Heb je een scherp en puntig mes, dan kun je brood snijden én een moord plegen. Messen worden gewoonlijk voor nuttige, onschadelijke zaken gebruikt en aanzienlijk minder vaak voor het plegen van geweldsdelicten. Het enkel hebben of verkopen van een broodmes is daarom niet strafbaar. Maar geldt die gedachte ook voor de tools die je kunt gebruiken om de IT-infrastructuur van een ander illegaal te hacken?

Het hacken van andermans geautomatiseerde omgeving is in Nederland sinds 1993 strafbaar. Officieel noemen we dat in strafrechtelijke termen ‘computervredebreuk’. Inmiddels is een flink aantal personen voor het plegen van dit delict door de strafrechter veroordeeld. De wetgever in ons land heeft door middel van de Wet computercriminaliteit II de regeling over computervredebreuk in september 2006 verder aangescherpt. Met een extra wettelijke bepaling werd alleen al het in bezit hebben of verhandelen van hacktools strafbaar gesteld. Althans, in sommige gevallen.

Elcomsoft Phone Breaker
Waar liggen de grenzen van dat strafbaar feit precies? Vrij recent heeft de rechtbank in Amsterdam zich in twee strafzaken moeten buigen over de vraag of het programma Elcomsoft Phone Breaker zo’n illegale tool is. Deze software van Russische makelij wordt op het internet te koop aangeboden en is – kort gezegd – geschikt om de beveiliging van de iCloud, de cloudvoorziening van Apple, te doorbreken.

De twee verdachten in de Amsterdamse strafzaken hadden zich met gebruikmaking ervan ongeautoriseerd toegang verschaft tot accounts van anderen en er bestanden mee uit de iCloud gedownload. Justitie stelde zich in de beide zaken op het standpunt dat de verdachten strafrechtelijk de fout in waren gegaan doordat zij Elcomsoft Phone Breaker tot hun beschikking hadden.

De Amsterdamse rechtbank volgde die gedachte echter niet en sprak de verdachten op dit punt vrij. Wèl werden zij overigens op andere punten veroordeeld. Voor deze blog is van belang dat de rechtbank deze software niet als een verboden hacktool bestempelde.

Ontwerpdoel is beslissend
Lees je de strafbepaling uit 2006 er rustig op na, dan valt op dat deze in tamelijk beperkende bewoordingen is omschreven. De bepaling gaat namelijk niet over alle technische hulpmiddelen die bij het hacken gebruikt worden of kunnen worden, maar alleen over tools die ‘hoofdzakelijk geschikt gemaakt of ontworpen’ zijn voor het plegen van computervredebreuk.

Die omschrijving bevat een forse drempel en veroordeling van de beide verdachten ketste daarop dan ook af. De software is, zoals door advocaten van de verdachten in hun verdediging naar voren was gebracht, niet hoofdzakelijk ontworpen om te hacken. De tool is immers mede bestemd om legaal te worden gebruikt wanneer iemand de toegang tot zijn eigen data in de iCloud kwijt is. Het gebruik van een dergelijke recoverytool is als zodanig niet illegaal.

Bovendien blijkt uit de website van Elcomsoft duidelijk dat de software ook aangeboden wordt aan opsporingsinstanties om te worden gebruikt in het kader van opsporing (‘law enforcement’). En ook dat is in meerdere landen in de wereld een legaal gebruiksdoel.

In beide strafvonnissen valt daarom te lezen: “De rechtbank stelt vast dat niet is gebleken dat het programma Elcomsoft Phone Breaker door de producent is ontworpen met het doel het plegen van computervredebreuk.” Justitie ging dus veel te kort door de bocht door te volstaan met de stelling dat de software het mogelijk maakt om van afstand in te loggen in de accounts van anderen.

Justitie trekt aan kortste eind
Had Justitie het gelijk wel aan haar zijde willen krijgen, dan had zij meer en betere informatie over de tool op tafel moeten leggen. Bijvoorbeeld een overtuigende reden waarom de rechter niet zou mogen afgaan op de informatie op de website van Elcomsoft. Justitie heeft dat niet gedaan en dat had zij vermoedelijk ook niet met droge ogen kunnen doen. Elcomsoft levert haar software naar zeggen immers aan diverse overheidsinstanties in de wereld en aan grote en gereputeerde bedrijven. Justitie trekt dus terecht aan het kortste eind.

Kortom, hoewel de tool in kwestie geschikt is om het illegaal hacken te faciliteren, is deze niet specifiek met het oog daarop ontworpen en ontwikkeld. Daarmee is de software net als het mes: strafrechtelijk gezien is er niks illegaals aan. Dat wordt niet anders door het feit dat het hier om software van Russische komaf gaat.