de eigenaar van de aangevallen website was gevestigd in Zuid-Afrika en heeft daar melding gedaan bij de politie. Er is ook contact geweest met de politie in Amsterdam. De eigenaar heeft namelijk mailtjes ontvangen van de verdachte, en hieruit kon hij opmaken dat de verdachte van de DDoS-aanval zich in Nederland bevond (ECLI:NL:HR:2021:1944, r.o. 2.2.2).

Vervolging voor 138b Sr

Uiteindelijk is de verdachte vervolgd en veroordeeld voor overtreding van artikel 138b Sr. Dit artikel is in 2006 opgenomen in het Wetboek van Strafrecht, oorspronkelijk vanuit de gedachte om onder andere spam-mail te kunnen bestrijden. De invoering van dit artikel gebeurde via de Wet computercriminaliteit II. Maar inmiddels zijn we een paar versies verder, en heeft ook artikel 138b Sr vanaf 1 mei 2021 een vierde versie. Toch is de uitspraak nog steeds relevant. En dat heeft alles te maken met de feiten van deze zaak én de wetsgeschiedenis van het nieuwe artikel 80sexies Sr en artikel 138b Sr.

Wat is er gebeurd?

De veroordeelde heeft bekend via een zogenaamde ‘bootersite’ tegen betaling DDoS aanvallen uit te hebben laten voeren. Het Openbaar Ministerie heeft vervolgd voor overtreding van artikel 138b lid 1 Sr:

“Met gevangenisstraf van ten hoogste twee jaren of geldboete van de vierde categorie wordt gestraft hij die opzettelijk en wederrechtelijk de toegang tot of het gebruik van een geautomatiseerd werk belemmert door daaraan gegevens aan te bieden of toe te zenden.”

En in cassatie gaat het om de uitleg van het begrip geautomatiseerd werk zoals bedoeld in artikel 80sexies (oud) zoals dat luidde ten tijde van het misdrijf:

“Onder geautomatiseerd werk wordt verstaan een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen.”

De vraag naar de uitleg van het begrip ‘geautomatiseerd werk’ heeft alles te maken met het feit dat de verdachte gebruik heeft gemaakt van de eerder genoemde bootersite. Want het feit waarvoor de verdachte is veroordeeld luidt als volgt:

“hij in de periode van 23 oktober 2017 tot en met 25 oktober 2017 in Nederland, opzettelijk en wederrechtelijk de toegang tot en/of het gebruik van een geautomatiseerd werk heeft belemmerd, door daaraan gegevens toe te zenden, immers heeft verdachte door middel van de site "[internetsite 1]" gegevens toegezonden naar de website "[internetsite 2]" waardoor de toegang tot en/of het gebruik van dit geautomatiseerde werk werd(en) belemmerd.” (ECLI:NL:HR:2021:1944, r.o. 2.2.1)

Oordeel Hoge Raad gebruik bootersite

Deze zaak draait daarmee om de vraag hoe de functies van een geautomatiseerd werk kunnen worden uitgelegd, en hoe die functies vervolgens kunnen worden beperkt.

Eenvoudig weergeven; als via website 1, de bootersite, website 2, het doel van de verdachte, (gedeelte) wordt platgelegd is dat dan belemmering van een geautomatiseerd werk? De Hoge Raad heeft die vraag in deze zaak met ja beantwoord. (ECLI:NL:HR:2021:1944, r.o. 2.7)

Want, zo redeneert de Hoge Raad, als de software waarmee een deel van de functies van een (deel) van een netwerk (of apparaat) wordt belemmerd dan is er sprake van belemmering zoals bedoeld in artikel 138b Sr.

De Hoge Raad heeft ook duidelijk gemaakt dat deze uitleg ook van toepassing is op de uitleg van het huidige artikel 80sexies Sr. Want de wetgever heeft namelijk met het nieuwe artikel 80sexies Sr een verruiming beoogd (ECLI:NL:HR:2021:1944, r.o. 2.10).

Goed nieuws voor slachtoffers van DDoS-aanvallen

Voor slachtoffers van DDoS-aanvallen is deze zaak goed nieuws. Het laat zien dat de Nederlandse politie en het Openbaar Ministerie succesvol tot opsporing en vervolging van cybercrime komt. En het laat zien dat de rechter en de wetgever met hun tijd meegaan en in staat zijn in te spelen op nieuwe ontwikkelingen. Concreet betekent dat bijvoorbeeld voor bedrijven dat wanneer hun SCADA-systemen worden geraakt door een ingehuurde DDoS-aanval, er juridisch weinig in de weg staat aan een succesvolle vervolging.