Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Analyse: Is het kapen van IP-adressen strafbaar?

  • Door
  • Arnout Veenman
  • geplaatst op
  • 28 juli 2015 08:00 uur

Bulgaarse internetcriminelen hebben in 2014 een blok met IP-adressen van het ministerie van Buitenlandse Zaken misbruikt om spam te versturen, zo werd afgelopen weekend bekend. De overheid zegt aangifte te hebben gedaan tegen de criminelen, maar dat roept de vraag op of het überhaupt wel strafbaar is?

Om te bepalen of het misbruik van de IP-adressen door de Bulgaarse internetcriminelen strafbaar is, moeten we eerst de feiten op een rijtje zetten. Wat is er precies gebeurd? De criminelen hebben een blok IP-adressen (193.177.64.0./18) tussen 19 november en 26 november 2014 via BGP-geannounced en vanaf die IP-adressen is in die periode spam verstuurd.

Volgens de overheid waren de IP-adressen niet in gebruik. Dat betekent dus dat er géén IT-infrastructuur van de overheid is afgetapt, verstoord of iets dat daarop lijkt. Er zijn puur een aantal IP-nummers die op naam van de overheid staan geregistreerd door een derde partij gebruikt om eigen IT-infrastructuur via het internet bereikbaar te maken.

De volgende vraag is op grond waarvan deze gedragingen mogelijk strafbaar kunnen zijn. De meest voor de hand liggende zijn, computervredebreuk (art. 138ab Sr), belemmering van een geautomatiseerd werk (art. 138ab), vernieling van een geautomatiseerd werk (opzettelijk: art. 161sexies Sr. en schuld hebben aan: art. 161septies Sr.) en vernieling van gegevens die in een geautomatiseerd werk zijn opgeslagen (opzet: art. 350a Sr. schuld hebben aan: art. 350b Sr.).

Om te beginnen met computervredenbreuk (art. 138ab Sr), daarvoor is noodzakelijk dat er sprake is van het “opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd werk of in een deel daarvan”. Het gebruik van IP-adressen die op naam van een ander staan, is daar moeilijk mee te rijmen. Dus geen computervredebreuk.

Het belemmeren van een geautomatiseerd werk dan misschien (art. 138b Sr)? Daarvoor is het noodzakelijk om “opzettelijk en wederrechtelijk de toegang tot of het gebruik van een geautomatiseerd werk belemmert door daaraan gegevens aan te bieden of toe te zenden”. Daar is ook geen sprake van. Er is namelijk geen sprake van een geautomatiseerd werk (van een ander) maar enkel het gebruik van de IP-adressen die aan iemand anders toebehoren. En als er geen geautomatiseerd werk is, dan kan het ook niet belemmerd worden door er gegevens naar toe te zenden.

Ook voor vernieling van een geautomatiseerd werk (art. 161sexies Sr) loop je tegen hetzelfde probleem aan, er is geen sprake van een geautomatiseerd werk. Dus dat kun je ook niet vernielen. En als laatste is om dezelfde reden ook art. 350a Sr niet van toepassing.

De meest voor de hand liggende bepalingen die over IT-infrastructuur gaan, zijn niet van toepassing. Dat is moreel gezien onwenselijk, dus zijn er dan geen andere mogelijkheden waarmee internetcriminelen die IP-adressen misbruiken toch strafbaar kunnen zijn?

Een logische gedachte zou kunnen zijn om het misbruiken van de IP-adressen aan te merken als diefstal. De Hoge Raad heeft immers niet al te lange tijd geleden besloten dat ook virtuele goederen gestolen kunnen worden. Het misbruik heeft wel een beetje weg van joyriden met een auto, die dan later weer wordt ’teruggebracht’. Nog los van de vraag of er sprake kan zijn van diefstal van IP-adressen op basis van de uitspraak van de Hoge Raad, is er waarschijnlijk geen sprake van diefstal om een andere reden. De IP-adressen zijn namelijk – zo lijkt het – na een week weer ’teruggegeven’ en daarna ook niet meer gebruikt. Voor diefstal is het nodig dat er sprake is van “wederrechtelijke toeeigening” oftewel dat je je als eigenaar IP-adressen gedraagt. Dat is hier net als bij joyriden niet het geval. De IP-adressen zijn alleen maar zonder toestemming even ‘geleend’. Daarom is er hier – net als bij joyriden – geen sprake van diefstal (en daarom is joyriden ook apart in art. 11 Wegenverkeerswet strafbaar gesteld).

Onder de huidige omstandigheden zijn de internetcriminelen niet strafbaar. Echter is het mogelijk dat deze wel strafbaar zijn. Het is namelijk niet uit te sluiten dat de IP-adressen in kwestie niet geannounced worden maar enkel worden gebruikt voor internet routering. Bij het ministerie van Buitenlandse Zaken kan dan worden gedacht aan VPN-verbindingen tussen het ministerie zelf en Nederlandse ambassades in het buitenland.

Indien de IP-adressen voor VPN-verbindingen worden gebruikt, dan zou het publiekelijk announcen van deze IP-adressen ertoe kunnen leiden dat de VPN-verbindingen niet meer werken. Op dat moment zorgt het kapen van de IP-adressen er wél voor dat een geautomatiseerd werk wordt vernield. In dat geval komt art. 161sexies om de hoek kijken. Een verweer dat de internetcriminelen niet konden weten dat de IP-adressen gebruikt worden voor interne doeleinden, neemt de strafbaarheid in dat geval ook niet weg. De internetcriminelen hebben doelbewust het risico genomen dat dit kon gebeuren. Dat wordt in het strafrecht ook wel voorwaardelijke opzet genoemd, waarmee aan het opzet-vereiste bij misdrijven voldaan is. Echter nu het ministerie stelt dat hier geen sprake van (actief) gebruik is, is dit niet het geval.

Conclusie

Het ministerie van Buitenlandse Zaken stelt aangifte te hebben gedaan tegen de internetcriminelen. Ik ben heel benieuwd op grond waarvan de aangifte is gedaan. Welke strafbaar feit is er volgens het ministerie vermoedelijk gepleegd? Of zou het puur weer een PR-reflex zijn, om zo in de slachtofferrol te kunnen duiken en de de eigen schuld te kunnen bagatelliseren?

John, 28 juli 2015 10:05 pm

Is 'laster' niet nog een optie? De 'goede' naam van de eigenaar van de ipreeks wordt tenslotte wel besmeurt vanwege de spam via het netwerk dat de bulgaren zonder toestemming gebruikt hebben.

Jan-Jaap Oerlemans, 29 juli 2015 9:56 am

Interessant. Ik ben ook benieuwd waar een officier van justitie mee op de proppen zou komen. Ik kan zo snel ook geen artikel verzinnen in het Wetboek van Strafrecht die van toepassing is. Maar wat dacht je van een vervolging voor het versturen van spam? Art. 11.7 van de Telecommunicatiewet is waarschijnlijk wel van toepassing, hetgeen strafbaar is op grond van artikel 1 onder 2 van de Wet op de econonische delicten..

Arnout Veenman, 30 juli 2015 2:47 pm

Spammen is natuurlijk in beginsel strafbaar, mits de Nederlandse strafwet op de spammers van toepassing is. In dit geval vraag ik mij echter af of dat het geval is. De dader is een Bulgaars bedrijf, dat vermoedelijk ook vanuit Bulgarije opereert en indien het daar ook zijn (fysieke) netwerk-infrastructuur heeft staan, dan is het gebruik van IP-adressen die op naam van een Nederlandse entiteit staan, de enige link met Nederland. Ik denk niet dat daarmee gezegd kan worden dat het delict (ook) in Nederland heeft plaatsgevonden en de bepalingen die Nederlandse strafrecht van toepassing verklaren op delicten buiten Nederland, zijn waarschijnlijk ook niet van toepassing (al zou via een verdrag dat voor spam als een vorm van cybercrime misschien wel zo kunnen zijn). Zelfs als het als spammen strafbaar is Nederland, hoe opportuun is het dan voor het OM om dit strafrechtelijk te vervolgen?

Jan-Jaap Oerlemans, 2 augustus 2015 11:14 am

Jouw vraag was welk misdrijf eventueel van toepassing is en ik heb daar denk ik een goede suggestie voor meegegeven. In Nederland is nu het ACM verantwoordelijk voor de vervolging van het vesturen van spam (en plaatsing van spyware), maar lijkt daar tot nu toe weinig actief mee. De link met NL is inderdaad niet heel sterk, maar enig effect op eigen territoir is wellicht voldoende een onderzoek te starten op grond van het territorialiteitsbeginsel of ubiquiteitsbeginsel. In de praktijk hebben staten overigens weinig nodig om een vervolging te starten. Toch ben ik het met je eens dat het niet voor de hand ligt dat hiervoor vervolging wordt ingezet door het OM (of het ACM). Met technische maatregelen kan het eventueel in het vervolg worden voorkomen of snel worden gestopt.

Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.