Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Lawful hacking

Concepten

Het toestaan van hacken door politie en justitie voor opsporingsdoeleinden, onder strikte juridische voorwaarden. Dit kan gaan om het ontsleutelen van versleutelde informatie, het gebruiken van backdoors, het gebruiken van bekende vulnerabilities etc.

Lawful hacking verwijst naar de bevoegdheid van opsporingsdiensten en inlichtingendiensten om computersystemen binnen te dringen als onderdeel van strafrechtelijk onderzoek of nationale veiligheid. In tegenstelling tot ethical hacking, waarbij een organisatie zelf opdracht geeft tot een beveiligingstest, gaat het bij lawful hacking om overheidsinstanties die zonder medewerking van de eigenaar toegang verkrijgen tot systemen. Dit roept fundamentele vragen op over privacy, rechtsbescherming en de grenzen van overheidsmacht in het digitale domein.

In Nederland is lawful hacking geregeld in de Wet Computercriminaliteit III, die in 2019 van kracht werd. Deze wet geeft de politie en het Openbaar Ministerie de bevoegdheid om op afstand computersystemen binnen te dringen voor het opsporen van ernstige misdrijven. De wet was noodzakelijk omdat criminelen steeds vaker gebruik maken van encryptie en anonimiseringstechnieken die traditionele opsporingsmethoden zoals telefoontaps en huiszoekingen onbruikbaar maken in de digitale wereld.

Waarom is lawful hacking belangrijk?

De digitalisering van criminaliteit heeft een kloof gecreeerd tussen de mogelijkheden van criminelen en de opsporingsbevoegdheden van de overheid. Criminele netwerken communiceren via versleutelde berichtendiensten, slaan bewijs op in de cloud en opereren vanuit jurisdicties die niet meewerken aan rechtshulpverzoeken. Zonder de mogelijkheid om systemen op afstand te doorzoeken, zouden bepaalde vormen van cybercrime, kindermisbruik en terrorisme vrijwel onopspoorbaar worden.

Het Nederlandse opsporingsapparaat heeft met lawful hacking al aanzienlijke successen geboekt. De ontmanteling van het versleutelde communicatienetwerk EncroChat in 2020 is een prominent voorbeeld. Miljoenen berichten werden onderschept, wat leidde tot honderden arrestaties in heel Europa. Ook de operatie tegen Sky ECC in 2021 resulteerde in de arrestatie van tientallen verdachten en het in beslag nemen van tonnen drugs en miljoenen euro's aan crimineel vermogen.

Tegelijkertijd waarschuwen privacyorganisaties en digitale rechtengroepen zoals Bits of Freedom voor de risico's. De bevoegdheid om systemen binnen te dringen kan misbruikt worden, en de gebruikte kwetsbaarheden kunnen ook door kwaadwillenden worden ontdekt. Het spanningsveld tussen veiligheid en privacy maakt lawful hacking een van de meest bediscussieerde onderwerpen in het cybersecuritydomein. De vraag is niet of de overheid deze bevoegdheid moet hebben, maar hoe de waarborgen tegen misbruik sterk genoeg kunnen zijn.

Hoe pas je lawful hacking toe?

Lawful hacking wordt niet door organisaties zelf toegepast, maar is een overheidsbevoegdheid die aan strikte voorwaarden gebonden is. In Nederland mag de politie alleen systemen binnendringen na een machtiging van de rechter-commissaris. De machtiging specificeert welke systemen betreden mogen worden, welke gegevens verzameld mogen worden en hoe lang de operatie mag duren. Er geldt een subsidiariteitsbeginsel: lawful hacking mag alleen worden ingezet als andere opsporingsmiddelen onvoldoende resultaat opleveren.

De technische uitvoering wordt verzorgd door gespecialiseerde teams binnen de politie, zoals het Team High Tech Crime van de Landelijke Eenheid. Zij ontwikkelen of kopen tools om kwetsbaarheden in software te benutten. Dit kan variteren van het installeren van monitoring-software op een verdacht systeem tot het overnemen van een criminele server om de gebruikers te identificeren. De exacte technieken zijn geheim om de effectiviteit te bewaren.

Voor organisaties is het relevant om te weten dat lawful hacking gevolgen kan hebben voor hun eigen systemen. Als een medewerker verdacht wordt van een misdrijf, kan de politie bevoegd zijn om het bedrijfssysteem te betreden. Daarnaast kunnen organisaties onbewust als tussenstation fungeren wanneer criminelen hun infrastructuur misbruiken. Organisaties doen er verstandig aan om hun incident response-procedures hierop voor te bereiden en juridisch advies in te winnen over de samenwerking met opsporingsdiensten.

De inzet van lawful hacking kent ook internationale dimensies. De Wet Computercriminaliteit III staat toe dat Nederlandse opsporingsdiensten onder bepaalde voorwaarden systemen in het buitenland binnendringen. Dit is met name relevant bij grensoverschrijdende cybercrime, maar roept vragen op over soevereiniteit en internationale samenwerking. Het Verdrag van Budapest biedt hiervoor een juridisch kader, maar de praktijk loopt vaak voor op de wetgeving.

Lawful hacking in de praktijk

Een concreet voorbeeld van lawful hacking in de Nederlandse praktijk is de zaak rond het darkweb-forum Hansa Market. In 2017 nam het Team High Tech Crime de servers van Hansa Market over en runde het platform weken door, terwijl alle transacties en gebruikersgegevens werden vastgelegd. Deze operatie leidde tot de identificatie en arrestatie van tientallen verdachten wereldwijd en toonde de effectiviteit van deze opsporingsmethode aan.

Een ander voorbeeld is de ontmanteling van het Emotet-botnet in januari 2021, waarbij een internationale coalitie onder leiding van Europol en met Nederlandse betrokkenheid de infrastructuur van de malware overnam. Via lawful hacking werden de command-and-control servers overgenomen en werd een update naar geinfecteerde systemen gestuurd die de malware onschadelijk maakte. Dit is een voorbeeld van hoe lawful hacking ook defensief kan worden ingezet.

Voor het MKB heeft lawful hacking indirecte gevolgen. Wanneer opsporingsdiensten kwetsbaarheden geheim houden om ze te kunnen gebruiken voor lawful hacking, blijven diezelfde kwetsbaarheden beschikbaar voor criminelen. Het Vulnerabilities Equities Process, het afwegingskader dat bepaalt of een gevonden kwetsbaarheid gemeld of bewaard wordt, is daarom een belangrijk beleidsinstrument. In Nederland adviseert de Wetenschappelijke Raad voor het Regeringsbeleid om terughoudend te zijn met het achterhouden van kwetsbaarheden.

Belgische wetgeving biedt een interessant vergelijkingspunt. Sinds 2023 mogen ethische hackers in Belgie zonder voorafgaande toestemming systemen van Belgische organisaties testen, mits zij gevonden kwetsbaarheden binnen 72 uur melden aan het Centre for Cybersecurity Belgium (CCB). Dit is geen lawful hacking in de opsporingszin, maar toont hoe verschillende landen de grenzen van toegestaan hacken anders invullen en hoe het juridisch kader zich blijft ontwikkelen.

Veelgestelde vragen over lawful hacking

Is lawful hacking hetzelfde als ethical hacking?

Nee. Ethical hacking wordt uitgevoerd in opdracht van de systeemeigenaar om beveiligingslekken te vinden. Lawful hacking is een opsporingsbevoegdheid waarbij de overheid zonder toestemming van de eigenaar systemen binnendringt. Het juridisch kader en het doel zijn fundamenteel verschillend.

Wie mag lawful hacking uitvoeren in Nederland?

Alleen de politie en het Openbaar Ministerie mogen lawful hacking toepassen, en uitsluitend na een machtiging van de rechter-commissaris. De AIVD en MIVD hebben vergelijkbare bevoegdheden onder de Wet op de inlichtingen- en veiligheidsdiensten (Wiv 2017).

Kan mijn bedrijfssysteem doelwit zijn van lawful hacking?

Ja, als een medewerker verdacht wordt van een ernstig misdrijf of als jouw systemen onbewust worden misbruikt door criminelen. In dat geval kan de politie gemachtigd worden om jouw systemen te doorzoeken. Zorg voor goede logging en een actueel incident response-plan.

Hoe verschilt de Nederlandse wet van andere landen?

Nederland was een van de eerste landen met een specifieke wettelijke basis voor remote hacking door opsporingsdiensten. De Wet Computercriminaliteit III is relatief uitgebreid en bevat waarborgen zoals rechterlijke toetsing. Andere landen, waaronder de VS en het VK, hebben vergelijkbare maar anders gestructureerde bevoegdheden.

Welke risico's brengt lawful hacking met zich mee?

De belangrijkste risico's zijn misbruik van bevoegdheden, het geheim houden van kwetsbaarheden die ook criminelen kunnen benutten, en mogelijke schade aan systemen van onschuldige derden. Onafhankelijk toezicht en transparante rapportage zijn essentieel om deze risico's te beperken.

Meer weten over beveiligingsbeleid en compliance? Bekijk Governance Risk Compliance aanbieders op IBgidsNL.