Tekst Pieter Vermaas
Foto Loes Spruijt-van der Meer

Samen met de branche wil het Landelijk Parket malafide hostingproviders weren

Strafrechtelijk succes tegen ‘bad hosters’ die misbruik van het internet faciliteren is schaars. Daarom zoekt het Landelijk Parket samen met welwillende hosters naar alternatieve aanpakken tegen misbruik van Nederlandse servers voor phishing-expedities, cyberaanvallen en kinderpornoverspreiding. Opportuun sprak drie voorhoedespelers in deze nieuwe aanpak. “Wij zijn ook voor strafrechtelijke kerntaken, maar als we op een andere manier het aantal boeven kunnen terugdringen is dat nog beter.”

Achteraf lijkt alles makkelijk. Wie het vonnis leest dat Rechtbank Rotterdam op 21 februari van dit jaar uitsprak tegen de twee eigenaren van een hostingprovider en de hostingprovider als rechtspersoon, kan de indruk krijgen dat een zaak als deze vrij soepel naar een veroordeling glijdt. In deze zaak van Wieteke Koorn, officier bij het Landelijk Parket (LP), achtte de rechtbank het bewezen dat de verdachten met het verhuren van servers zich schuldig hadden gemaakt aan medeplichtigheid aan een aantal hacks en DDoS-aanvallen, mede omdat op hun infrastructuur het Miraibotnet stond en zij dat wisten.

Al in 2018 ontstaan de eerste aanwijzingen voor medeplichtigheid aan computervredebreuk. In dat jaar komen de eerste meldingen van misbruik door de hostingprovider. Daarna komt de provider ook in beeld bij het Nationaal Cyber Security Centrum (NCSC). Wieteke Koorn: “Door de branche en het NCSC is de hostingprovider eerst een tijd aangesproken: ‘Hallo, er zijn over jullie servers abuse-meldingen en -waarschuwingen gedaan. Er komt illegale content over jullie servers, doe daar wat aan.’ Maar daar heeft die hostingprovider eerst lange tijd niks mee gedaan.”

Als het NCSC uiteindelijk in het voorjaar van 2019 de politie informeert dat het bedrijf mogelijk een botnet faciliteert waarmee cybercrime zou worden gepleegd, leidt dat tot een strafrechtelijk onderzoek. In het onderzoek besluit officier Wieteke Koorn tot de inbeslagname van een database en het zetten van een tap. Die tap brengt aan het licht dat het hostingbedrijf precies weet wat hun klanten op zijn server uitspoken. “Het bedrijf communiceerde actief met de klanten. Het zei met zoveel woorden: ‘Het maakt ons niet uit wat je doet, als je maar zorgt dat wij er niet bij betrokken worden’. Daaruit konden wij dus opzet bewijzen: ze wisten dat het Mirai-botnet over hun servers ging, en ze wisten dus dat er hacks mee werden gepleegd. Begin dit jaar zijn beide heren uiteindelijk veroordeeld tot voorwaardelijke gevangenisstraffen en hebben ze 240 uur en 180 uur aan werkstraf gekregen. Aan het bedrijf is bovendien een geldboete opgelegd van vijftienduizend euro. De verdachten zijn in hoger beroep gegaan.”

Maar zo makkelijk als het in deze zaak (achteraf) leek, is het zelden, is de ervaring van Koorn, die zich sinds begin dit jaar ‘landelijke informatieofficier voor cybercrime en high tech crime’ mag noemen. “Want als je in dit soort zaken medeplichtigheid van een verdachte hostingprovider wilt bewijzen, moet je een dubbele opzet aantonen. De verdachte hoster moet weten dat de klant aan wie serverruimte wordt verhuurd, strafbare feiten gaat plegen, én moet weten dat hij die foute klant daarbij behulpzaam is. Strafrechtelijk ligt de lat dan hoog. En vaak te hoog. In veel gevallen blijkt het niet mogelijk je strafrechtelijke onderzoek af te ronden om tot vervolging over te gaan.”

Van links naar rechts: Wido Potters (van bedrijf BIT), officier Wieteke Koorn en beleidsadviseur Sander de Gruijl (beiden van het Landelijk Parket): ‘De Nederlandse wetgeving laat het in feite toe als providers niet optreden tegen strafbaar gedrag via hun service’

Die ervaring leidde bij het LP niet tot de slotsom dat ze dubieuze hosters maar links moeten laten liggen. Daarvoor is het probleem in Nederland domweg te groot. Het LP haalde de banden met de hostingbranche aan, die overigens zelf ook al steeds actiever is geworden in het reinigen van de eigen branche. Daarom spreekt Opportuun in de Rotterdamse vestiging van het Landelijk Parket niet alleen met aanklager Wieteke Koorn. Aan tafel zit ook Sander de Gruijl, coördinerend beleidsadviseur hightech crime bij het LP. Naast hem is Wido Potters aangeschoven, van het bedrijf BIT, een datacenter, cloudprovider en hostingprovider. De Gruijl en Potters kennen elkaar al langer; jaren geleden werkten beiden aan een project voor Offlimits, het expertisecentrum voor online misbruik.

Jullie spreken over een groot probleem. Tot welke misdaad leidt dat?

Koorn: “Tot cyberaanvallen bijvoorbeeld, waarvan negentig procent trouwens wordt voorafgegaan door phishing. Tot cyberpesten. Tot online fraude. In 2023 leidde cybercriminaliteit tot een schade van 100 miljoen, en afgelopen voorjaar heeft het CBS gerapporteerd dat een op de acht Nederlanders boven de vijftien jaar zichzelf als slachtoffer van online criminaliteit aanmerkt.”

Wieteke Koorn: "Malafide hosting leidt onder meer tot phishing, cyberaanvallen, online pesten en online fraude."

De Gruijl: “Nederland voert in Europa al jaren het lijstje landen aan dat kinderporno host. Alleen de VS host soms nog meer. Dat komt niet – al denken sommige criminelen dat wel – omdat Nederland een vrijhaven is voor deze content. Maar onze snelle, betrouwbare en goedkope internetverbindingen maken dat veel hostingbedrijven zich binnen onze landsgrenzen vestigen. Omdat hier zó veel bedrijven zitten, is het aandeel dat dubieus is automatisch ook groot.”

Koorn: “Op cybercriminele fora wordt ons land vaak aangeprezen: ‘Wil je je cyberaanval of phishingcampagne echt goed inrichten? Ga dan naar Nederland!’ Het internet doet het hier altijd. En dan is het ook nog zo dat binnen datacenters serverruimtes weer onderverhuurd kunnen worden. Daardoor weet degene die een datacenter heeft niet precies wie binnen zijn server rack wat doet. Ook dat levert de opsporing en ons problemen op.”

Potters: “De hostingsector in Nederland is heel groot. Ik bagatelliseer niks, maar we weten dat bijvoorbeeld die kinderporno eigenlijk maar bij vier, vijf providers staat. Ik vind het belangrijk om dat er altijd ook bij te vertellen. Maar vrij lang heeft de sector gezegd: ‘Het is allemaal niet onze verantwoordelijkheid om iets te doen aan abuse’: de verzamelnaam voor phishing, malware, doxing, sextortion – en voor eigenlijk alle rommel die je op internet kan tegenkomen. Die houding is inmiddels veranderd.”

Koorn: “Klopt, daar is een andere mindset ontstaan. Het overgrote deel van de branche is goed en betrouwbaar, en reageert op vorderingen van het OM. Een deel van de bedrijven faciliteert hun criminele klanten onbewust. En een deel noemen we bulletproof hosters. Die bieden hun criminele klanten anonimiteit, zodat overheidskogels hun klanten niet kunnen treffen. Zij reageren niet op meldingen van internet abuse, en reageren niet op onze vorderingen als wij hun klanten tegenkomen in een opsporingsonderzoek, maar brengen hun klanten daarvan wel op de hoogte. Dat zie ik gewoon gebeuren.”

De Gruijl: “Het probleem is dat de Nederlandse wetgeving het in feite toelaat als providers niet optreden tegen strafbaar gedrag via hun service. Zo wordt eigenlijk toegestaan dat zij die facilitatorsrol oppakken.”

Wido Potters: "De houding van de sector is inmiddels veranderd."

Potters: “De sector kan zelf niet zo heel veel doen tegen die bulletproof hosters. Want die onttrekken zich aan wat er verder in de sector gebeurt. Maar verder zijn er in de afgelopen periode best maatregelen genomen die helpen.”

Door de sector zelf?

Potters: “Ja. Zo heeft een paar jaar geleden SIDN, dat is de organisatie die het .nl domein regelt, het mogelijk gemaakt om abuse-contacten te plaatsen in de ‘WHOIS; dat is een database waarin staat wie de beheerder is van een bepaalde domeinnaam. Dat maakt het makkelijk om te melden op welke site of bij welke host zich een probleem voordoet.

Onder de vlag van de Vereniging van Registrars (VVR) is gewerkt aan security.txt, waarmee hostingproviders uitnodigen om een probleem op een computer of site te melden. Tot voor kort was er geen centrale club waar problemen gemeld konden worden, afgezien van wat Offlimits deed bij kinderporno. Maar er zijn ondertussen heel veel partijen die zicht hebben op abuse. Partijen die weten waar er een phishingsite staat, die weten wie er spam verstuurt. Maar je moet die partijen wel uitnodigen: ‘Wil je het mij vertellen als jij in mijn netwerk iets ziet wat niet in orde is?’ Wie niet te horen krijgt welke problemen op zijn netwerk spelen, weet het vaak ook niet.

Het NCSC is gestart met het gevraagd en ongevraagd informeren van netwerkeigenaren, waaronder hostingproviders, over problemen die in hun netwerk gezien worden. Partijen die deze abuse feeds niet ontvingen omdat ze er nooit om gevraagd hebben, ontvangen die informatie via het NCSC nu wel.”

Kun je als hostingprovider niet zelf naar problemen in je infrastructuur zoeken?

Potters: “Jawel, maar dan moet je dat wel willen. Je zult er capaciteit voor moeten vrijmaken en je bedrijfsvoering erop moeten inrichten. Een andere beperking is het beginsel van netneutraliteit. Dat schrijft voor dat providers alle gegevens op het internet gelijk behandelen en niet discrimineren naar gebruiker, inhoud, website, platform, toepassing, soort aangesloten apparatuur of communicatiemethode. Ze mogen dus niet zomaar in content van klanten kijken. Maar ik denk dat die gestegen meldingsmogelijkheden echt gaan helpen. Het bevordert het KYC-principe: know your customer.”

Koorn: “Ik ben blij met die beweging naar maatschappelijk verantwoord ondernemen en meer zicht op problemen. Tot voor kort kon je als criminele klant bij een hostingprovider diensten afnemen door gewoon te zeggen: ‘Ik ben black hat uit hacktown, en ik betaal via bitcoin’. Ja, dan kan je er donder op zeggen dat die klant een criminele bedrijfswebsite wil opzetten.”

Volgt het OM die ontwikkelingen in de branche?

De Gruijl: “Ons LP-beleidscluster high tech crime, waarin de aanpak van bad hosting topprioriteit heeft, kijkt inderdaad verder dan het strafrecht. En dan staat met stip op nummer 1: de samenwerking met de sector. Een goed initiatief uit de branche is het opstellen van de Gedragscode Abuse-bestrijding, die mede door Wido Potters is opgesteld. In de nieuwste versie daarvan staat dat hostingbedrijven voor de eerste betaling door een nieuwe klant geen cryptogelden mogen aannemen, maar dat dat via een bankbetaling moet. Op die manier heb je direct aan het begin meer zicht op wie je klant is. Maar van sommige providers weet je eigenlijk helaas al dat zij die gedragscode nooit gaan onderschrijven. Als OM nemen we die kennis mee naar de politiek. Aan onze collega’s bij het ministerie van Justitie en Veiligheid hebben we gevraagd te onderzoeken hoe je dat onwelwillende deel van de hostingsector zo ver krijgt dat ze het ken-je-klantprincipe gaan hanteren. Daarbij hebben we voorgesteld om, net zoals in die gedragscode al staat, het aannemen van cryptobetalingen, zeker in eerste instantie, te verbieden. En welke mogelijkheden zijn er nog meer om het ken-je-klantprincipe te implementeren? Wij zijn blij dat de minister heeft aangegeven dat te gaan onderzoeken. Daarnaast hebben we eerder het ministerie gevraagd om maatregelen om beter zicht te krijgen op de hostingsector. Want we constateerden dat de zogenaamde SBI-code die de Kamer van Koophandel gebruikt voor hostingproviders te weinig zicht geeft. Het is mooi dat die code inmiddels is aangepast. Dat gaat ons meer zicht geven in de grootte van de sector en bij welke partij we kunnen aankloppen als wij iets fout zien gaan.”

Sander de Gruijl: "Een aantal hostingproviders heeft besloten afscheid te nemen van alle klanten waarvan zij weten dat ze slecht zijn."

Legt de Gedragscode abusebestrijding gewicht in de schaal?

Potters: “Die helpt denk ik wel, zeker nu die steeds wordt aangescherpt. Het is wel zo dat bedrijven zelf bepalen of ze zich eraan houden, en de organisatiegraad in de branche is laag, dus slechts een deel houdt zich aan of onderschrijft die gedragscode. Daarom helpt het als klanten het actief aan hun hostingbedrijven vragen: ‘Onderschrijven jullie die gedragscode? Hoe schoon is jouw netwerk?’ Ik zou ook heel graag zien dat de overheid daar een meer leidende rol in neemt door uit te spreken dat zij alleen maar hostingdiensten inkopen bij betrouwbare partijen die die gedragscode onderschrijven.”

De Gruijl: “Er zijn al overheidspartijen die dat doen, maar lang niet genoeg.”

Ik begrijp dat jullie ook met de Autoriteit Consument & Markt samenwerken?

De Gruijl: “Ja. Die samenwerking is gebaseerd op de Digital Services Act. Die verplicht onder andere hostingproviders om tijdig te reageren op abuse-meldingen, of op bevelen van de officier van justitie om illegale content of illegale activiteiten te verwijderen. Doet de provider dat niet, dan kan de officier dat melden aan de ACM.”

Koorn: “Het mooie is dat de ACM een heel andere set aan maatregelen kent. Zij kunnen boetes opleggen als providers op hun website bijvoorbeeld niet beschikken over een makkelijk vindbare en goed werkende abuse-meldingsprocedure; als ze geen algemeen contactpunt binnen Europa hebben; of als ze niet tijdig en inhoudelijk reageren op bijvoorbeeld verwijderbevelen en notice-and-takedownverzoeken.”

De Gruijl: “Hun bestuursrechtelijke procedure is snel en gemakkelijk, zodat zij daar actief toezicht op kunnen houden. De ACM kan als boete dan maximaal zes procent van de jaaromzet opleggen, dat is best een flinke maatregel. De samenwerking met de ACM willen we uitbouwen. We brengen nu in kaart welke partijen onvoldoende of helemaal niet reageren op onze meldingen, en die brengen we allemaal bij de ACM. Daarom doe ik een oproep aan alle OM-collega’s: Heb je in je zaak een partij waartegen je wilt optreden, maar je twijfelt of je er strafrechtelijk iets mee kan? Kom dan bij mij op de lijn. Dan kunnen we kijken of we daar via de ACM tegen kunnen optreden.”

Sorteren al die publieke en private maatregelen al effect?

De Gruijl: “Ik weet dat een aantal hostingproviders de afgelopen tijd heeft besloten dat ze afscheid gaan nemen van alle klanten waarvan zij weten dat ze slecht zijn. Dus dat is een ontzettend positief gevolg van wat we de afgelopen tijd hebben gedaan.”

Binnen het OM klinkt geregeld de roep tot focus op de kerntaak: strafrecht. Dat doen jullie niet zo

Koorn: “Maar de aanpak sorteert wel effect. Het afgelopen jaar hebben we bijvoorbeeld voor het eerst cybermensen op de EU-sanctielijst gekregen. Een direct gevolg daarvan was dat hostingproviders met hen geen zaken meer mogen doen. En weer twee maanden later zijn dan veel abonnementen opgezegd. De winst daarvan is óók dat het OM die mensen niet meer hoeft op te sporen. Ja, die kunnen overstappen naar een andere hostingprovider – het waterbedeffect – maar dát zijn dan steeds meer de providers waar we wel een opsporingsonderzoek naar zullen starten. Ik ben helemaal voor de kerntaak, maar als we minder boeven hebben is dat nog beter.”

De publiek-private samenwerking loont?

De Gruijl: “Ja, en dat is de reden waarom onder anderen Wido en ik samen met de politie anderhalf jaar geleden het spel Capture the red flags ontwikkelden. Een rollenspel dat de hosting sector, politie en OM kunnen spelen. Met allemaal scenario’s op het gebied van bad hosting. Daardoor leren wij als politie en OM hoe de sector werkt, en wat bijvoorbeeld de gevolgen voor hen zijn als wij een bevel afgeven.”

Potters: “En hostingbedrijven gaan politie en OM beter begrijpen. Want daar heerst ook weleens het gevoel ‘ga nou eens echte boeven grijpen en doe iets aan de rommel die op Nederlandse servers staat’. Door het spel begrijpt de branche beter dat de opsporing aan regels is gebonden voordat zij echt kan ingrijpen. Over en weer is begrip voor elkaars werkzaamheden ontstaan.”