Over het strafbaar stellen van spionage

Vorige week is een interview met mij (‘Q&A met hoogleraar Jan-Jaap Oerlemans‘) verschenen over de plannen van het kabinet om ‘spionage strafbaar te stellen’.

In het interview geef ik aan dat veel delicten al van toepassing kunnen zijn op de situatie dat een persoon gegevens verstrekt aan een ander persoon (mogelijk een inlichtingenofficier van een andere staat).

Daarbij kan je denken computerdelicten die van toepassing kunnen zijn bij het verzamelen van die gegevens, zoals computervredebreuk (art. 138ab Sr) en – met name ook – het verspreiden van niet-openbare gegevens (artikel 138c Sr). Dat laatste artikel is nog tamelijk recent ingevoerd met de inwerkingtreding van de Wet computercriminaliteit III op 1 maart 2019.

Ook kan je denken aan de huidige bepalingen met betrekking tot het openbaren van staatsgeheimen (artikel 98 Sr e.v.), ambtelijke omkoping (artikel 272 Sr) of het openbaren van bedrijfsgeheimen (artikel 273 Sr).

Gezien deze bepalingen is het belangrijk dat de minister van Justitie & Veiligheid goed uitlegt waarom de wetswijzigingen noodzakelijk zijn. Op het eerste gezicht zie ik de noodzaak niet zo, behalve dat gedacht kan worden aan hogere maximale gevangenisstraffen, omdat het dan eenvoudiger wordt bepaalde bijzondere opsporingsbevoegdheden in te zetten.

In het interview gaf ik aan dat het belangrijk is dat het openbaar ministerie in de beslissing om te vervolgen in oogmerking moet nemen of er sprake is van een klokkenluidersituatie en of het in het belang van Nederland is om vervolging in te stellen, of dat het bijvoorbeeld beter is een buitenlandse spion het land uit te zetten.

== UPDATE ==

Op 28 februari 2022 is het wetsvoorstel en de memorie van toelichting op internetconsultatie.nl verschenen (tot en met 25 april 2022 kan men reageren).

Mijn eerste indruk: in het wetsvoorstel komen enkele nieuwe strafbaarstellingen die strafbaar stellen: ‘het verrichten van handelingen voor een buitenlandse mogendheid of inlichtingen of een voorwerp te verstrekken’, als de verdachte weet dat

daarvan gevaar is te duchten voor de veiligheid van de staat, van zijn bondgenoten of van een volkenrechtelijke organisatie, voor de vitale infrastructuur, voor de integriteit en exclusiviteit van hoogwaardige technologieën, of voor de veiligheid van een of meer personen.

De ratio van het conceptwetsvoorstel is dat ‘het strafrecht op dit moment nog onvoldoende mogelijkheden biedt om op te treden tegen spionageactiviteiten waarbij geen sprake is van een schending van (staats-, ambts- of bedrijfs-) geheimen, maar die wel de Nederlandse belangen ernstig schaden, of waarbij andere schadelijke handelingen worden verricht dan het verstrekken van informatie’. De voorgenomen wetswijzigingen zijn ook van belang om de Nederlandse strafwetgeving op een gelijkwaardig niveau te houden met de wetgeving in andere Europese landen.

Ook wordt een strafverzwaring geïntroduceerd als computerdelicten worden gepleegd met – eenvoudig gezegd – het oogmerk van spionage. Het gaat daarbij in het bijzonder om aanpassingen van het delict over het overnemen van niet-openbare gegevens (artikel 138b Sr) en het overnemen van gegevens na computervredebreuk (artikel 138ab Sr).

Ik ga het conceptwetsvoorstel uiteraard verder bestuderen, maar ik ben benieuwd wat anderen ervan vinden. Dus een mail of een comment is altijd welkom!

Overzicht cryptophone-operaties

Zo’n drie jaar geleden, in november 2018, verscheen het eerste persbericht op OM.nl over het veiligstellen van berichten die zijn verstuurd met ‘cryptotelefoons’ (ook wel ‘PGP-telefoons’ genoemd).

De beschikbare informatie over de operaties die zich richten op het veiligstellen van de berichten die via de apps zijn verstuurd heb ik in de afgelopen maanden de volgende blogberichten hieronder op een rijtje gezet.

  1. Ennetcom (2016)
  2. PGP Safe (2017)
  3. Ironchat (2017)
  4. EncroChat (2020)
  5. Sky ECC (2020)

Waarom een overzicht?

Anno 2021 zijn er al meer dan 200 uitspraken beschikbaar op rechtspraak.nl met veroordelingen van criminelen, waarbij bewijs uit de cryptotelefoons een belangrijke rol speelt. In de media worden de berichten ook wel een ‘goudmijn aan bewijs’ genoemd en de gegevens vormen een game changer voor de politie. Strafrechtadvocaten trekken vaak de rechtmatigheid van de operaties in twijfel, maar vooralsnog lijkt de verdediging bot te vangen.

De operaties zijn blijkbaar bijzonder belangrijk voor de strafrechtpraktijk en toch is er relatief weinig bekend over de operaties. Ook geniet het nog vrij weinig aandacht van strafrechtwetenschappers.

De grote hoeveelheid jurisprudentie en onduidelijkheid over de ‘wat’, ‘wanneer’ en ‘hoe’-vragen vormde voor mij aanleiding een overzicht te maken (ook voor mijzelf voor toekomstige publicaties). Daarbij heb ik mij gebaseerd op persberichten van het OM, de politie en rechtspraak.

Wat en wanneer

  1. Ennetcom (2016)

Leverancier van cryptotelefoons met apps op een Blackberry telefoon. Oprichters van het bedrijf zijn uiteindelijk veroordeeld voor deelname aan een criminele organisatie, gewoontewitwassen en medeplegen van valsheid in geschrifte. Tijdens de operatie zijn 3,6 miljoen berichten veiliggesteld.

Leverancier van cryptotelefoons met apps op Android en Blackberry toestellen. Oprichters bedrijf worden verdacht van onder meer witwassen, overtreding van de Telecommunicatiewet en valsheid in geschrifte. Tijdens de operatie zijn 700.000 berichten veiliggesteld.

Leverancier van Wileyfox-telefoons met Ironchat-app er op. Onderzoek gericht op de oprichters van het bedrijf (verdenkingen nog onduidelijk). Tijdens de operatie zijn 258.000 berichten veiliggesteld.

Leverancier van cryptotelefoons met EncroChat (en andere Encro) apps. Redelijk vermoeden dat Encro en de gebruikers zich in georganiseerd verband schuldig maakten aan witwassen, deelname aan criminele organisaties, etc. Tijdens de operatie zijn 25 miljoen berichten veiliggesteld.  

Leverancier van cryptotelefoons met Sky ECC app. Sky ECC en de daaraan gelieerde (natuurlijke) personen verdacht van deelname aan een criminele organisatie en (gewoonte)witwassen.  Tijdens de operatie zijn honderden miljoenen berichten veiliggesteld.  

Hoe

1.      Ennetcom (2016)
Via een rechtshulpverzoek aan Canada, met machtiging van een Canadese rechter. NL grondslag: 125i Sv. Canadese rechter verbond voorwaarden aan verstrekking en gebruik van gegevens aan Nederlandse opsporingsinstanties.  
 
2.      PGP Safe (2017)
Via een rechtshulpverzoek aan Costa Rica, met assistentie van Nederlandse politie. Machtiging voor bevel tot binnentreden, de doorzoeking en de beslaglegging afgegeven door het Gerecht in Strafzaken van het Eerste District San Jose. Aan de verstrekking van de veilig gestelde gegevens zijn geen beperkingen aan Nederland opgelegd.
 
3.      Ironchat (2017)
Via Europees Opsporingsbevel aan het Verenigd Koninkrijk en verstrekking van een kopie van de server (een image). Parallel onderzoek voor VK-autoriteiten. Zij hebben gegevens verstrekt aan Nederland, zonder beperkingen. Grondslag strafvordering voor operatie onduidelijk.
 
4.      EncroChat (2020)
Via JIT. Franse autoriteiten verzamelden gegevens met inzet “interceptietool”.  Extra machtiging voor inzet hackbevoegdheid (126uba Sv) op verdachten met verdenking van betrokkenheid/beramen van het plegen van misdrijven in georganiseerd verband. Beperkingen en vereisten aan onderzoek opgelegd door Nederlandse rechter-commissaris in een machtiging voor het onderzoeken van gegevens van Nederlandse ingezetenen.
 
5.      Sky ECC (2020)
Via JIT. Franse autoriteiten vergaren gegevens met inzet “interceptietool”. Door Nederlandse opsporingsambtenaren is technische expertise en/of bijstand geleverd met betrekking tot de ontwikkeling en plaatsing van de tool. De in Frankrijk vergaarde informatie is aanvankelijk vrijwillig op basis van artikel 26 van het Cybercrimeverdrag gedeeld met het Nederlandse Openbaar Ministerie. Later zijn ook machtigingen Nederlandse rechter-commissaris verleend. De vorderingen en machtigingen zagen op de toepassing van de artikelen 126t lid 1 en 126t lid 6 Sv (onderzoek communicatie door middel van een geautomatiseerd werk bij georganiseerde criminaliteit) en later ook op aanvullende, ondersteunende vorderingen op de voet van artikel 126uba Sv (hackbevoegdheid bij verdenking betrokkenheid beramen/plegen misdrijven in georganiseerd verband).

Meer duidelijkheid over Ironchat-operatie

Op 6 november 2018 maakte het Openbaar Ministerie bekend dat de politie Oost-Nederland en het Openbaar Ministerie (OM) er in 2017 waren geslaagd de versleutelde chatapplicatie ‘Ironchat’ te ontsleutelen. In het persbericht is de lezen:

“Dankzij deze operatie hebben politie en Openbaar Ministerie een goede informatiepositie gekregen. Er zijn ruim 258.000 chatberichten meegelezen en dat levert veel informatie op. Deze informatie kan leiden tot beslissende doorbraken in lopende onderzoeken. Ook kunnen de gegevens worden gebruikt om nieuwe strafrechtelijke onderzoeken op te starten. Op deze manier is er bewijs in lopende onderzoeken verkregen en kunnen nieuwe criminele activiteiten gestopt worden.”

Ironchat betrof een applicatie die stond op zogenoemde ‘cryptotelefoons’ of ‘PGP-telefoons’, waarbij PGP staat voor de versleutelingstechniek ‘Pretty Good Privacy’.

Rechtspraak

In 2020 is er enige rechtspraak op rechtspraak.nl gepubliceerd waar het verloop van de Ironchat-operatie wordt toegelicht (zie ECLI:NL:RBOVE:2020:1563, ECLI:NL:RBOVE:2020:1587, ECLI:NL:RBOVE:2020:1558, ECLI:NL:RBOVE:2020:1592). De rechtbank Overijssel heeft op 23 april 2020 in die uitspraken zes verdachten veroordeeld voor ernstige misdrijven, waarbij gebruik is gemaakt van de chatberichten. Na onderzoek van de gegevens die zijn veilig gesteld in de Ironchat-operatie kwamen er een aantal mensen naar voren kwam die ‘via bepaalde Ironchataccounts met elkaar chatte over – kort gezegd – de bereiding en het voorhanden hebben van, de handel in en de export van harddrugs. Daarnaast werd gechat over het voorbereiden van een aanslag op personen en panden (mogelijk) gelieerd aan een voormalige motorclub. Vervolgens is in het TGO (Team Grootschalige Opsporing) onderzoek naar deze strafbare feiten verricht’.

Voor de bewijsvoering komt het in belangrijke mate aan op de inhoud van de ter beschikking gekomen chatberichten. Er werd gebruik gemaakt van telefoons van met name het merk ‘Wileyfox’ en laptops waarop de applicatie Ironchat was geïnstalleerd.

Onderzoek richting leverancier en applicatie Ironchat

In de uitspraken is te lezen dat het opsporingsonderzoek ‘Orwell’ zich concentreerde zich op de verdenking tegen het bedrijf dat leverancier van de cryptotelefoons genoemd en een chatapplicatie met de naam Ironchat. De server waarvan gebruik werd gemaakt stond in het Verenigd Koninkrijk, bij een (geanonimiseerd) bedrijf. In het onderzoek Orwell verkreeg het OM met een Europees Opsporingsbevel (EOB) van de Britse autoriteiten een kopie van de inhoud van die server, een zogenoemde ‘image’. De Nederlandse politie onderzocht de inhoud daarvan.

De Engelse autoriteiten besloten daarnaast een eigen onderzoek te starten naar de communicatie die werd gevoerd over de zich in hun land bevindende server. De rechtbank overweegt dat zij ‘naar eigen recht, op basis van eigen bevoegdheden en met medeweten van een ander bedrijf’ (JJO: de hosting provider neem ik aan?), ‘de chatberichten onderschept, ontsleuteld en vervolgens die chatberichten heeft doorgeleid naar de Nederlandse autoriteiten’. De Britse autoriteiten hebben toestemming gegeven voor het gebruik daarvan in opsporingsonderzoeken in Nederland. Die chatberichten maken deel uit van het dossier in een ander opsporingsonderzoek (‘Metaal’ genoemd).

De rechtbank overweegt dat ‘voldoende duidelijk is op welke wijze de inhoud van de chatgesprekken is verkregen. Er is niet gebleken van enig vormverzuim. Het verweer wordt verworpen. De officier van justitie is ontvankelijk in de vervolging’.

Nederlands onderzoek naar crimineel verband dat gebruik maakte van de telefoons

De verdachten in de genoemde zaken worden veroordeeld, mede op basis van het bewijs dat is verzameld binnen het opsporingsonderzoek ‘Goliath’. In dat onderzoek richtte de politie en het Openbaar Ministerie zich ‘op het georganiseerde verband dat gebruik maakte van de diensten van het Nederlandse bedrijf dat PGP-telefoons leverde, waarbij allereerst het identificeren van onbekende (NN) personen die Ironchat gebruikten van belang werd geacht’.

Meer duidelijkheid over PGP Safe-operatie

Het Team High Tech Crime van de Landelijke Eenheid en het Landelijk Parket is in mei 2015 een onderzoek gestart naar een bedrijf die cryptotelefoons leverde onder de merknaam ‘PGP Safe’. Het opsporingsonderzoek kreeg de naam ‘26Sassenheim’.

Volgens dit persbericht en dit persbericht viel het doek voor PGP Safe op 9 mei 2017. In Nederland, Costa Rica, Duitsland en Oostenrijk vonden er gelijktijdig doorzoekingen plaats en werd bewijs veiliggesteld, waaronder de sleutels om de PGP-berichten te ontsleutelen. In het persbericht van 2017 is verder te lezen dat gegevens veiliggesteld van de technische infrastructuur die door PGP Safe gebruikt werd om de versleutelde PGP-berichten te versturen. In deze data werden meer dan 700.000 versleutelde berichten gevonden, waarvan er destijds ruim 337.000 ontsleuteld en leesbaar waren gemaakt.

Aanpak van facilitators

In 2017 zei het OM over de zaak:

“De politie en het Openbaar Ministerie treden hard op tegen mensen die criminelen/criminele organisaties (digitaal) ondersteunen of faciliteren. Deze zogenoemde facilitators worden vervolgd en hun criminele vermogen wordt afgepakt.

De PGP BlackBerry’s zoals door de verdachten in onderzoek 26Sassenheim werden verkocht, zijn vooral in gebruik bij criminelen.”

In het persbericht van 7 december 2021 staat dat 5 jaar gevangenisstraf wordt geëist tegen de leveranciers van de PGP Safe-cryptotelefoons.

=== UPDATE ===

 In de uitspraak van de rechtbank Rotterdam van 20 januari 2022 (ECLI:NL:RBROT:2022:363) is te lezen dat de verdenking aanvankelijk was dat de verdachte zich tezamen met anderen als professionele facilitator van versleutelde communicatie schuldig zou hebben gemaakt aan overtreding van witwassen (art. 420bis Sr) en deelneming aan een criminele organisatie (art. 140 Sr). De verdachte werd verdacht tezamen met anderen een eigen BlackBerry Enterprise Server (BES) in gebruik te hebben waaraan hij te verkopen BlackBerry’s koppelde om zo versleutelde en te wissen communicatie mogelijk te maken. BES is software waarmee een centraal te beheren datacommunicatiearchitectuur opgezet en onderhouden kan worden. Deze BlackBerry’s en de daarbij behorende abonnementen werden – volgens de verdenking – verkocht aan criminelen, die hiermee veilig en buiten het bereik van politie en justitie onderling konden communiceren.

De rechtbank overweegt dat ‘het gronddelict is het in strijd met de Telecommunicatiewet op de markt brengen van gemodificeerde, niet gekeurde PGP-encrypted BB’s. Met dat op de markt brengen werden inkomsten gegenereerd die uit dat misdrijf afkomstig waren.’ Maar de rechtbank ‘ziet niet in dat met deze overtreding crimineel geld kan zijn verdiend zoals in de tenlastelegging onder de feiten 1 en 2 is opgenomen en daarvoor is ook geen enkele aanwijzing te vinden in het dossier. Het causaal verband tussen de ten laste gelegde geldbedragen en dit gronddelict ontbreekt daarom’. De verdachte wordt van deze overtreding vrijgesproken. De rechtbank overweegt ook dat voor het de overtreding van de Telecommunicatiewet voor de hand had gelegen de met bestuursrechtelijke handhaving belaste instanties in te schakelen voor de verdere beoordeling en afdoening hiervan, in plaats van deze strafrechtelijke weg te bewandelen. De rechtbank verklaart de officier van justitie om deze redenen niet-ontvankelijk in de strafvervolging van overtreding van de Telecommunicatiewet en de Wet op de economische delicten.

De rechtbank overweegt ook dat het bedrijf de enige distributeur van de PGP-encrypted BlackBerry’s met de bijbehorende abonnementen. De PGP-software die op deze BlackBerry’s was geïnstalleerd bevatte een applicatie (genaamd Emergency Wipe) om zelf alle op de BB aanwezige gegevens te wissen. Daarnaast verleende de organisatie als aanvullende dienst ook ‘beheer op afstand’. Dit hield onder meer in dat de inhoud van een BB op verzoek van de klant, door tussenkomst van [naam rechtspersoon], op afstand kon worden gewist (een zogenaamd ‘wipe- of kill-verzoek’). Na onderzoek van in beslag genomen PGP-encrypted BlackBerry’s van de medeverdachte en de daarop aangetroffen e-mailcorrespondentie is een groot aantal van deze wipe- of kill-verzoeken aangetroffen. Deze mailwisselingen zijn vergeleken met gegevens in de politiesystemen en ook met de naar aanleiding van een rechtshulpverzoek aan de Costa Ricaanse autoriteiten verkregen en ontsleutelde data van de BlackBerry Enterprise Server (BES) van de Canadese leverancier die zich bevond in Costa Rica.

Daarbij is gebleken dat in de vier in de tenlastelegging vermelde gevallen een wipe- of kill-verzoek was gedaan nadat de gebruiker van de betreffende BlackBerry was aangehouden en de telefoon in beslag was genomen. Deze verzoeken zijn dus gedaan om te voorkomen dat de politie belastende informatie uit de telefoons zou kunnen halen. Deze verzoeken zagen op BlackBerry’s met e-mailadressen die eindigen op een bepaalde domeinnaam. Het betreffen dus BlackBerry’s en/of abonnementen die zijn verkocht door de organisatie. Gelet hierop acht de rechtbank bewezen dat de organisatie zich tezamen en in vereniging met elkaar schuldig hebben gemaakt aan begunstiging, zoals strafbaar gesteld in artikel 189, eerste lid onder 3 Sr. Bewezen is dat zij door te voldoen aan genoemde wipe- of kill-verzoeken opzettelijk voorwerpen (in dit geval: de inhoud van de telefoons) die kunnen dienen om de waarheid aan de dag te brengen, aan het onderzoek van de ambtenaren van justitie of politie hebben onttrokken, met het oogmerk om de inbeslagneming van die voorwerpen te beletten of te verijdelen. De verdachte heeft, hoewel in hij de positie was om dat te doen, niet verhinderd dat dergelijke verzoeken werden uitgevoerd. De rechtbank is gelet hierop van oordeel dat de verdachte voorwaardelijk opzet heeft gehad op de begunstiging. Niet vereist is dat hij wetenschap heeft gehad van de concrete verzoeken zelf en de uitvoering daarvan.

De verdachte wordt dus veroordeeld voor valsheid in geschrifte en het Nederlandse equivalent van ‘obstruction of justice’ (‘begunstiging’). De rechtbank overweegt nog in de strafbestelling het volgende:

“De handel in de PGP-encrypted telefoons is in beginsel legaal. Dat geldt ook voor de dienst van het op verzoek op afstand wissen van de inhoud van telefoons. Door dit ook te doen in zaken waarin de gebruiker van de telefoon door de politie is aangehouden en waarbij de telefoon in beslag is genomen, heeft de organisatie [naam rechtspersoon] hiermee echter strafbaar gehandeld. Daarmee is in de zaken tegen die betreffende gebruikers mogelijk bewijs vernietigd en het onderzoek door politie en justitie bemoeilijkt. De verdachte heeft hieraan feitelijke leiding gegeven en op die manier eraan bijgedragen dat de opsporing van andere strafbare feiten werd gefrustreerd. Het valt de verdachte te verwijten dat hij met deze handel criminelen heeft willen helpen uit handen van politie en justitie te blijven. In het kader van de vaststelling van de op te leggen straf is evenwel relevant dat niet is vast te stellen in welke omvang dit handelen heeft plaatsgevonden.”

De verdachte krijgt 65 dagen gevangenisstraf en een geldboete van 10.000 euro opgelegd. De gevangenisstraf is gelijk aan de dagen die de verdachte reeds in verzekering en voorlopige hechtenis heeft doorgebracht. Ook ontvangt de verdachte een deel van het inbeslaggenomen geld en voorwerpen terug.

=== EINDE UPDATE ==

Andere jurisprudentie

Gezien het aantal berichten die zijn veilig gesteld is het wat vreemd dat de eerste gepubliceerde rechtszaken op rechtspraak.nl zich tot 2021 op zich laten wachten (zie ECLI:NL:RBMNE:2021:1213) en (ECLI:NL:RBROT:2021:9906). In deze uitspraken wordt gerefereerd naar de PGP Safe-operatie en onderzoek ’26Sassenheim’, omdat berichten die daarin zijn veiliggesteld door een officier van justitie op grond van art. 126dd Sv worden gedeeld ten behoeve van andere opsporingsonderzoeken. Door de beschikbare rechtspraak naast elkaar te leggen komen er (na wat puzzelen) de volgende feiten over de operatie naar boven:

Het onderzoek 26Sassenheim richt zich op de faciliterende rol van de aanbieders van PGPSafe. In dat onderzoek is op 24 april 2017 een rechtshulpverzoek gedaan aan Costa Rica om onderzoekshandelingen te verrichten aan de infrastructuur van de leverancier van PGPSafe-diensten en -producten.

Rechtshulpverzoek aan Costa Rica

In de periode van 9 mei 2017 tot en met 11 mei 2017 is dat rechtshulpverzoek door de autoriteiten van Costa Rica uitgevoerd, daarbij geassisteerd door de Nederlandse politie. De uit die zoeking voortvloeiende versleutelde data (onder andere mailserverdata) zijn veiliggesteld, op 12 juni 2017 aan Nederland verstrekt en daar vervolgens ontsleuteld. De Costa Ricaanse autoriteiten hebben, anders dan de Canadese, geen clausulering of restricties verbonden aan het gebruik van die data’. Opvallend is nog wel dat in het geval PGP-safe blijkbaar “slechts een gedeelte” van de server is veiliggesteld, ‘omdat de Costa Ricaanse autoriteiten de doorzoeking beëindigden voordat alles was gekopieerd’.

Onderzoekswensen van de verdediging voor toetsing op rechtmatigheid

In de meest recente zaak van 11 oktober 2021 van de Rechtbank Rotterdam (ECLI:NL:RBROT:2021:9906) verzoekt de verdediging onder andere om meer informatie het rechtshulpverzoek (JJO: ik begrijp: het verzoek zelf en de onderliggende stukken) aan Costa Rica en het bevel tot binnentreden, de doorzoeking en de beslaglegging van het Gerecht in Strafzaken van het Eerste District San Jose (Costa Rica).

De officier van justitie heeft zich – door de rechtbank samengevat – op het standpunt gesteld dat het onderzoek in Costa Rica rechtmatig is verricht. Bovendien staat het vertrouwensbeginsel in de weg aan een oordeel van de rechtbank over de gang van zaken in Costa Rica. Zelfs wanneer er sprake zou zijn van eventuele onrechtmatigheden in het onderzoek 26Sassenheim, dan zou deze het onderzoek Sartell niet aangaan, omdat het onderzoek 26Sassenheim niet heeft te gelden als voorbereidend onderzoek van het onderzoek Sartell. Met het verstrekken van een ‘binder’ over de PGP Safe-operatie is volgens de officier van justitie voldoende informatie over de zaak verstrekt.

De rechtbank oordeelt dat met het inbrengen van de binder Ennetcom & PGPSafe en het verstrekken van toegang tot de eigen PGPSafedata en specifiek te onderzoeken gesprekken de officier van justitie al grotendeels tegemoet is gekomen aan de onderzoekswensen van de verdediging. De verdediging heeft deze onderzoekswensen met name geformuleerd om de toegepaste methoden van opsporing, de resultaten van het onderzoek van de server(s) in Costa Rica en de selectie van de data ten behoeve van Sartell te kunnen betwisten.

De rechtbank onderschrijft dat de verdediging het recht toekomt om het door de officier van justitie aangedragen bewijs te betwisten. Met het inbrengen van de binder Ennetcom & PGPSafe heeft de officier van justitie echter naar het oordeel van de rechtbank de verdediging voldoende voorzien van de informatie die redelijkerwijs relevant kan worden geacht voor de hiervoor bedoelde betwisting.

Toets op betrouwbaarheid PGPSafe data

In de uitspraak van de rechtbank Rotterdam van 11 april 2022 (ECLI:NL:RBROT:2022:2674) wordt het volgende gezegd over de authenticiteit van de data en betrouwbaarheid van de data:

De authenticiteit van de data

Het is juist dat in Costa Rica bij het kopiëren van de data de data op de server niet zijn gehasht. Die hashwaarde kan dus niet worden vergeleken met de hashwaarde van de data op de door de Costa Ricaanse autoriteiten aan de Nederlandse politie geleverde harde schijven. Dit valt het OM echter niet te verwijten aangezien dit toen geen Nederlandse aangelegenheid is geweest.

Hieraan behoeft echter evenmin een gevolg voor de betrouwbaarheid van die data verbonden te worden, nu van enige manipulatie van die data voordat deze bij de Nederlandse politie is aanbeland niet is gebleken. De rechtbank neemt daarbij in ogenschouw dat met het verbreken van de verbinding tussen de servers en het internet, het verzegelen van de servers op het moment dat de Costa Ricaanse autoriteiten niet aanwezig waren en het verpakken en verzegelen van het gekopieerde materiaal, dat naar Nederland is gestuurd de kans dat die data toen zouden zijn gemanipuleerd uitermate klein kan worden geacht. Het dossier biedt hiervoor ook overigens geen begin van aannemelijkheid.

Na ontvangst van de harde schijven uit Costa Rica zijn de data volgens de regelen der kunst gekopieerd naar het onderzoeksnetwerk van de Nederlandse politie. Ook hierin ligt geen reden te veronderstellen dat de data niet op forensisch verantwoorde wijze zijn veiliggesteld en ligt hierin geen grond om de data voor het bewijs uit te moeten sluiten.

Tijdstempels

Het feit dat die verschillen zich kunnen voordoen is al in een eerder stadium door de deskundigen in de binder Ennetcom & PGPSafe onderkend. Echter, daaruit volgt nog niet dat de inhoud van het bericht daarmee onjuist is.

De verdediging heeft voorts gesteld dat de onbetrouwbaarheid van de PGPSafeberichten onder meer blijkt uit de verschillen die zich soms voordoen bij de vermelding van de tijdstippen van verzending en ontvangst die aan die berichten zijn gekoppeld in de lijn van de verzender en die van de ontvanger.

Deze verschillen in tijdstempels kunnen zich bij voorbeeld al voordoen wanneer men zich op dat moment in verschillende tijdzones bevindt, verschillende bestuurssystemen worden gehanteerd, waardoor een doorgestuurd bericht anders wordt getypeerd en/of met een ander tijdstempel (gemodificeerd, benaderd, gecreëerd) wordt opgeslagen op de server of het toestel of de tijdsinstellingen van het toestel zelf anders zijn ingesteld. Hoewel dit meebrengt dat het tijdstip van verzenden respectievelijk ontvangen van een bericht altijd een kritische blik vereist, kan hieruit niet zonder meer en niet zonder nadere specifieke toelichting de onbetrouwbaarheid van (de inhoud van) die berichten afgeleid worden.

(Iets) meer duidelijkheid over Sky ECC-operatie

Sky Global was een Canadese aanbieder van versleutelde smartphones en de versleutelde berichtenapp “Sky ECC”. Het bedrijf installeerde versleutelingssoftware op iPhones, Google Pixels, Blackberry’s en Nokia’s. In 2021 had het bedrijf wereldwijd 70.000 gebruikers. Een toestel geconfigureerd voor het gebruik van de Sky ECC-app kostte tenminste € 729,-. Een abonnement op de Sky ECC app kostte € 2.200,- per jaar of € 600,- per 3 maanden.

Sky ECC is een chatapplicatie waarmee gebruikers op versleutelde wijze met elkaar kunnen communiceren en om dit te bereiken wordt PGP-software gebruikt. De applicatie wordt op een mobiele telefoon geïnstalleerd waarna, gebruikers met elkaar versleuteld kunnen communiceren. Bij Sky ECC kan dit alleen door middel van het uitwisselen van chatberichten. Ook is het mogelijk om foto’s en audioberichten uit te wisselen. Bellen is met een Skytelefoon niet mogelijk. Om van Sky ECC gebruik te kunnen maken krijgt iedere gebruiker een unieke combinatie van zes tekens welke bestaat uit cijfers en letters, de zogenoemde Sky-ID (User ldentifier). Dit unieke nummer is nodig om een gebruiker toe te voegen als contact.

Sinds februari 2021 kon de Belgische en Nederlandse politie de uitwisseling van versleutelde berichten live meelezen. In maart 2021 werden in België en Nederland invallen uitgevoerd, waarbij honderden mensen werden opgepakt en geld en drugs in beslag werden genomen. Volgens het OM zijn honderden miljoenen berichten (!) uitgelezen tijdens de operatie. In België alleen al zijn er naar verluidt meer dan 2.000 verdachten geïdentificeerd, waarvan er 360 aangehouden konden worden. Er lopen 268 strafonderzoeken waarin de gelekte berichten worden benut. Het gros daarvan, 192 zaken, zijn nieuwe dossiers dankzij de kraak (JDVS/RL, Al 2000 verdachten ontmaskerd na kraak misdaadtelefoons, HLN, 25 september 2021).

De CEO en werknemers van Sky Global werden in de Verenigde Staten aangeklaagd wegens het opzettelijk faciliteren van criminele organisaties (zie bijvoorbeeld dit artikel ‘Arrest warrants issued for Canadians behind Sky ECC cryptophone network used by organised crime’). Sinds 19 maart 2021 is Sky Global niet meer actief.

Feiten uit de rechtspraak

Uit verschillende uitspraken kan nu een beeld worden verkregen van het onderzoek “Werl” en het onderzoek “26Argus” dat is gericht op Sky ECC en de daaraan gelieerde (natuurlijke) personen wegens de verdenking van deelname aan een criminele organisatie en (gewoonte)witwassen. Ik baseer mij daarvoor de volgende uitspraken ECLI:NL:RBAMS:2021:3825, ECLI:NL:RBMNE:2021:4480, ECLI:NL:RBOVE:2021:3689, ECLI:NL:RBAMS:2021:6866, ECLI:NL:RBROT:2021:12655 (de uitspraak van de rechtbank Amsterdam van 26 november 2021 bevat de meeste feiten).

Onderzoek Werl

De rechtbank leidt uit de stukken af dat op 1 november 2019 het (Nederlandse) strafrechtelijk onderzoek Werl (naar het bedrijf SkyECC en de daaraan verbonden natuurlijke personen) is gestart. Ook in België en Frankrijk liepen in die periode strafrechtelijke onderzoeken tegen SkyECC. Het onderzoek Werl startte nadat in Frankrijk vanaf medio juni 2019 data van de toestellen van SkyECC waren verzameld met de inzet van een “interceptietool”, waaraan door Nederlandse opsporingsambtenaren technische expertise en/of bijstand is geleverd met betrekking tot de ontwikkeling en plaatsing daarvan. De in Frankrijk vergaarde informatie is aanvankelijk vrijwillig op basis van artikel 26 van het Cybercrimeverdrag gedeeld met het Nederlandse Openbaar Ministerie.

In de loop van 2019 hebben de opsporingsautoriteiten van Frankrijk, België en Nederland besloten om een JIT (Joint Investigation Team) op te richten, met als doel gezamenlijk de verdenkingen tegen SkyECC, zijn bestuurders en werknemers, alsmede de vermeende criminele samenwerkingsverbanden die gebruik maken van SkyECC te onderzoeken. Dit JIT werd op 13 december 2019 gerealiseerd. Het onderzoek Werl werd door Nederland in het JIT gebracht. Vanaf de start van het onderzoek Werl hebben de Franse autoriteiten de onderzoeksbevindingen die zij hebben verkregen met de inzet van de interceptietool gedeeld met het Nederlandse onderzoeksteam.

Onderzoek Argus

Toen duidelijk werd dat het mogelijk werd om het berichtenverkeer te ontsleutelen en leesbaar te maken, is vanuit het onderzoek Werl informatie gedeeld met het onderzoek Argus, dat op 11 december 2020 van start ging. Het onderzoek naar Sky ECC stond internationaal bekend als “Operatie Argus”. Het Nederlandse onderzoek “26Argus” heeft onder meer tot doel gehad om aan de hand van de inhoudelijke gegevens de criminele samenwerkingsverbanden die gebruik maakten van cryptotelefoons van Sky ECC in beeld te brengen en te analyseren door het identificeren van de gebruikers van Sky-accounts die deel uitmaken van die criminele samenwerkingsverbanden. Het berichtenverkeer liep via servers in Frankrijk en Canada.

Meer details over de wijze waarop de Franse autoriteiten de gegevens hebben verzameld van de SkyECC app en is (vooralsnog) niet te vinden in Nederlandse jurisprudentie.

Machtiging voor telecommunicatietap en hackbevoegdheid

Na een vordering van de zaaksofficier van justitie in het onderzoek Argus op 14 december 2020, is op 15 december 2020 door de rechter-commissaris bepaald dat, in verband met de inbreuk op de privacy van de gebruikers van SkyECC-toestellen in Nederland, de in dat onderzoek verkregen ontsleutelde informatie slechts kon worden gebruikt ter opsporing, indien daartoe een aanvullende toestemming door de rechter-commissaris werd verleend. Op 15 december 2020 is een dergelijke machtiging vervolgens ook verleend. Hierna zijn door de rechter-commissaris op vordering van de officier van justitie meerdere machtigingen tot verlenging verleend. De vorderingen en machtigingen zagen op de toepassing van de artikelen 126t lid 1 en 126t lid 6 Sv (onderzoek communicatie door middel van een geautomatiseerd werk bij georganiseerde criminaliteit) en later ook op aanvullende, ondersteunende vorderingen op de voet van artikel 126uba Sv (hackbevoegdheid bij verdenking betrokkenheid beramen/plegen misdrijven in georganiseerd verband). 

Voorwaarden machtiging

De rechtbank overweegt in een uitspraak van 26 november: ‘hoewel uit eerder onderzoek en uit de inzichtelijk gemaakte metadata van SkyECC blijkt dat de Sky-app wordt gebruikt bij het plegen van ernstige strafbare feiten die een ernstige inbreuk op de rechtsorde opleverden, is het enkele gebruik van een Sky-telefoon niet voldoende voor een redelijk vermoeden betrokkenheid bij georganiseerde misdrijven. Om deze reden bestaat het afgeven van de machtiging van de rechter-commissarissen uit twee fasen: (1) de te verkrijgen informatie wordt gefilterd aan de hand van vooraf door de rechter-commissaris goed te keuren zoeksleutels, waaronder de gebruikersgegevens van specifieke onderkende criminele samenwerkingsverbanden en/of vooraf vast te stellen zoektermen of afbeeldingen die sterke aanwijzingen leveren voor ernstige georganiseerde criminaliteit en (2) de langs die weg verkregen onderzoeksresultaten worden pas na toestemming van de rechter-commissaris gebruikt voor verder opsporingsonderzoek, en alleen indien wordt voldaan aan de eisen van artikel 126o/126t Sv.

Toegang tot inhoud onderliggende vorderingen en aanvragen

De verdediging heeft verzocht om de voor Argus verleende machtiging van de Nederlandse rechter-commissaris en de daaraan ten grondslag liggende vorderingen en aanvragen te verstrekken. Het Openbaar Ministerie stelt dat de onderzoeksbelangen in andere onderzoeken naar criminele samenwerkingsverbanden onherstelbaar kunnen worden geschaad bij het openbaar maken van de aanvraag, de vordering en de machtiging. Het Openbaar Ministerie beroept zich er voorts op dat de rechter-commissaris heeft geoordeeld dat het opnemen van vertrouwelijke communicatie proportioneel en subsidiair is.

De rechtbank acht verstrekking van de machtiging voor een deel noodzakelijk. Een deel van de door de rechter-commissaris in Argus verleende machtigingen en verlengingen daarvan (deels zwart) zijn al ter beschikking is gesteld. Hiervoor wordt verwezen naar de brief van de officieren van justitie van 17 september 2021. De rechtbank is van oordeel dat aanleiding bestaat om het Openbaar Ministerie te bevelen ook de onderliggende vorderingen uit het onderzoek Argus beschikbaar te stellen. De verwerking van de SkyECC-data uit het onderzoek Argus kan mogelijk bijdragen aan een verdenking jegens verdachten. Kennisneming van de stukken die zien op de verwerking van de interceptiedata, kan daarom in het belang van de verdediging zijn met betrekking tot eventueel te voeren rechtmatigheidsverweren. Daarnaast wil de rechtbank nader geïnformeerd worden over de afweging die de rechter-commissaris in het concrete geval heeft gemaakt en de informatie die hij daarbij tot zijn beschikking had.

(Poging tot) Huurmoord via het dark web

In het laatste iOCTA-rapport (2021) (zie dit blogbericht) stond op p. 36 de volgende passage:

“Weapons appear to be traded increasingly on encrypted chat applications, such as Telegram and Wickr, but sold slightly less on Dark Web marketplaces. (…) several EU law enforcement agencies mentioned hitmen being ordered and weapons purchased on the Dark Web being seized. Several similar cases were reported in the media. For example, in the Netherlands a person was sentenced to 8 years’ imprisonment for several attempts to order a contract killing via platforms on the Dark Web and encrypted chat application

Deze laatste zin trok uiteraard mijn aandacht, maar ik kon er niet zo snel mediaberichten over vinden. Het is alweer te lang geleden voor mijn cybercrime jurisprudentieoverzicht, maar ik vond de zaak te interessant om te laten liggen, dus hierbij een samenvatting.

Het deed mij overigens wel denken aan het boek ‘The darkest web’ van @EileenOrmsby. Dat gaat ook (o.a.) over huurmoorden via het dark web (en vermoedelijk allemaal ‘scams’ waren).

Veroordeling tot uitlokking van moord op echtgenote via het dark web

Op 1 maart 2021 heeft de rechtbank Den Haag een 37-jarige man tot 8 jaar gevangenisstraf veroordeeld (ECLI:NL:RBDHA:2021:1744) voor meerdere pogingen tot uitlokking van moord op zijn echtgenote via het Darkweb en via chatgesprekken. De verdachte heeft stelde een geldbedrag van 4000 dollar in het vooruitzicht voor het plegen van de moord op zijn ex-vriendin in Amsterdam.

Feiten

De zaak ging aan het rollen door bericht van de politie uit het Verenigde Koninkrijk:

“The Metropolitan police have received information relating to the Dark Web.

The Dutch case concerns the following possible victim

(…)

Payment

• [naam 5] on [naam 1] added 0.01060414 BTC on Jun 13 10:09

• [naam 5] on [naam 1] added 0.201 BTC on Jun 13 6:31

Total = 0.21160414 ~= $1976.36, half of an agreed $4000 total.

De verdachte heeft een bekennende verklaring afgelegd.

In het proces-verbaal van bevindingen zijn de volgende details te lezen:

De verdachte heeft op een website op het dark web het volgende bericht geplaatst:

“Name S Address Target lives in The Hague and works in Amsterdam. Preference hit: Amsterdam Living area: [adres] across is an entrance of a private parking-lot. Target leaves with the car from there. Car: Red colour [merk auto] , plate: [kenteken] . Send 0.41 Bitcoin. Description: Target is a simple easy person, but high risk putting me in jail. Target needs to be eliminated asap, therefore a bonus reward of 500 if target is eliminated within upcoming weekend before Sunday the 14th of June.

Waarop het volgende antwoord volgde van de websitebeheerder:

“Admin: Date 2020-06-09 12:29:40 Message: Hi, Your new job request has been received and saved. We will check with an appropriate vendor near the location of your mark whether it can be done or not. ln the meantime please prepare bitcoins, we need to see that you have funds ready, sometimes kids or trolls do jokes and are not serious about their job. Once the job has been completed you will receive a link with the proof and a link to release the payment to the vendor. Please reply if you need to share any thoughts. Best regards [naam 6]”

En daarop het bevestigende antwoord van de verdachte:

[ [naam 5] ] Date 2020-06-09 12:39:33 Message: Admin, Beneath the job requested. Ill like to inform about the possibility to get this job done within upcoming weekend. A picture will be added soon with also the bitcoins. As agreed upon, 2000 USD upfront and 2000 USD when the job is done. I add another 500 when the job is done within given timeframe. As the hitmen is assigned and gives the clearance that the job will be done for certain, Ill add up the remaining of the first 2000 USD bitcoins. Please keep me updated, as more info for more jobs needs to be prepared.

Na betaling van een deel van het geld bleek de hitmen niet tot zijn daad over te gaan. Hij eist daarop een “refund”:

Admin: Date 2020-06-12 10:02:53 Message: This hitman is really good on this line of work and I am 100% positive that he will complete the job in the weekend…. So please give him a try. You wont be sorry… in the weekend the woman will be dead.

[ [naam 5] ] Date 2020-06-12 Message: please inform the hitmen to proceed executing the job.

(…)

[ [naam 5] ] Date 2020-06-27 00:01:33 Message: Admin, It has been more than two weeks as a gave the job. And now more than a week from the last update. The mark is still not eliminated. Will the hitman complete the job or not? Otherwise I want a refund, as this job is taking too long before completing.”

(de verdachte heeft ook via een chatapplicatie getracht een huurmoord te regelen, zo blijk uit de verdere bewijsoverwegingen en geciteerde stukken uit het proces-verbaal).

Veroordeling en straf

De rechtbank is van oordeel dat sprake van een poging tot uitlokking van moord en niet slechts van voorbereidingshandelingen daartoe, omdat is voldaan aan het ‘proberen een ander te bewegen’ als bedoeld in artikel 46a Sr met de enkele vraag aan de onbekende persoon of hij een moord kan (laten) plegen op zijn vrouw en daartoe geld in het vooruitzicht te stellen.

Op grond van de bewijsmiddelen en hetgeen hiervoor is overwogen is de rechtbank van oordeel dat wettig en overtuigend bewezen is dat de verdachte heeft geprobeerd een ander uit te lokken om het slachtoffer te (laten) vermoorden door het verschaffen van giften, beloften en inlichtingen in de periode van 4 juni 2020 tot en met 1 juli 2020.

De verdachte is strafbaar, omdat er tevens geen andere feiten of omstandigheden aannemelijk zijn geworden die zijn strafbaarheid uitsluiten.

Dat het uiteindelijk niet tot een uitvoering van de moord is gekomen is niet aan de verdachte te danken, maar aan het enkele feit dat de opdrachtnemer geen uitvoering heeft gegeven aan zijn verzoek. De verdachte zag een huurmoord op zijn vrouw als aangewezen weg in verband met de voor hem emotioneel beladen echtscheiding. Uit het dossier blijkt dat de verdachte ook heeft geprobeerd om aan een hoeveelheid drugs te komen om in de auto van zijn vrouw te leggen zodat na betrapping de kinderen mogelijk aan hem zouden worden toegewezen.

De rechtbank overweegt verder dat: ‘een ander opzettelijk van het leven (laten) beroven, een van de ernstigste misdrijven is die het Wetboek van Strafrecht kent. Als het delict voltooid wordt, zijn de gevolgen ervan onomkeerbaar, maar ook als het blijft bij een poging zijn de gevolgen voor het slachtoffer en zijn naasten groot. Daarnaast leiden dergelijke delicten tot grote beroering en gevoelens van angst en onrust in de maatschappij.

Deze zeer ernstige feiten hebben een diepe impact gehad op het leven van de vrouw van de verdachte en hun twee kinderen, zoals ook is gebleken uit de schriftelijke slachtofferverklaring. Als gevolg hiervan leven zijn vrouw en kinderen nog elke dag in angst en hebben zij moeten onderduiken en hun vertrouwde woonomgeving moeten verlaten, omdat lang onduidelijk is geweest of de moordopdracht nog zou worden uitgevoerd. Het handelen van de verdachte zal dan ook nog lange tijd grote gevoelens van onveiligheid en onbegrip meebrengen. De kinderen van de verdachte zullen bovendien in hun ontwikkeling worden beperkt door de gedachte dat hun eigen vader tot zoiets in staat is geweest.’

De verdachte wordt veroordeeld voor een gevangenisstraf voor de duur van 8 jaar en wijst een schadevergoeding toe aan het slachtoffer van  € 41.813,62.

iOCTA-rapport 2021

Op 11 november 2021 verscheen het nieuwe ‘internet Organised Crime Threat Assessment’ (iOCTA) (.pdf) rapport van Europol. In dit blogbericht geef ik een overzicht van de – naar mijn mening- meest opvallende bevindingen uit het rapport.

‘Grey infrastructure’

Het Europol rapport besteed vrij veel aan het fenomeen van ‘grey infrastructure’. Zij beschrijven dit als diensten die zich vaak bevinden in landen met sterke ‘privacywetten’ of met ‘een geschiedenis van niet-werken met internationale opsporingsautoriteiten’. Zij worden gebruikt door criminelen en er wordt mee geadverteerd op criminele forums.

Europol wijst erop dat ook legitieme diensten veelvuldig door cybercriminelen worden gebruikt voor hun eigen doelen van: veilig communiceren, anonimiteit en witwassen. Zij wijzen op apps met sterke end-to-end versleuteling. De hoeveelheid gebruikersgegevens en verkeersgegeven die daarbij over gebruikers wordt door de diensten wordt opgeslagen is gering, waardoor ook een geringe hoeveelheid gegevens kan worden gevorderd.

Europese opsporingsdiensten richten zich volgens het rapport steeds meer op diensten die cybercriminelen zoveel mogelijk beschermen van opsporingsdiensten. Recente voorbeelden zijn de ‘takedowns’ van ANON, Sky ECC, EncroChat, VPN-diensten en cryptocurrency mixers. Het zijn volgens Europol voorbeelden van ‘grijze infrastructuur’ waar cybercriminelen gebruik van maken. Interessant is ook de zin:

“Hoewel niet alle gebruikers van deze diensten per definitie criminelen zijn, is een dermate grote hoeveelheid van de activiteiten van de diensten crimineel, dat – nadat voldoende bewijs wordt gevonden van ‘crimineel misbruik’ – deze diensten als criminele organisaties te bestempelen zijn”.

Europol noemt de take down van ‘Double VPN’ en ‘Safe-Inet’ als voorbeelden hiervan, net als de ‘cryptophone-operaties’.  

Malware

Uit het rapport blijkt dat ransomware nog steeds het grootste probleem is op het gebied van cybercrime in enge zin. Net als vorig jaar zet de trend zich voort dat ransomware zich niet ongericht, massaal verspreid, maar wordt ingezet voor meer gerichte aanvallen op grote organisaties. Ook gebruiken cybercriminelen ander pressiemiddelen naast de versleuteling van gegevens, zoals het bellen van journalisten, klanten of zakelijke klanten van het slachtoffer over de aanval via VoIP-lijnen. Sommige ransomware-groepen publiceren gegevens van werknemers van de slachtoffers.

‘Conti’, ‘Maze’, en ‘Babuk’ zijn voorbeelden van ransomware die zich richten op grote organisaties. ‘Ryuk’ is berucht omdat het zich specifiek richt op organisaties binnen de gezondheidszorg. De cybercriminele organisaties achter ransomware lijken zich ervan bewust zich meer in de kijkers te hebben gespeeld van opsporingsorganisaties. Sommige organisaties beperken daarom hun ‘partners-in-crime’ in de aan te vallen doelen. ‘DarkSide’ heeft bijvoorbeeld aangekondigd geen vitale infrastructuur meer aan te vallen na de ‘Colonial Pipelines’-aanval en Sodinobiki (ook bekend als ‘REvil’) verbiedt aanvallen op sociale- en overheidsinstellingen.

Het cybercrime-centrum van Europol legt haarfijn uit dat geen individuele hackers achter ransomware zitten, maar hele organisaties. Doorgaans bieden de makers van de ransomware de software aan ‘klanten’ (Ransomware-as-a-service), waarbij de winst wordt verdeeld. Ook worden gecompromitteerde systemen verkocht aan anderen die de systemen vervolgens infecteren met de (ransom)malware naar keuze. Europol benadrukt dat opsporingsinstanties niet alleen achter de ‘eindgebruikers’ van de ransomware aan moeten gaan, maar zich moeten richten op de sleutelfiguren die malware via platformen verkopen, in internationaal gecoördineerde acties met andere opsporingsinstanties.

Ddos-attacks

‘DDoS-for-ransom’ lijkt terug van weggeweest. Cybercriminelen maken daarbij ook misbruik van de reputatie van bekende ‘Advanced Persistent Threats’ (APT’s), zoals ‘Fancy Bear’ en ‘Lazarus’, om de slachtoffers er sneller toe te bewegen het afpersgeld te betalen. De cybercriminelen richten zich op internet service providers (ISP’s), financiële instellengen (banken) en midden-en-klein bedrijven (de MKB-sector). Als het niet wordt betaald, leidt dat niet altijd tot de daadwerkelijke uitvoering van de ddos-aanval, hoewel in sommige gevallen het tot serieuze consequenties heeft geleid, zoals de aanval op de effectenbeurs van Nieuw-Zeeland.

Online kindermisbruik  

Over online seksueel misbruik viel het mij op dat grooming toeneemt op online gaming platformen (en uiteraard op sociale mediadiensten, maar dat is niet nieuw). Ook is de verspreiding van kinderpornografie via peer-to-peer platformen is volgens Europol significant toegenomen, terwijl het voor de normale internetgebruiker niet zo vaak meer lijkt te worden gebruikt. Darkweb websites zijn nog steeds een belangrijk platform voor verspreiding van afbeeldingen van online seksueel geweld. Als voorbeeld wordt het platform ‘Boystown’ genoemd, die offline is gehaald onder leiding van het Bundeskriminalamt (BKA) en opsporingsdiensten uit Australie, Canada, Zweden, de Verenigde Staten én Nederland. De website met kindermisbruik had meer dan 400.000 geregistreerde gebruikers.

Dark web-gebruikers maken daarnaast steeds vaker gebruik van ‘Wickr’ en Telegram als communicatiekanalen voor ‘Child Sexual Abuse Material’ (CSAM).

Helaas is de omzet van commerciële websites gericht op seksueel geweld tegen kinderen volgens Europol verdriedubbeld tussen 2017-2020. Voor betaling worden vaak cryptocurrencies gebruikt. Het komt voor dat daders direct minderjarigen betalen voor zelfgemaakt materiaal.

Europol probeert in de rapporten zoals elk jaar ook voorzichtig beleidsadvies mee te geven. Het meest opvallend vond ik dit jaar de boodschap dat ‘online undercover operaties steeds belangrijker worden in opsporingsonderzoeken naar cybercrime’. De reden is dat cybercriminelen steeds betere ‘operational security’ (OPSEC) aanhouden. Europol observeert dat het lastig infiltreren is op – met name – websites met materiaal van seksueel geweld, vanwege strikte toegangsregels en nationale regels van landen die beperkingen opleggen om op die websites te infiltreren. “The importance of undercover activities needs to be recognized”, aldus Europol. Daarbij wijs ik natuurlijk graag op mijn eerdere publicaties hierover (zie bijvoorbeeld het artikel ‘Facebookvrienden worden met de verdachte’). 

Hoofdstukken uit het boek ‘Cybercriminaliteit’ in open access beschikbaar

Op 1 november 2020 verscheen het Basisboek Cybercriminaliteit, onder redactie van Wytkse van der Wagen, Marleen Weulen Kranenborg en mijzelf. Het studieboek wordt veel gebruikt in vakken voor de opleiding criminologie bij verschillende Nederlandse universiteiten. Het boek verschaft ook basiskennis voor strafrechtstudenten en professionals uit de praktijk.

Nu de embargoperiode voorbij is, mag ik van Boom Uitgevers twee hoofdstukken publiekelijk beschikbaar stellen. Het gaat om de hoofdstukken ‘Verschijningsvormen van cybercriminaliteit’ (.pdf) en ‘Cybercriminaliteit en opsporing’ (.pdf).

De andere hoofdstukken, bijvoorbeeld over criminologische theorieën en cybercriminaliteit, daders, slachtoffers en interventiestrategieën zijn niet in open access beschikbaar, maar het boek is voor een schappelijke prijs beschikbaar bij uw boekhandel (of o.a. bol.com).

Als er vragen of opmerkingen zijn over het boek (en met name natuurlijk over de onderstaande hoofdstukken), dan hoor ik het graag per e-mail (te vinden op mijn UU-pagina). Wellicht volgt er volgend jaar een nieuwe druk waar we de opmerkingen in kunnen meenemen.

Inhoudsopgave

3             Verschijningsvormen van cybercriminaliteit

Jan-Jaap Oerlemans & Wytske van der Wagen

3.1 Inleiding

3.2 Cybercriminaliteit in enge zin

3.2.1 Hacken

3.2.2 Malware

3.2.3 Botnets

3.2.4 Ddos-aanvallen

3.3 Gedigitaliseerde criminaliteit

3.3.1 Internetoplichting

3.3.2 Online drugshandel

3.3.3 Witwassen en virtuele valuta

3.3.4 Online zedendelicten

3.4 Toekomstige ontwikkelingen

3.5 Tot besluit

3.6 Discussievragen

3.7 Kernbegrippen

Bijlage: Overzicht van relevante delicten

Citeerwijze:

J.J. Oerlemans & W. van der Wagen, ‘Verschijningsvormen van cybercriminaliteit’, p. 55-105 in: W. van der Wagen, J.J. Oerlemans & M. Weulen Kranenbarg (red.), Basisboek Cybercriminaliteit, Den Haag: Boom criminologie 2020.

Inhoudsopgave

7             Cybercriminaliteit en opsporing

Jan-Jaap Oerlemans

7.1 Inleiding

7.2 Het opsporingsonderzoek en normering van opsporingsmethoden

7.2.1 De organisatie van opsporing naar cybercriminaliteit in Nederland

7.2.2 De politie

7.2.3 Openbaar Ministerie

7.2.4 Rechterlijke macht

7.2.5 De IRT-affaire

7.2.6 Stelsel van normering van bijzondere opsporingsbevoegdheden

7.3 Het IP-adres als digitaal spoor

7.3.1 Het opsporingsproces bij een IP-adres als digitaal spoor

7.3.2 Het vorderen van gegevens

7.3.3 Inbeslagname en onderzoek op gegevensdragers

7.3.4 Regels voor de doorzoeking en inbeslagname van gegevensdragers

7.3.5 De netwerkzoeking

7.3.6 Online doorzoeking

7.4 Opsporingsmethoden en de uitdaging van anonimiteit

7.4.1 Proxy- en VPN-diensten

7.4.2 Tor

7.4.3 Openbronnenonderzoek

7.4.4 Undercover bevoegdheden

7.5 Opsporingsmethoden en de uitdaging van versleuteling

7.5.1 Versleuteling in opslag

7.5.2 Versleuteling in transport

7.5.3 De hackbevoegdheid

7.6 Jurisdictie en grensoverschrijdende digitale opsporing

7.6.1 Wetgevende jurisdictie

7.6.2 Handhavingsjurisdictie

7.6.3 Unilaterale digitale opsporing

7.6.4 Toekomstige ontwikkelingen van grensoverschrijdende digitale opsporing

7.7 Verstoring van cybercriminaliteit

7.8 Tot besluit

7.9 Discussievragen

7.10 Kernbegrippen

Bijlage: Overzicht van relevante dwangmiddelen en bijzondere opsporingsbevoegdheden

Citeerwijze:

J.J. Oerlemans, ‘Cybercriminaliteit en opsporing’, p. 195-258 in: W. van der Wagen, J.J. Oerlemans & M. Weulen Kranenbarg (red.), Basisboek Cybercriminaliteit, Den Haag: Boom criminologie 2020.

Cybercrime jurisprudentieoverzicht november 2021

Ontoegankelijkheidsmaking Telegram-kanaal

Op 8 oktober 2021 heeft een rechter-commissaris van de rechtbank Den Haag een beschikking gewezen over het ontoegankelijk maken van een Telegram-kanaal. De beslissing kreeg veel media-aandacht (zie bijvoorbeeld dit bericht en dit bericht) (niet altijd juridisch juist overigens door een onduidelijk persbericht, zie ook de blogs van Ius Mentis).

De rechter-commissaris wijst het verzoek op grond van art. 181 jo 125p Sv toe en verleent aan de officier van justitie een machtiging tot het bevel aan een medewerker van de politie om via de telefoon van de verdachte de gegevens in drie Telegram-groepen ontoegankelijk te maken. Onder meer de verdachte is eigenaar en beheerder van deze Telegram-groepen. Volgens de rechter-commissaris is aannemelijk geworden dat, vanwege de in de vordering beschreven omstandigheden, de aanbieder niet meewerkt aan een vordering.

Het ‘ontoegankelijkheidsmakingsbevel’ in artikel 125p Sv is met de Wet computercriminaliteit III gewijzigd. Het idee is volgens de memorie van toelichting wel dat het bevel pas wordt ingezet als de elektronische communicatiedienstverlener geen opvolging geeft aan een verzoek op vrijwillige basis actie te ondernemen (Kamerstukken II 2015/16, 34372, nr. 3, p. 57). De rechter-commissaris overweegt dat in het artikel staat dat een aanbieder van een communicatiedienst maatregelen moet nemen om die gegevens ontoegankelijk te maken, terwijl deze vordering ertoe strekt dat een opsporingsambtenaar dat doet. Toch acht de rechter-commissaris dat verschil niet wezenlijk en gaat hij of zij tot een ‘analoge toepassing’ van artikel 126p Sv over, zodat tot de beëindiging en voorkoming van ernstige strafbare feiten kan worden overgegaan.

Hier gaat het om Telegramkanalen waarbij een persoon in verband wordt gebracht met satanisch-pedofiele misdrijven. De verdachte is veroordeeld alle gedane uitlatingen binnen 48 uur te verwijderen en verwijderd te houden. In de Telegram-groep worden echter vergelijkbare berichten en video’s verspreid. Het voortzetten van de strafbare feiten acht de rechter-commissaris in strijd met de openbare orde. De vordering strekt ertoe dat dat wordt voorkomen. Wel erg kort overweegt de rechter-commissaris dat ‘naar het oordeel van de rechter-commissaris is daarmee aan de eisen van proportionaliteit en subsidiariteit voldaan’.

Hof Den Haag legt meer beperkingen op bij doorzoeken smartphones

In een arrest (ECLI:NL:GHDHA:2021:1873) van 26 augustus 2021 over grootschalige oplichting via Markplaats en computervredebreuk, verfijnt het Hof Den Haag het Smartphone-arrest van de Hoge Raad van 4 april 2017 (ECLI:NL:HR:2017:584).

Indien het onderzoek van de gegevens op een digitale gegevensdrager zo verstrekkend is dat op voorhand is te voorzien dat een min of meer compleet beeld kan worden verkregen van bepaalde aspecten van het persoonlijk leven van de gebruiker van die gegevensdrager, dan dient de rechter-commissaris – die de inbeslaggenomen gegevensdragers voor onderzoek overdraagt aan een opsporingsdienst – te bepalen of er beperkingen aan dat onderzoek moeten worden verbonden.

“Bij die beslissing en bij het bepalen van aard en omvang van die eventuele beperkingen zullen factoren als de ingrijpendheid van de inbreuk op de persoonlijke levenssfeer van de gebruiker van de betreffende gegevensdragers door het onderzoek en de proportionaliteit en subsidiariteit van de te verrichten onderzoekshandelingen in relatie tot de aard en omvang van de verdenking waarop het onderzoek betrekking heeft een rol kunnen spelen. Daarbij kan onder meer worden gedacht aan beperkingen betreffende het aantal te onderzoeken gegevensdragers, beperkingen betreffende de te onderzoeken gegevens (zoals afbeeldingen, communicatie, internetgedrag et cetera) en beperkingen betreffende de periode waarbinnen de te onderzoeken gegevens zijn gegenereerd of op de betreffende digitale-gegevensdrager terecht zijn gekomen. Ook kan worden gekozen voor fasering van toegestane onderzoekshandelingen doordat de rechter-commissaris eventueel tussentijds beslist tot uitbreiding of (verdere) beperking van het toegestane onderzoek.”

In het onderhavige geval heeft een dergelijke toetsing niet kenbaar plaatsgevonden. In de eerste fase is op 24 februari 2016 hoofdzakelijk een aantal Skype-gesprekken onderzocht, maar deze waren niet gericht op de verdachte, waardoor niet onrechtmatig is gehandeld jegens hem. In de tweede fase zijn op 13 april 2016 de hiervoor weergegeven digitale gegevensdragers onderzocht louter ter vaststelling van de identiteit van de gebruiker daarvan. Bij gebreke van andere mogelijkheden voor die vaststelling dan het onderzoeken van een beperkt aantal gegevens op de verschillende digitale gegevensdragers had de rechter-commissaris hiervoor toestemming mogen geven, zodat het hof dit onderzoek niet onrechtmatig acht. Nadien zijn alle gegevensdragers uitvoerig onderzocht. Gegeven de zeer forse omvang van de strafbare feiten waarop het tegen de verdachte ingestelde onderzoek betrekking had en de vrijwel uitsluitend digitale aard van die strafbare feiten en daarmee ook van de mogelijke aanwijzingen van betrokkenheid van de verdachte daarbij, had de rechter-commissaris ook hiervoor toestemming mogen geven, zodat het hof ook dit onderzoek niet onrechtmatig acht.

Ten aanzien van de inbeslaggenomen BTC 0,549 gelast het hof de teruggave aan verdachte. Het hof stelt vast dat dit geldbedrag is aangetroffen in een ‘wallet’ op een Asus laptop. De vraag die de verdediging aan het hof voorlegt is welke waarderingsgrondslag dient te worden gehanteerd om de tegenwaarde van de bitcoins in euro’s te berekenen. Tot een dergelijke waardebepaling is de rechter niet bevoegd. Bij arrest van heden in de zaak van een medeverdachte heeft het hof de teruggave van de Asus laptop aan verdachte gelast. Wanneer de last tot teruggave betrekking heeft op een voorwerp dat reeds is vervreemd – en aldus teruggave daarvan feitelijk niet meer mogelijk is –, dan is art. 119, lid 2, Sv ingevolge art. 353, lid 3, Sv van overeenkomstige toepassing. De omstandigheid dat art. 119, leden 1 en 2, Sv van overeenkomstige toepassing is, brengt mee dat de last tot teruggave is gericht tot de bewaarder van het voorwerp. In geval het voorwerp tegen baat is vervreemd, zal de bewaarder vervolgens overgaan tot uitbetaling van de verkregen opbrengst.

De verdachte wordt in hoger beroep veroordeeld voor 21 maanden gevangenisstraf.

Oprichter Ennetcom B.V. veroordeeld

De rechtbank Rotterdam heeft op 21 september 2021 een oprichter van Ennetcom B.V. veroordeeld (ECLI:NL:RBROT:2021:9085) voor deelname aan een criminele organisatie, gewoontewitwassen, medeplegen van valsheid in geschrift en verboden munitie- en wapenbezit. Daarbij heeft de bestuurder een flinke gevangenisstraf opgelegd gekregen van 54 maanden. De uitspraak is interessant en relevant, omdat het veel verweren van de verdediging bevat die ook in toekomstige EncroChat- en SkyECC-zaken gaan spelen. Het voert te ver in dit bericht op alle verweren in te gaan. Daarom worden de nieuwe en interessante verweren uitgelicht. Zie ook dit nieuwsbericht in het Parool over de zaak.

De verdediging heeft haar stelling dat het Openbaar Ministerie de data slechts heeft gekopieerd om inzage te verkrijgen in alle inhoudelijke communicatie van gebruikers van telefoons en daarmee sprake is van misbruik van bevoegdheden ‘detournement de pouvoir’ volgens de rechtbank niet voldoende onderbouwt. De rechtbank is daarom van oordeel dat de dataset niet door middel van machtsmisbruik of in strijd met fundamentele rechtsbeginselen is verkregen. Het opsporingsonderzoek richtte zich volgens het Openbaar Ministerie op de verdachte rechtspersoon en op de rol van de medeverdachte. Teneinde die strafrechtelijke hypothese te onderzoeken, is het onderzoek gericht op de geldstromen en de digitale infrastructuur van de entiteiten; de servers daaronder begrepen. Voor de verdenking en vervolging van witwassen is het immers van belang dat komt vast te staan dat (een groot deel van) de klanten van de verdachte in de criminaliteit actief zijn en dat dus de omzet van de verdachte direct of indirect afkomstig is uit (enig) misdrijf. Daar komt volgens de rechtbank bij dat de door de verdediging gestelde schending van grondrechten van onbekende derden en het gegeven dat de communicatie van de medeverdachte in andere onderzoeken terecht is gekomen, geen van alle schending opleveren van enig concreet belang van de verdachte rechtspersoon in deze zaak.

De verdediging heeft aangevoerd dat artikel 125i Sv onvoldoende grondslag biedt voor de verkrijging van de data. Het doel van de inzet was immers de verkrijging van onder meer inhoudelijke communicatie tussen de gebruikers en hun contacten. De rechtbank overweegt dat artikel 125la Sv voorschrijft dat in de vast te leggen gegevens die worden aangetroffen bij een doorzoeking op grond van artikel 125i Sv en vergt bovendien een machtiging van de rechter-commissaris. Deze voorwaarden bieden, analoog aan het briefgeheim, extra bescherming aan de verzenders en ontvangers van berichten, die ervan uit mogen gaan dat hun berichten tijdens het ‘transport’ niet zomaar mogen worden gelezen. De rechtbank acht ook artikel 125la Sv van toepassing. Bij het aantreffen van de e-mails mocht de politie dus slechts kennisnemen van de inhoud daarvan voor zover deze klaarblijkelijk van de verdachte rechtspersoon afkomstig waren, voor hem bestemd waren, op hem betrekking hebben of tot het begaan van het strafbare feit hebben gediend, ofwel klaarblijkelijk met betrekking tot die gegevens het strafbare feit is gepleegd. Bovendien was een machtiging van een rechter-commissaris noodzakelijk voorafgaand aan kennisname van de inhoud van de berichten. Het staat vast dat de officier van justitie een dergelijke machtiging niet heeft gevraagd. De rechtbank volstaat met de constatering dat dat sprake is van een vormverzuim, mede omdat de verdachte rechtspersoon niet in haar verdedigingsbelangen geschaad, anders dan dat belastende berichten en notities in het dossier zijn gebruikt.

Het verweer dat de verdediging niet in de gelegenheid is gesteld om de data-analyse inhoudelijk te controleren, verwerpt de rechtbank, omdat de verdediging meer dan eens keren is uitgenodigd om specifiek te benoemen welke data men wenste in te zien, dan wel onder toezicht toegang tot de volledige data te krijgen. De rechtbank onderkent dat het verkrijgen en onderzoeken van dergelijke grote datasets een bedreiging kan vormen van het recht op gelijke proceskansen. De rechtbank is het ook eens met de verdediging dat zij in het kader van het recht op een eerlijk proces (en dus gelijke proceskansen) moet kunnen controleren of de door Hansken geproduceerde resultaten betrouwbaar zijn. Daartoe mag van de verdediging echter wel worden verwacht dat zij concreet maakt op welke punten deze controle – al dan niet door een deskundige – moet plaatsvinden en dat heeft de verdediging nagelaten.

Veroordeling voor GGD-datadiefstal

Op 14 september 2021 heeft de rechtbank Midden-Nederland een verdachte veroordeeld (ECLI:NL:RBMNE:2021:4419) voor computervredebreuk, vanwege het binnendringen in het CoronIT-systeem, het overnemen van de gegevens van 98 personen en vervolgens tegen betaling beschikbaar stellen van die gegevens via Snapchat, Instagram, Facebook en Telegram. Het CoronIT-systeem is ontwikkeld voor de GGD ten behoeve van het maken van testafspraken, het uitvoeren van bron- en contactonderzoek omtrent Covid-19 besmettingen en het inplannen van afspraken voor vaccinaties. Via Telegram, Snapchat en Whatsapp heeft de verdachte ook gegevens gedeeld met derden. De verdachte heeft hiervoor €50,- aan Bitcoin ontvangen. De verdachte wordt door de rechters veroordeeld tot een gevangenisstraf van 10 maanden, waarvan 5 maanden voorwaardelijk met een proeftijd van 2 jaar.

Zeer interessant is de overweging omtrent computervredebreuk. De verdachte had uit hoofde van zijn werk voor de GGD rechtmatig toegang tot het CoronIT-systeem, en vrije toegang tot de personeelsgegevens. Daarom is het de vraag of sprake is van wederrechtelijk binnendringen in een geautomatiseerd werk. De rechtbank overweegt dat met de strafbaarstelling in artikel 138ab van het Wetboek van Strafrecht aansluiting is gezocht bij de bestaande strafbaarstelling betreffende de huisvredebreuk. Een wachtwoord kan daarbij worden aangemerkt als een sleutel die de gebruiker toegang geeft tot het systeem of tot een deel daarvan. Wanneer de autorisatie die verleend is voor delen van het geautomatiseerde werk wordt overschreden, kan een sleutel, door het onbevoegd gebruik maken daarvan, een valse sleutel worden. Aan de verdachte was deze toegang tot het CoronIT-systeem verschaft om, uitsluitend in het kader van de uitoefening van zijn werk enkel en alleen de gegevens in te zien van de personen met wie hij via de test- en vaccinatielijn contact had. De verdachte heeft een cursus gevolgd waarin werd uitgelegd hoe hij moest omgaan met persoonsgegevens en heeft een geheimhoudingsverklaring getekend. De gegevens van personen die niet via de test- en vaccinatielijn met verdachte in contact werden gebracht, behoefde en behoorde verdachte niet in te zien. Hieruit volgt volgens de rechtbank dat de verdachte weliswaar was geautoriseerd, maar onbevoegd ter zake van de gegevens van de personen die hij op eigen initiatief heeft opgezocht, zich opzettelijk en wederrechtelijk de toegang heeft verschaft tot het CoronIT-systeem. De verdachte wist dat hij zich in een beveiligd systeem bevond en heeft doelbewust de beveiliging van dat systeem doorbroken, met een ander doel dan het uitvoeren van zijn werkzaamheden. Daarmee is opzettelijk en wederrechtelijk een geautomatiseerd werk binnengedrongen met behulp van een valse sleutel. Dat betekent dan ook dat verdachte zich schuldig heeft gemaakt aan computervredebreuk, zoals omschreven in artikel 138ab Sr.

Voor de onderbouwing van dit standpunt verwijst de rechtbank naar het arrest van het Hof Den Bosch 4 mei 2020, ECLI:NL:GHSHE:2020:1514 en de conclusie van AG Spronken bij de Hoge Raad van 31 augustus 2021, ECLI:NL:PHR:2021:777. De Advocaat-Generaal toont in rechtsoverweging 5.30 de zelfreflectie dat

“de reikwijdte van het wederrechtelijk binnendringen zoals strafbaar gesteld in art. 138ab lid 1 Sr potentieel erg groot wordt. Immers een werknemer die uit nieuwsgierigheid grasduint in de voor hem met wachtwoord toegankelijke systemen zal dat (op basis van interne regels) al snel onbevoegd kunnen doen, omdat dit niet altijd (strikt) noodzakelijk is voor de functie-uitoefening. Ook indien de gegevens alleen worden bekeken en niet overgenomen zal reeds sprake zijn van het overtreden van het bepaalde in art. 138ab lid 1 Sr (het binnendringen).”

Zoals subsidiair ook ten laste is gelegd kon mogelijk ook het opzettelijk en wederrechtelijk overnemen van niet-openbare gegevens uit een geautomatiseerd werk (artikel 138c Sr) worden bewezen. Deze bepaling is ook bedoeld voor gevallen waarin de dader rechtmatige toegang heeft tot de gegevens, maar deze wederrechtelijk overneemt (Kamerstukken II 2015/16, 34372, nr. 3, p. 64). Voor dit een artikel staat een lagere gevangenisstraf dan voor computervredebreuk. Als de gegevens vervolgens ter beschikking worden gesteld (via WhatsApp) bijvoorbeeld zou overigens ook sprake kunnen zijn van het delict ‘heling van gegevens’ (139g Sr), maar dat is in deze zaak niet ten laste gelegd.

Veroordeling grooming virtuele minderjarige

De rechtbank Gelderland veroordeelde op 13 september 2021 een 62-jarige verdachte voor grooming van een virtueel meisje van 14 jaar (ECLI:NL:RBGEL:2021:4859). Hij krijgt een gevangenisstraf van 4 maanden opgelegd met een proeftijd van drie jaar en een werkstraf van 200 uur. Sinds de Wet computercriminaliteit III is ook het grooming van een virtuele creatie van een persoon die de leeftijd van zestien jaren nog niet heeft bereikt strafbaar.

Een getuige heeft verklaard dat ze lid was geworden van de groep ‘Pedofiel ontmaskerd.nl’ en daarom een account heeft gemaakt op Chatplaza (in dat kader vond ik dit nieuwsbericht over dat ‘pedohunten’ nu minder voorkomt interessant). Een van de personen die op het bericht reageerde en verder vroeg, was de verdachte. De verdachte vroeg haar om verder te praten op ‘KIKplaza.’ Via KIK heeft ze verdachte zeker drie keer verteld dat ze 14 jaar was en verdachte vertelde dat hij 51 of 61 jaar was. Eerst gingen de gesprekken over school en dagelijkse dingen, maar al snel vroeg hij naar dominantie en sprak hij over vastbinden. Hij wilde een afspraak maken in het bos om te zoenen, knuffelen en strelen. Die afspraak kwam tot stand doordat verdachte zei dat ze elkaar moesten zien. Zij had naar hem gemaild dat dat kon omdat haar moeder niet thuis zou zijn. Aan de hand daarvan hebben ze afgesproken. Dat was op 27 november 2020 in Apeldoorn.

Anders dan de raadsman is de rechtbank van oordeel dat bewezen kan worden verklaard dat de verdachte een ontmoeting met een virtueel persoon heeft voorgesteld. Dit volgt naar het oordeel van de rechtbank uit de hiervoor aangehaalde berichten, waarin de verdachte meermalen vraagt naar en zinspeelt op een daadwerkelijke ontmoeting en zo steeds de gelegenheid creëert om een ontmoeting te laten plaatsvinden. Uit de expliciet seksuele inhoud van het chatverkeer tussen verdachte en de virtuele persoon dat voorafging aan deze afspraak, trekt de rechtbank verder de conclusie dat verdachte deze afspraak heeft gemaakt met het oogmerk om seksuele of ontuchtige handelingen met het virtuele meisje te plegen. Dat, zoals verdachte ter zitting heeft verklaard, hij alleen met haar wilde gaan wandelen, vindt de rechtbank gelet op de inhoud van de berichten niet geloofwaardig.

Cybersecuritybeeld Nederland 2021 en rapport hackbevoegdheid Inspectie J&V

Cyber Security Beeld Nederland 2021

Op 29 juni 2021 is het nieuwe Cybersecuritybeeld Nederland 2021 (.pdf) verschenen. Dit bericht vat de belangrijkste informatie uit het rapport samen met betrekking digitale spionage en ransomware.  

In verband met de COVID-pandemie is er sprake is van een wereldwijd toegenomen digitale spionagedreiging richting de farmaceutische en medische industrie en onderzoekscentra die geneesmiddelen, antistoffen of vaccins ontwikkelen in relatie tot COVID-19. Nederlandse bedrijven en onderzoeksinstellingen die betrokken zijn bij de preventie en bestrijding van COVID-19 zijn een waarschijnlijk doelwit van deze digitale spionage. Voorzichtiger staat in het rapport geformuleerd ‘dat het mogelijk is’ dat Nederlandse overheidsinstanties die de preventie en bestrijding van COVID-19 coördineren slachtoffer worden van digitale spionage. En dat het mogelijk is dat digitale aanvallen uitgevoerd worden op (centrale) databases waarin, in het kader van COVID-19, persoonsgegevens van Nederlanders worden opgeslagen. Met betrekking tot de motieven van statelijke actoren, gaat het voor een belangrijk deel om het behartigen van binnenlandse politieke en veiligheidsbelangen, zoals het bestrijden van dissidenten die in het buitenland wonen en het streven naar het behoud van de status quo in het herkomstland: inclusief de bestaande statelijke structuur, rol en positie van het staatshoofd en rol en positie van de onderdanen (in zowel binnen- als buitenland). Ook spelen financieel-economische motieven een rol, zoals het behoud van inkomsten vanuit de diaspora (bevolkingsgroepen die buiten het land van herkomst wonen), die investeringen doet (zoals de aankoop van onroerend goed) en financiële ondersteuning biedt aan achtergebleven familie. Volgens het rapport is ook het aandeel ‘groot’ met betrekking tot economische spionage, waarmee statelijke actoren bijvoorbeeld beogen de eigen concurrentiepositie te verbeteren of hoogwaardige kennis en technologie te bemachtigen zonder zelf de kosten voor research en development te maken. “Exemplarisch” is volgens het rapport is de Chinese economische spionage, die zich vooral richt op technologiediefstal en voorkennis inzake voorgenomen investeringen. Ten slotte gaat het ook om het versterken van de strategisch-militaire positie ten opzichte van andere staten en het verkrijgen van politieke informatie over regeringsstandpunten en besluitvorming van andere staten en het beïnvloeden van politiek-bestuurlijke processen in andere staten. Door impliciet of expliciet te dreigen met verstoring of sabotage kan een actor economische, politieke, diplomatieke of militaire invloed uitoefenen op zijn doelwit.

Zie ook het onderstaande schema uit het rapport:

Over de SolarWinds hack rapporteert het NCSC wel dat in december 2020 bekend werd dat aanvallers een kwetsbaarheid hadden aangebracht in een update van Orion-software van SolarWinds. Dit bedrijf maakt softwareprogramma’s voor overheidsinstanties en grote bedrijven om ICT-omgevingen te monitoren en beheren. Volgens SolarWinds heeft de opzettelijk gecreëerde kwetsbaarheid als achterliggend doel de systemen van de afnemers van de betreffende versie van SolarWinds Orion te compromitteren. Bij verschillende Amerikaanse overheidsinstanties is de kwetsbaarheid ook daadwerkelijk misbruikt. Meerdere cybersecuritybedrijven en techbedrijven die wereldwijd klanten hebben, zoals FireEye, Mimecast en Microsoft, hebben aangegeven gecompromitteerd te zijn via de kwetsbare versie van Orion. Microsoft stelde dat het de aanvallers waarschijnlijk uiteindelijk te doen was om toegang tot clouddiensten van de organisaties die doelwit waren. Experts gaan uit van spionage als motief. Ook in Nederland is de kwetsbare versie van SolarWinds aangetroffen, onder andere binnen de overheid en de vitale processen. Er is door het NCSC vooralsnog geen misbruik geconstateerd. In april 2021 werd de SolarWinds campagne door de VS geattribueerd aan de Russische inlichtingendienst SVR (APT29). Deze attributie werd ondersteund door de EU en de Nederlandse regering.

Over ransomware zegt het NCTV dat er is een ontwikkeling geweest naar ‘Big Game Hunting’, d.w.z. het compromitteren van zorgvuldig geselecteerde organisaties. Meestal betreft het kapitaalkrachtige organisaties, verantwoordelijk voor continuïteit van processen of in bezit van unieke data. In februari 2021 zijn verschillende kennisinstellingen in Nederland aangevallen door criminele actoren, waaronder de Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO), Universiteit van Amsterdam (UvA) en Hogeschool van Amsterdam (HvA), waarbij de aanval op de UvA en HvA succesvol is afgeslagen. Door ook back-ups van systemen onbruikbaar te maken, vergroten criminelen de impact van de aanval verder. In het uiterste geval is de schade aan systemen zo ernstig, dat herstel niet mogelijk is en systemen opnieuw moeten worden opgebouwd. Ransomware-aanvallen kunnen ook langdurig impact hebben op processen wanneer er sprake is van de inzet van verschillende drukmiddelen, zoals de diefstal van informatie, waarna wordt gedreigd deze informatie te publiceren. Volgens de FBI komt ook het telefonisch dreigen met fysiek huisbezoek bij medewerkers van de bedreigde instelling. Aanvallers kunnen nog een stap verder gaan en klanten van hun doelwit proberen af te persen. Dat kan snel plaatsvinden, of pas na verloop van tijd, waardoor slachtoffers van een ransomware-aanval mogelijk langdurig worden geconfronteerd met de gevolgen van de oorspronkelijke aanval.

Een aantal cybercriminele groepen beschikt inmiddels over capaciteiten die niet onder doen voor het niveau van statelijke actoren. Zij hebben echter geen doel van maatschappelijke ontwrichting of sabotage voor ogen, maar een financieel motief. De cybercriminele groepen worden door staten gedoogd en staan onder druk om in opdracht van de staat soms activiteiten te verrichten. Soms wordt daarbij een beroep gedaan op hun ‘patriottisme’.

Rapport Inspectie J&V over de hackbevoegdheid

Op 29 juni 2021 heeft de Inspectie Justitie & Veiligheid het rapport ‘Verslag toezicht wettelijke hackbevoegdheid politie 2020’ (.pdf) gepubliceerd. Enkele interessante passages worden in bericht belicht.

De belangrijkste boodschap van de inspectie is dat het uitblijven van verbetering in de uitvoering van de hackbevoegdheid, volgens de regels in art. 126nba Sv en dan met name die in het Besluit onderzoek in een geautomatiseerd werk (Stb. 2018, 340), als een risico beschouwd. Zij hopen dat dit volgend jaar beter gaat. De bevindingen van de inspectie kunnen als input dienen voor de evaluatie van de Wet computercriminaliteit III die momenteel wordt uitgevoerd door het Wetenschappelijk Onderzoeks- en Documentatie Centrum (WODC) van het ministerie van Justitie & Veiligheid.

Het is belangrijk te realiseren dat de inspectie niet de toetsing en oordeelsvorming door de officier van justitie en de rechter-commissaris onderzoekt. Er vindt dus geen controle door de inspectie plaats op bijvoorbeeld de proportionaliteit van de inzet van de bijzondere opsporingsbevoegdheid. De zittingsrechter gaat hier over de procureur-generaal bij de Hoge Raad op grond van artikel 122 Wet op de rechterlijke organisatie. In het rapport staat dat de hackbevoegdheid niet is ingezet in de EncroChat-onderzoeken en deze zaken niet zijn onderzocht (ondanks dat een machtiging voor de hackbevoegdheid bij opsporingsonderzoeken naar georganiseerde misdaad is ingezet (art. 126uba Sv). De inspectie doet klaarblijkelijk ook geen onderzoek naar situaties waarbij op grond van art. 126ng lid 2 Sv in accounts van verdachten vanuit inbeslaggenomen apparaten wordt ingelogd.

De hackbevoegdheid is in 2020 in 14 zaken ingezet. Daarbij is er geen sprake geweest van nevenschade of veiligheidsrisico’s door het in stand houden van kwetsbaarheden. In 11 zaken is een bevel gegeven voor de inzet van een niet vooraf gekeurd technisch hulpmiddel. De Inspectie moet de commerciële software zelfs een ‘black box’ voor de politie. In bijna alle zaken (10 van de 14) is gebruik gemaakt van commerciële software, waarbij de leverancier volgens de inspectie toegang heeft tot bewijslogging met het middel is verkregen, zonder dat de politie dit kan beperken en controleren. Dit wordt overigens tegengesproken in een reactie van de minister in een Kamerbrief van 29 juni 2021. De politie en de Inspectie hebben geen kennis over de kwetsbaarheden waarvan de commerciële binnendringsoftware gebruik maakt.

Opvallend is verder dat twee keer is binnengedrongen op een ander geautomatiseerd dan in het afgegeven bevel stond. Wel was het een computer die in gebruik was bij desbetreffende verdachte. De inspectie plaats daarbij de opmerking dat de verkregen gegevens mogelijk niet gebruikt kunnen worden in de betreffende strafzaak. De inspectie kon ook niet altijd vaststellen op welke locatie en in welk lang een computer werd binnengedrongen. Dat is wel belangrijk, omdat voor de mogelijke inzet ervan in het buitenland apart toestemming moet worden gevraagd (zie de Aanwijzing voor de internationale aspecten van de inzet van de bevoegdheid ex art. 126nba Sv, Strct. 2019, 10277).

Tenslotte was de logging op diverse punten niet in orde, waaronder de voorziening voor het maken van schermopnames. De Inspectie stelt vast dat in 2020 de verantwoording in processen-verbaal ‘onvolledig is en soms ontbreekt’. Voor de wel aanwezige processen-verbaal geldt dat ‘hieruit niet kan worden opgemaakt welke onderzoekshandelingen door wie op welk moment zijn uitgevoerd. In enkele gevallen kan dit ook niet worden vastgesteld op basis van het journaal en de aanwezige logging’.

De Inspectie doet over de problemen met commerciële software en gebreken in logging (zie onder) de stevige uitspraak dat ‘hierdoor risico’s niet kunnen worden uitgesloten voor wat betreft de betrouwbaarheid van met de hackbevoegdheid verkregen bewijs en de privacy van de betrokkenen’. In de begeleidende Kamerbrief wordt opgemerkt dat de zittingsrechter gaat over de betrouwbaarheid van het verkregen bewijs uit de inzet van de hackbevoegdheid.