Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Computervredebreuk

Aanvallen

Met opzet inbreken in een digitaal systeem, terwijl dat van de wet niet mag.

Computervredebreuk is het opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd werk of een deel daarvan. In de Nederlandse wetgeving is computervredebreuk strafbaar gesteld in artikel 138ab van het Wetboek van Strafrecht. Het is de digitale equivalent van inbraak: waar huisvredebreuk het onrechtmatig betreden van een fysieke ruimte betreft, gaat computervredebreuk over het ongeautoriseerd toegang verkrijgen tot computersystemen, netwerken of databases. Deze strafbaarstelling vormt een van de juridische pijlers onder cybersecurity in Nederland en is relevant voor elke organisatie die te maken heeft met digitale dreigingen.

Hoe werkt computervredebreuk?

Volgens artikel 138ab van het Wetboek van Strafrecht is er sprake van binnendringen wanneer iemand toegang krijgt tot een systeem door het doorbreken van een beveiliging, door een technische ingreep, met behulp van valse signalen of een valse sleutel, of door het aannemen van een valse hoedanigheid. Het begrip "valse sleutel" omvat onder meer gestolen wachtwoorden, gekopieerde credentials en onrechtmatig verkregen toegangscodes.

In de praktijk kan computervredebreuk vele vormen aannemen. Het kraken van een wachtwoord via brute force om toegang te krijgen tot een e-mailaccount valt eronder, net als het exploiteren van een kwetsbaarheid in een webapplicatie om bij de achterliggende database te komen. Ook het gebruik van gestolen inloggegevens die via phishing zijn verkregen, vormt computervredebreuk wanneer die credentials worden ingezet om ongeautoriseerd in te loggen.

Het is belangrijk om te weten dat er geen schade hoeft te zijn voor strafbaarheid. Het enkele feit van het ongeautoriseerd binnendringen is al voldoende voor een veroordeling. Je hoeft geen gegevens te stelen, te wijzigen of te verwijderen. Het overtreden van de digitale drempel is op zichzelf al strafbaar. Dit maakt de drempel voor strafvervolging bewust laag, omdat de wetgever het binnendringen zelf als de kern van het delict beschouwt.

Hoe herken je computervredebreuk?

Het detecteren van computervredebreuk vereist actieve monitoring van je systemen en netwerken. Ongeautoriseerde inlogpogingen, succesvol of niet, zijn het meest directe signaal. Een SIEM-systeem kan patronen herkennen zoals meerdere mislukte inlogpogingen gevolgd door een succesvolle login, inlogactiviteit op ongebruikelijke tijdstippen of vanuit onverwachte locaties, en het gebruik van accounts die normaal gesproken inactief zijn.

Andere indicatoren zijn onverklaarbare wijzigingen in bestanden, configuraties of gebruikersrechten. Als er nieuwe gebruikersaccounts verschijnen die niemand heeft aangemaakt, of als bestaande accounts plotseling uitgebreidere rechten hebben, kan dit wijzen op een indringer die zich een persistente toegangsweg aan het creeren is. Ongebruikelijke dataoverdrachten, vooral naar externe bestemmingen, zijn eveneens verdacht.

Op netwerkniveau kan je letten op onbekend verkeer naar of vanaf systemen, ongeautoriseerde VPN-verbindingen en pogingen om firewall-regels te omzeilen. Log-analyse is een krachtig hulpmiddel: systematische review van toegangslogs, systeemlogboeken en netwerkverkeer kan sporen van computervredebreuk blootleggen die in real-time gemist zijn.

Hoe bescherm je je tegen computervredebreuk?

Sterke authenticatie is de eerste verdedigingslinie tegen computervredebreuk. Implementeer multi-factor authenticatie op alle systemen, zodat een gestolen wachtwoord alleen niet voldoende is om binnen te komen. Dwing complexe wachtwoorden af en gebruik een wachtwoordmanager om hergebruik van wachtwoorden te voorkomen. Overweeg passwordless authenticatie via FIDO2-tokens voor kritieke systemen.

Houd alle software en systemen up-to-date. Veel gevallen van computervredebreuk maken gebruik van bekende kwetsbaarheden waarvoor al patches beschikbaar zijn. Een gestructureerd patch management-proces, aangevuld met regelmatige vulnerability assessments, verkleint het aanvalsoppervlak. Voer penetratietesten uit om te ontdekken welke zwakheden een aanvaller zou kunnen exploiteren voordat die dat daadwerkelijk doet.

Netwerksegmentatie en het principle of least privilege beperken de impact als computervredebreuk toch plaatsvindt. Door gebruikers en systemen alleen toegang te geven tot precies die resources die ze nodig hebben, voorkom je dat een indringer zich vrij door je hele netwerk kan bewegen. Implementeer monitoring en alerting zodat pogingen tot computervredebreuk snel worden gedetecteerd en je incident response-team kan ingrijpen.

Zorg voor adequate logging en bewaar logs gedurende minimaal zes maanden. Bij een vermoeden van computervredebreuk heb je deze logs nodig als bewijsmateriaal, zowel voor intern onderzoek als voor eventuele aangifte bij de politie. Zonder goede logging is het vrijwel onmogelijk om de omvang van een inbraak vast te stellen of de dader te identificeren.

Straffen en juridische gevolgen

De basis strafmaat voor computervredebreuk is een gevangenisstraf van maximaal twee jaar of een geldboete van de vierde categorie. Bij verzwarende omstandigheden loopt de maximale straf op. Wanneer de dader na het binnendringen gegevens kopieert, onderschept of opneemt die in het systeem zijn opgeslagen of worden verwerkt, stijgt de maximale straf naar vier jaar gevangenisstraf.

Als de computervredebreuk wordt gepleegd via een openbaar telecommunicatienetwerk, geldt eveneens een maximum van vier jaar. Heeft het binnendringen geleid tot ernstige schade aan het systeem of de gegevens, dan kan de straf oplopen tot vijf jaar. Deze hogere strafmaten weerspiegelen de ernst die de wetgever toekent aan de gevolgen van digitale inbraak.

Voor organisaties is het van belang om computervredebreuk niet alleen te zien als een extern risico. Medewerkers die ongeautoriseerd toegang zoeken tot systemen of gegevens waartoe zij niet bevoegd zijn, maken zich eveneens schuldig aan computervredebreuk. Een systeembeheerder die uit nieuwsgierigheid personeelsdossiers inziet waarvoor geen zakelijke noodzaak bestaat, begaat computervredebreuk ook al heeft die persoon technisch gezien wel de toegangsrechten.

Veelgestelde vragen over computervredebreuk

Wat is het verschil tussen hacken en computervredebreuk?

Hacken is een informeel begrip dat verwijst naar het ongeautoriseerd binnendringen van systemen. Computervredebreuk is de juridische term die dit gedrag strafbaar stelt via artikel 138ab van het Wetboek van Strafrecht. Niet alle vormen van hacken zijn computervredebreuk: ethisch hacken met toestemming van de systeemeigenaar is legaal en valt niet onder dit artikel.

Is een penetratietest computervredebreuk?

Nee, mits er een schriftelijke opdrachtovereenkomst ligt met duidelijke scope en toestemming van de systeemeigenaar. Zonder toestemming zou een penetratietest juridisch gezien wel degelijk computervredebreuk opleveren. Zorg altijd voor een getekende overeenkomst die de scope, methoden en tijdsperiode expliciet vastlegt.

Wat doe je als je organisatie slachtoffer is van computervredebreuk?

Schakel direct je incident response-plan in, isoleer getroffen systemen en bewaar alle logbestanden als bewijsmateriaal. Doe aangifte bij de politie, specifiek bij het Team High Tech Crime. Bij een mogelijk datalek moet je binnen 72 uur een melding doen bij de Autoriteit Persoonsgegevens conform de AVG.

Kun je per ongeluk computervredebreuk plegen?

Computervredebreuk vereist opzet: je moet weten dat je niet bevoegd bent tot toegang. Wie per ongeluk op een onbeveiligd systeem terechtkomt, maakt zich niet schuldig aan computervredebreuk. Echter, zodra je beseft dat je onbevoegd bent en toch verder gaat met het verkennen van het systeem, is er wel sprake van opzettelijk binnendringen.

Valt responsible disclosure onder computervredebreuk?

Nederland heeft een Leidraad Responsible Disclosure die aangeeft hoe beveiligingsonderzoekers kwetsbaarheden verantwoord kunnen melden. Als je proportioneel handelt en de kwetsbaarheid direct meldt bij de organisatie zonder gegevens te kopiëren of schade aan te richten, zal het OM in de regel niet vervolgen. Een formeel responsible disclosure beleid bij de organisatie biedt extra juridische bescherming.

Bescherm je organisatie tegen digitale inbraak. Vergelijk Penetratietesten aanbieders op IBgidsNL.