image

Juridische vraag: Hoeveel jaar cel staat op DDoS-aanval?

woensdag 22 december 2010, 09:45 door Arnoud Engelfriet, 15 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"De wet op internet".

Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.

Vraag:In diverse media wordt gemeld dat op het uitvoeren van Denial of Service-aanvallen zes jaar cel staat. Maar toen ik de wet erop nasloeg, vond ik artikel 138b Strafrecht en daarin staat toch duidelijk "maximaal één jaar". Hoe zit het nu?

Antwoord: Het klopt, artikel 138b Wetboek van Strafrecht is het "DoS-artikel" en dat artikel noemt één jaar cel (of maximaal 19.000 euro boete) bij het plegen van dit misdrijf.

Het OM heeft het echter over een ander artikel, namelijk 161sexies. Dit stelt strafbaar het "vernielen, beschadigen of onbruikbaar maken" van een computersysteem of een "stoornis in de gang of in de werking" daarvan te veroorzaken. En een DoS-aanval kan prima aan die definitie voldoen.

Artikel 161sexies is veel strenger, zeker als er bij je vernieling "gemeen gevaar" of levensgevaar te duchten valt. (Gemeen gevaar wil zeggen gevaar tegen iets of iemand zonder dat je specifiek hoeft te bewijzen welke iemand dan.) Als je gevaar veroorzaakt, dan levert dat maximaal zes jaar cel op, en bij levensgevaar kan dat oplopen tot negen jaar of vijftien jaar als er daadwerkelijk doden vallen.

In april van dit jaar werd een man veroordeeld voor het platleggen van twee Nederlandse sites, www.turkishplace.nl en www.turkplace.nl, in 2009. Die aanvallen waren zo groot dat ook andere klanten van de hostingproviders daar last van ondervonden. Die providers (Leaseweb en Argeweb, toch niet de kleinsten) hadden een "vitale" rol bij de internet-infrastructuur in Nederland en die werd nu verstoord. Daarmee achtte de rechtbank "gemeen gevaar" bewezen:

Het is een feit van algemene bekendheid dat het uitvoeren van een (d)dos aanval op een dergelijke vitale infrastructuur vergaande financieel-economische schade tot gevolg kan hebben en een groot aantal klanten kan treffen dat van de diensten van voornoemde providers gebruik maakt.

In een zaak uit 2005 over de DoS-kabouters werd met een vergelijkbare redenering ook artikel 161sexies van toepassing geacht. Het lijkt er dus op dat het OM dit nu graag standaard inzet, en op zich is dat te begrijpen als het gaat om grootschalige (D)DoS-aanvallen gaat waarbij hele providers onderuit gaan.

Dat Jeroenz0r die zes jaar zal krijgen, lijkt me uitgesloten: de Turkplace-dosser kreeg 15 maanden cel (waarvan 5 voorwaardelijk) en de DoS-kabouter kreeg 240 uur werkstraf, mede vanwege zijn leeftijd.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".

Reacties (15)
22-12-2010, 10:29 door anoniem lafbekje
Lekkere actuele vraag. Complimenten.
22-12-2010, 10:44 door Anoniem
Vergeet niet te verwijzen naar je presentatie:
http://blog.iusmentis.com/2010/12/20/legaal-hacken-waar-ligt-de-grens-slideshare/
22-12-2010, 12:21 door Anoniem
In de media refereert men bijna altijd aan de maximum strafmaat, terwijl deze vrijwel nooit wordt opgelegd.
22-12-2010, 13:54 door Mysterio
Door Anoniem: In de media refereert men bijna altijd aan de maximum strafmaat, terwijl deze vrijwel nooit wordt opgelegd.
Dat is omdat de maximum straf bekend is. Je kunt moeilijk een gemiddelde straf of meest opgelegde straf berekenen.
22-12-2010, 15:05 door [Account Verwijderd]
[Verwijderd]
22-12-2010, 16:23 door Anoniem
"Dat is omdat de maximum straf bekend is. Je kunt moeilijk een gemiddelde straf of meest opgelegde straf berekenen."

Dat klopt inderdaad, maar het is wel een verschil of je schrijft dat de maximum straf 6 jaar is, of dat je de suggestie werkt dat die straf waarschijnlijk opgelegd gaat worden. Het laatste gebeurt toch vrij vaak ;)
22-12-2010, 23:07 door Arnoud Engelfriet
Mee eens, Anoniem 16:23. Het zou beter zijn als gemeld zou worden "De maximale strafmaat is zes jaar maar in vergelijkbare zaken werd veelal een werkstraf opgelegd".
23-12-2010, 22:17 door Bitwiper
Vandaag in het nieuws: oproep tot 'bank run' strafbaar (zie http://www.rijksoverheid.nl/nieuws/2010/12/23/oproep-tot-bank-run-strafbaar%5B2%5D.html waarbij naar verluidt (in de media) in het wetsvoorstel sprake zou zijn van een strafmaat van maximaal 4 jaar en een boete van maximaal 19.000,- Euro.

Het leek me aardig om die strafmaat te vergelijken met die voor DoS en ook eens naar de argumentatie voor de straf voor het oproepen tot "bank runs" te kijken in relatie tot wat velen op security.nl doen, nl. het in diskrediet brengen van organisaties omdat deze, naar het oordeel van de berichtgever, hun zaakjes niet op orde hebben; laat ik daar eens mee beginnen.

Voorbeeld: op deze site wordt door velen opgeroepen om Adobe producten te mijden, en ook andere marktpartijen (met name Microsoft) moeten het vaak ontgelden. Niet zelden zijn deze oproepen slecht onderbouwd, en de algemene berichtgeving kan regelmatig als tendentieus worden aangemerkt.

In http://www.rijksoverheid.nl/bestanden/documenten-en-publicaties/brieven/2010/12/22/brief-tk-aanbeveling-commissie-dsb-bank-inzake-het-oproepen-tot-een-bank-run/briefaanbevelingdsbbank-definitief.pdf (PDF) lees ik onder meer:
Door De Minister van Veiligheid en Justitie: Het behoorlijk functioneren van het bancaire stelsel is van evident belang in onze samenleving. De commissie DSB-bank heeft zich in haar eindrapport daarom de vraag gesteld in hoeverre het uitdrukkelijk oproepen tot een ‘bank run’ afzonderlijk strafbaar zou moeten worden gesteld. Een bank is geen gewone onderneming. Een bank kan alleen functioneren indien er bij rekeninghouders en crediteuren vertrouwen bestaat in haar soliditeit. Personen die opzettelijk in het openbaar uitlatingen doen over de soliditeit van een bank en oproepen tot een run op de bank, brengen de bank dientengevolge in reëel gevaar van een faillissement.
Het is maar een kleine stap naar:
Namens een virtuele Minister van Veiligheid en Justitie, door Bitwiper: Het behoorlijk functioneren van de ICT infrastructuur is van evident belang in onze samenleving. De commissie in de zaak "faillissement Microsoft" heeft zich in haar eindrapport daarom de vraag gesteld in hoeverre het uitdrukkelijk oproepen tot een boycot van een leidend ICT bedrijf afzonderlijk strafbaar zou moeten worden gesteld. Een bedrijf als Microsoft is geen gewone onderneming; sinds het uitblijven van security fixes voor software op 90% van de in Nederland gebruikte computerapparatuur en de vloedgolf aan computerwormen en andere malware waar dat toe geleid heeft, is onze samenleving ernstig ontwricht geraakt. Een ICT bedrijf kan alleen functioneren indien er bij zakelijke en privé gebruiker vertrouwen bestaat in haar continuïteit. Personen die opzettelijk in het openbaar uitlatingen doen over de betrouwbaarheid van een ICT bedrijf en oproepen tot een boycot van dat bedrijf, brengen dat bedrijf dientengevolge in reëel gevaar van een faillissement.
Kortom, ik zie niet waarom een bank een andere positie in zou moeten nemen dan een ICT bedrijf, verzekeraar, school, ziekenhuis, begrafenisondernemer, helpdesks van bedrijven die worden geYouped, horeca gelegenheid (RTL nieuws van vanavond) en ga zo maar door. Als Pieter Lakeman oproept om je geld weg te halen bij ING doet nauwelijks iemand dat; er is meer nodig dan alleen maar een bekend iemand die iets roept. Een zeer slecht wetsvoorstel dus wat mij betreft dat een vervelend precedent kan scheppen.

Terug naar de strafmaat. Als het zo is dat iemand die een bank ten val kan brengen, met de in de PDF geschetste zeg maar "maatschappij ontwrichtende" consequenties, daar hooguit 4 jaar voor kan krijgen, hoe kan dan sprake zijn van gerechtigheid als iemand die een DoS attack uitvoert 6 jaar kan krijgen, of in het voorbeeld van de Turkplace-dosser daadwerkelijk 15 maanden?

N.b. bij een DoS-attack is de schade op korte termijn redelijk duidelijk, op lange termijn kan het zijn dat klanten zijn weggelopen omdat een site niet bereikbaar was, maar het kan ook zijn dat de media-aandacht tot nieuwe klanten leidt. Bovendien, Google eens naar storing internetbankieren, de banken zelf maken zich duidelijk ook niet erg druk om hun beschikbaarheidcijfers.

Ik snap er niets van, maar IANAL. Kan iemand mij dit uitleggen?
24-12-2010, 01:41 door [Account Verwijderd]
Door Bitwiper: Kan iemand mij dit uitleggen?

Ik pretendeer niet de wijsheid in pacht te hebben maar bij mij komt dit soort wetgeving over als paniekvoetbal met een vleug populisme.
24-12-2010, 08:05 door Syzygy
@ Bitwiper

Beste kerel,

Wij roepen niet op om zaken wel of niet te doen; WIJ ADVISEREN

Wij zijn allemaal ADVISEURS hier ;-)
24-12-2010, 10:18 door Anoniem
"Vandaag in het nieuws: oproep tot 'bank run' strafbaar (zie http://www.rijksoverheid.nl/nieuws/2010/12/23/oproep-tot-bank-run-strafbaar%5B2%5D.html waarbij naar verluidt (in de media) in het wetsvoorstel sprake zou zijn van een strafmaat van maximaal 4 jaar en een boete van maximaal 19.000,- Euro."

Indien een bank gezond is zal zo'n oproep volkomen ineffectief zijn. Maar kennelijk moet voortaan niet de bank die wanbeleid voert gestraft worden, maar degene die dit naar buiten brengt. Wie is verantwoordelijk voor de ondergang van DSB, is dat de heer Scheringa of de heer Lakeman ? Volgens mij zit er een steekje los bij politici die met dit soort wetsvoorstellen komen.
24-12-2010, 12:18 door Mysterio
Door Anoniem: "Vandaag in het nieuws: oproep tot 'bank run' strafbaar (zie http://www.rijksoverheid.nl/nieuws/2010/12/23/oproep-tot-bank-run-strafbaar%5B2%5D.html waarbij naar verluidt (in de media) in het wetsvoorstel sprake zou zijn van een strafmaat van maximaal 4 jaar en een boete van maximaal 19.000,- Euro."

Indien een bank gezond is zal zo'n oproep volkomen ineffectief zijn. Maar kennelijk moet voortaan niet de bank die wanbeleid voert gestraft worden, maar degene die dit naar buiten brengt. Wie is verantwoordelijk voor de ondergang van DSB, is dat de heer Scheringa of de heer Lakeman ? Volgens mij zit er een steekje los bij politici die met dit soort wetsvoorstellen komen.
Dat is dus helaas niet waar. Gezonde banken zijn zeldzaam en reputatie is enorm belangrijk. Daarnaast is er een risico voor de andere banken wanneer een 'ongezonde' bank omvalt. Met het omvallen van de DSB leg je een extra druk op de andere banken om de schade op te vangen.

Stellen dat elke ongezonde financiële instelling mag omvallen ondermijnt het geheel van de financiële wereld. Hoe slecht het ook is dat het zo is. Het gaat hier niet om wie er schuld heeft aan de ondergang van DSB, maar hoe je daarmee omgaat. Scheringa zat fout en dus moest de Nederlandse Bank daar ingrijpen en de boel overnemen, niet een anarchist Lakeman die wel even de bank de nek om zal draaien.

Voor de ellende die is voortgekomen uit zijn oproep is hij verantwoordelijk. Er zit dus geen steekje los bij politici (in dit geval) maar bij de idioten die vinden dat ze wel eventjes zelf een bank kunnen afstraffen. Uiteindelijk hebben belastingbetalers en andere banken er de rekening van gekregen, die veel hoger is dan wanneer de Nederlandse Bank het netjes had opgelost.

Meneer Lakeman kreeg er een hele grote plasser van dat die bank kapot ging, maar hij geeft niets om de rekeninghouders en de normale medewerkers van die bank. Wat hem betreft kunnen die met Scheringa kapot gaan.

Zolang mensen niet de gevolgen van hun acties ten volle kunnen inzien, en dus ook de verantwoordelijkheid kunnen dragen, is wetgeving die hen beschermt. Niemand die door rood rijdt heeft de intentie om daarbij iemand dood te rijden en krijgt dus niet de optie om de verantwoordelijkheid daarvoor op zich te nemen, omdat wetgeving het verbiedt om door rood te rijden. Intenties zijn leuk, maar kunnen meer kapot maken dan je ooit had kunnen overzien. Overzie je het wel en ben je bereidt die verantwoordelijkheid op je te nemen, dan moet je vooral de wet breken en het proberen uit te leggen aan de rechter.

Microsoft failliet. Leuke vergelijking, maar omdat er nogal een monopoly is, zijn er te veel mensen en bedrijven echt afhankelijk van Microsoft. Als 80% van de bedrijven de contracten op zou zeggen hebben zij een probleem, niet Microsoft. Ze zullen namelijk jankend terugkomen. Er is geen concurrent waar ze terecht kunnen.

Nogmaals: banken zijn afhankelijk van elkaar. Valt er in de US één bank om, dan voelen wij het in onze portemonnee. Daar word ik niet blij van, niet doen dus.

DDoS aanvallen gaan verder dan een beetje internetbankieren van de huisvrouwtjes. Dat laat exact zien hoeveel de DDoS-ers beseffen wat voor schade ze kunnen aanrichten. Er zijn betalingen die op dat moment uitgevoerd moeten worden en de bank garandeert dat. Ze hebben afspraken met providers, energie bedrijven, alles! De hele infrastructuur kan real time overgenomen worden door een kopie in een bunker. Kortom: ze doen hun uiterste best omdat zij het hart van de economie zijn.

En dat is tijdelijk plat te leggen door DDoS mensjes die vinden dat ze het recht hebben om dat te doen. Bedrijven gaan weg bij een bank die niet kan garanderen dat de betalingen op tijd worden gedaan. Als jij vindt dat de bank inderdaad schade moet lijden omdat ze Wikileaks niet helpen, zal je daar ook de gevolgen van moeten dragen.

Banken geven om hun reputatie. Wat denk je wanneer ze in de krant zeggen dat ze wel bang zijn voor DDoS aanvallen en oproepen om spaargeld weg te halen? Juist, dan gaan alle kneuzen aan het DDoS-en en hun bankrekeningen overzetten. Wat doet dat met onze economie? Vast veel goed.
19-11-2014, 22:28 door Anoniem
Dit klopt allemaal prima Maar Dos of Ddos is niet gelijk een cel straf. Meestal alleen een geld boeten het ligt eraan waar je de aanval op pleegd als je bijvoorbeeld een persoon een een sterk onbekende site aanvalt is het minder strafbaar maar als je met succses een aanval op paypal of dergelijken pleegt is dit zeer strafbaar. Mijn punt is dat ddos je niet meteen een celstraf opleverd
25-11-2014, 15:42 door Anoniem
Krijg je een strafblad als je ddost of is het enige wat je krijgt wat bovenstaande is?
12-09-2015, 14:04 door Anoniem
Mijn vriend is ge ddost voor 6 minuten wat voor straf zou de ddoser kunnen krijgen?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.