Een hacker is nog geen cracker, Donner!

Er is een verschil tussen computerfanaten die trachten een systeem te slim af te zijn en online criminelen.

Minister Donner gooit ze in een wetsvoorstel op één hoop.

Het woord “hacker' wordt vaak misbruikt, noteerde The Economist onlangs. Het staat voor iemand die het leuk vindt te spelen met technologie om de grenzen te verkennen of hem zover te krijgen dat hij onverwachte of onbedoelde dingen doen. Vaak een bron van interessante vernieuwingen. Voor de buitenwacht slaat het woord toch vooral op personen die inbreken in computers, veelal met kwalijke bedoelingen, hoewel de hackersgemeenschap zelf daarvoor termen als “cracker' reserveert. De uitvinder van de gloeilamp Thomas Alva Edison was achteraf beschouwd een hacker. Het is van belang in het achterhoofd te houden dat een hacker niet noodzakelijk slecht is. Een voorbeeld daarvan is computervredebreuk, zoals het binnendringen in andermans elektronica in Nederland heet. Sinds 1993 is dat een strafbaar feit, bedreigd met maximaal zes maanden gevangenisstraf of een boete van 4500 euro.

De term waarom het gaat is: binnendringen. Dat is in de virtuele wereld moeilijker kenbaar dan bij gewone huisvredebreuk. De aangevallen computer moet met andere woorden een vorm van “verboden toegang' bevatten. De strafwet vergt voor de strafbaarheid van computervredebreuk dat het aangevallen systeem beveiligd is. Deze voorwaarde wil minister Donner (Justitie, CDA) schrappen in een wetsvoorstel dat eind deze maand door de Eerste Kamer wordt besproken. “Nieuwe ontwikkelingen in de informatietechnologie“ vormen een voorname motivering voor de wetswijziging. Hackers vinden inderdaad steeds nieuwe trucs uit. Dat maakt de keerzijde van de strafbepaling, de beveiliging van computers, niet minder relevant. Niet zo lang geleden deed de Amerikaanse expert Scott Granneman een simpel doch onthutsend experiment. Hij haalde een nieuwe pc uit de doos, zette er Windows XP op en sloot hem aan op internet. Na twintig minuten was de pc volgepropt met virussen.

Er is wel geopperd internetgebruik afhankelijk te stellen van een “surfbewijs'. Voor overheidsdienaren die informatie over Afghanistan of koninklijke e-mails laten slingeren is dat niet eens zo'n slecht idee. Voor de gewone burger is iedere vorm van vergunning voor de elektronische snelweg echter een onaanvaardbare inbreuk op de informatievrijheid.

Wat moet de modale pc-gebruiker dan? Hij kijkt allereerst naar de leverancier, dus Microsoft, dat met zijn besturingssysteem Windows pakweg 95 procent van de markt heeft. Deze afhankelijkheid is een bron van kwetsbaarheid. Ieder gaatje in Windows heeft enorme risico's. Microsoft-voorman Bill Gates onderkende het probleem en gaf in januari 2002 het parool: “Betrouwbaarheid staat bovenaan“. De technisch directeur van zijn bedrijf tekende later in dat jaar echter droog aan: “De winkelende huisvrouw checkt de doos niet op alle beveiligingsspecialiteiten, dus kan je niet zeggen dat beveiliging het voornaamste verkoopargument is. Onze eerste taak is dingen te leveren die de mensen willen.“

De beveiligingsexpert Bruce Schneier vindt dat Microsoft c.s. daar niet zo gemakkelijk af behoren te komen. Hij heeft voorgesteld de producenten van veelgebruikte software aansprakelijk te stellen voor hun producten. Maar de Amerikaanse rechtspraak staat hen toe hun waren te verkopen mét de gebreken die pas later blijken.

Wat betekent dit nu voor de beveiligingseis bij computervredebreuk? Die verdient het niet te sneuvelen. Met reden waarschuwen Donners eigen CDA en de VVD in de Eerste Kamer dat het laten vallen van deze eis een prikkel wegneemt voor gebruikers van informatiesystemen om hun spullen serieus te beveiligen. De beveiligingseis doet niets af aan de strafbaarheid van computervandalen en ander gespuis. Zuivere hackers houden de druk op de ketel van de softwarebeveiliging - geen overbodige luxe. Niet voor niets zijn er ook verschillende voorbeelden van veroordeelde computerkrakers die aardig terecht kwamen als beveiligingsadviseur.

En dan zijn er de “onhandige gebruikers' die per ongeluk binnendringen in een computersysteem waar ze buiten horen te blijven. Het strafrecht bevat algemene voorwaarden over opzet en wederrechtelijkheid om te voorkomen dat zo iemand snel aansprakelijk wordt gesteld voor computervredebreuk. Maar een foutje is gauw gemaakt in de vlottende wereld van de moderne informatie- en communicatietechnologie. Alleen dat is al een reden vast te houden aan de eis van verboden toegang.

Frank Kuitenbrouwer is medewerker van NRC Handelsblad