Het aantal DDoS(Distributed Denial of Service)-aanvallen groeit al jaren en de aanvallen worden steeds zwaarder. Daar staat tegenover dat het steeds makkelijker wordt om de aanvallen uit te voeren. Inmiddels is het platleggen van een netwerk letterlijk kinderspel. Zo vond eind vorige maand nog een golf van DDoS-aanvallen plaats, waarbij onder andere drie grote Nederlandse banken en de Belastingdienst werden getroffen.1 Gezien het gemak waarmee dergelijke aanvallen kunnen worden uitgevoerd, is het niet verwonderlijk dat begin deze maand een 18-jarige student is opgepakt in verband met de aanvallen op onder andere de Belastingdienst.2 Vlak voor zijn arrestatie liet hij weten dat hij het deed om ‘te laten zien dat een tiener gewoon alle banken kan platleggen met een relatief simpele aanval’. Op de vraag wat zijn motivatie is geweest voor de aanvallen, antwoordde hij ‘omdat het grappig is’. Of de strafrechtelijke gevolgen net zo grappig zijn als het uitvoeren van de aanvallen, zal in deze blog verder worden toegelicht.

Bij een DDoS-aanval wordt vanuit honderden of zelfs miljoenen apparaten tegelijkertijd een aanval uitgevoerd op één specifiek doelwit, bijvoorbeeld een website van een organisatie.3 De aanvallen komen voor in meerdere verschijningsvormen en hebben altijd één gemeenschappelijk doel: Denial of Service, ofwel de dienstverlening van een organisatie platleggen. In de praktijk komt het erop neer dat de getroffen server zoveel verzoeken vanaf meerdere computers te verwerken krijgt, dat websites en internetdiensten overbelast raken en daardoor onbereikbaar zijn. Het uitvoeren van een dergelijke aanval is erg eenvoudig: voor een klein bedrag is het mogelijk om een account te kopen op een website, waarmee vervolgens DDoS-aanvallen uitgevoerd kunnen worden. Ook de 18-jarige student ging op deze manier te werk. Met een investering van vier tientjes is het hem gelukt een enorme hoeveelheid dataverkeer naar de websites te versturen, om deze vervolgens onbereikbaar te maken voor gebruikers.
Het uitvoeren van een DDoS-aanval is strafbaar gesteld in artikel 138b lid 2 van het Wetboek van Strafrecht (Sr). Deze bepaling is ingevoerd in 2015 en stelt een maximum gevangenisstraf van ten hoogste drie jaar of een geldboete van de vierde categorie op het opzettelijk en wederrechtelijk de toegang tot of het gebruik van een geautomatiseerd werk belemmeren met behulp van een aanzienlijk aantal geautomatiseerde werken. Indien het feit ernstige schade veroorzaakt, of is gepleegd tegen een geautomatiseerd werk behorende tot de vitale infrastructuur, wordt de schuldige gestraft met een gevangenisstraf van ten hoogste vijf jaren of een geldboete van de vierde categorie. Onder ‘vitale infrastructuur’ kan worden verstaan een voorziening, systeem of een deel daarvan op het grondgebied van een lidstaat, dat van essentieel belang is voor bijvoorbeeld het behoud van de vitale maatschappelijke functies, de gezondheid, de veiligheid, de beveiliging, de economische welvaart of het maatschappelijk welzijn, zoals energiecentrales, vervoersnetwerken, of overheidsnetwerken, en waarvan de verstoring of vernietiging in een lidstaat aanzienlijke gevolgen zou hebben doordat die functies ontregeld zouden raken.4

Naast artikel 138b Sr kan ook artikel 161sexies Sr van toepassing zijn. Anders dan artikel 138b Sr, beperkt artikel 161sexies Sr strafbaarheid tot gevallen waarin sprake is van – ten minste – gemeen gevaar voor goederen of personen. Hoe ernstiger het gevolg, hoe hoger het strafmaximum. Indien er sprake is van gemeen gevaar voor goederen of voor de verlening van diensten, wordt de schuldige gestraft met een gevangenisstraf van ten hoogste zes jaren. Deze straf kan oplopen tot 15 jaar indien het feit iemands dood ten gevolge heeft.
Aangezien er relatief weinig strafzaken over DDoS-aanvallen zijn geweest, is het lastig te bepalen wat de straf zal zijn. Begin deze maand is echter de eerste richtlijn cybercrime gepresenteerd, welke handvatten biedt voor de te eisen straffen.5 De richtlijn ziet op verschillende vormen van internetcriminaliteit, waaronder DDoS-aanvallen, en bevat criteria aan de hand waarvan in individuele zaken een strafeis geformuleerd kan worden. Daarbij wordt een onderscheid gemaakt tussen ‘first offenders’ en recidivisten. Op een DDoS-aanval met een ‘beperkte impact’ staat volgens de richtlijn een taakstraf van 60 tot 90 uur. De impact – en daarmee de strafeis – is afhankelijk van de financiële schade en in hoeverre de diensten zijn getroffen. Gezien de impact van de aanvallen van vorige maand, is het nog maar de vraag of de 18-jarige student er met een taakstraf vanaf zal komen.

Namens de redactiecommissie,

Sanne Eding

  1. https://nos.nl/artikel/2214537-nieuwe-ddos-aanval-op-abn-amro-ing-rabo-en-belastingdienst.html
  2. https://www.volkskrant.nl/tech/in-gesprek-met-jelle-s-18-die-met-ddos-aanvallen-de-belastingdienst-en-banken-zou-hebben-platgelegd~a4567183/
  3. https://www.dearbytes.com/blog/ddos-iedereen-kan-het/
  4. https://zoek.officielebekendmakingen.nl/dossier/34034/kst-34034 3?resultIndex=17&sorttype=1&sortorder=4
  5. http://wetten.overheid.nl/BWBR0040543/2018-02-01