Banebrydende dom om hacking bestemmelsen

04 november 2014

Retten på Frederiksberg har afsagt dom i sagen om hackerangrebet mod CSC's it-systemer, og dommen kan vise sig at blive historisk på flere områder. Heriblandt for beviskravene til overtrædelse af straffelovens hackerbestemmelse og straffens udmåling.

Den 2. september 2014 indledte retten på Frederiksberg bedømmelsen af, hvorvidt 2 tiltalte, heriblandt den tidligere stifter af hjemmesiden Piratebay, kunne kendes skyldig i overtrædelsen af straffelovens § 263, stk. 2 (hacker-bestemmelsen).

Den svenske tiltalte havde via sin computer hacket sig ind i CSC's  mainframe for på den måde at få adgang til tusindevis af danskeres personlige oplysninger, heriblandt CPR-registret, kørekortregistret og Schengens Informationssystem. Den danske tiltalte er blevet kendt skyldig i medvirken for at have havde chattet og delt oplysninger med den svenske tiltalte om hacking af CSC's mainframe. Den danske tiltalte blev ikendt 6 måneders fængsel men har dog allerede gennem sine 21 måneders varetægtsfængsling afsonet sin straf, hvorimod den svenske tiltalte kan se frem til 3 år og 6 måneders fængsel. Dommen er af den svenske tiltalte allerede i dag meldt anket.

Sagens kerne var bevisspørgsmålet, idet det efter bestemmelsen kræves bevist, at den tiltalte fysisk har siddet ved den pågældende computer på det pågældende tidspunkt og begået forbrydelsen, hvilket er en meget streng bevisbyrde at løfte. Således var det også den svenske tiltaltes påstand, at hans computer var blevet anvendt via fjernstyring til hacking af CSC's systemer uden den tiltaltes viden herom. En påstand, der tidligere var med til at frifinde den tiltalte i et lignende søgsmål i Sverige.

Retten på Frederiksberg har dog ikke fundet det bevist, at svenskerens computer blev fjernstyret, hvilket medfører en ændring af præmissen for denne slags sager. Således skal man ikke fange hackeren på fersk gerning foran computeren, hvilket betyder, at fx pc-brugere fremover ikke kan fraskrive sig ethvert ansvar.

Såfremt det kan bevises, at en brugers pc er blevet anvendt til hacking, kan brugeren dermed ikke selv påstå, at denne ikke selv har siddet foran computeren og foretaget den kriminaliserende handling. Det er således et brud med et yderst klassisk forsvar blandt hackere.

Advokat og partner hos Bird & Bird, Martin von Haller Grønbæk har udtalt sig til medierne vedrørende rimeligheden af afgørelsen, hvor han også udtaler, at sagens store mængde indicier har været afgørende i sagen, og at forklaringen om fjernstyringen har virket som konstrueret til lejligheden. Dommen må derfor anses som rimeligt men også som egnet til at anke, idet 2 nævninge ikke fandt samme tvivl ved påstanden om fjernstyringen af tiltalte computer. Læs mere om Martins udtalelser her

Efterspillet af dommen forventes at være rettet mod CSC, idet deres håndtering af it-sikkerhed forventes forbedret, hvilket tillige gør sig gældende for kontrakterne mellem CSC og staten.