Categorieën
Cybercrime & Cybersecurity Strafwetgeving

Strafrechtelijke vervolging van cybercriminaliteit in Duitsland: cybercriminaliteitsonderzoeken in verandering

De manier waarop digitale rechercheurs in Duitsland en Europa tegenwoordig werken, is fundamenteel veranderd – iets wat nog lang niet door alle betrokkenen is opgemerkt. Als strafrechtadvocaat zie ik zelf al jaren hoe de zaken veranderen in mijn eigen cybercriminaliteitszaken. Daar komt nog eens de vele informatie bij die ik krijg uit mijn netwerk van cliënten en collega’s. En ik kan alleen maar zeggen: het wordt tijd om wakker te worden. Want juist Duitse onderzoekers zijn extreem vasthoudend en weten internationale instrumenten uitstekend in te zetten. Vooral de speciale openbare aanklagers in Keulen, Frankfurt en Bamberg moet je internationaal in de gaten houden.

Cybercriminaliteitsplatforms in het vizier van onderzoekers

Ook ik kan niet om de verplichte inleiding heen. Ik wil kort ingaan op de huidige ontmantelingen: nationale en internationale wetshandhavingsinstanties ontmantelen in toenemende mate een reeks belangrijke infrastructuurplatforms voor cybercriminaliteit.

Het Bundeskriminalamt (de Duitse federale recherche) spreekt in het huidige rapport Bundeslagebild Cybercrime 2024 van “aanzienlijke successen”, wat samenhangt met de toenemende druk op de georganiseerde digitale onderwereld. De doelstellingen variëren van ransomware-infrastructuren en phishing-diensten tot illegale handelsplatforms op het darknet en clearnet-gerelateerde gebieden. Wat valt er zoal te melden?

Genesis Market – Credential-marktplaats met wereldwijd bereik

Met Genesis Market werd in april 2023 een centraal handelsplatform voor gestolen toegangsgegevens opgerold. De FBI coördineerde de internationale actie samen met Europese autoriteiten. De marktplaats bood zogenaamde “bots” aan – dat wil zeggen gecompromitteerde toegangsgegevens inclusief vingerafdrukken, cookies en apparaatgegevens, verpakt in een gebruiksvriendelijke interface. Genesis was daarmee een belangrijk instrument voor identiteitsdiefstal, account-overnames en daaropvolgende frauduleuze handelingen. Volgens het BKA zijn er in het kader van de operatie “Cookie Monster” meerdere arrestaties verricht in Duitsland, waaronder een verdachte met meer dan 6.000 gegevensrecords op zijn account.

Raidforums en BreachForums – Opvolgers en ineenstorting

Al in 2022 werd Raidforums offline gehaald, een platform dat een centrale rol speelde bij de uitwisseling van grote datalekken. In 2023 werd ook BreachForums uitgeschakeld – een soort opvolger waarop onder andere zeer gevoelige gegevensbestanden zoals die van Doxbin, gezondheidsgegevens of gelekte overheidsinformatie werden verkocht en verspreid. Ook deze klap was internationaal gecoördineerd, waarbij opnieuw ook Duitse IP-adressen en gebruikers werden getroffen.

Kingdom Market – Drugsverkoop en namaakproducten op het darknet

Met Kingdom Market werd in december 2023 een belangrijke darknet-marktplaats uit het net gehaald. Het platform werd gebruikt voor de handel in verdovende middelen, identiteitsdocumenten, vals geld en andere illegale goederen. De infrastructuur was technisch zeer goed beveiligd – het BKA spreekt van het gebruik van meerdere lagen versleutelde servers en uitwijkroutines. Ook hier werd toegang verkregen door internationale onderzoeksallianties, waaronder de FBI, Europol en Duitse autoriteiten.

Exclu Messenger – Cryptocommunicatie voor de georganiseerde misdaad

Het BKA besteedt bijzondere aandacht aan het oprollen van de versleutelde communicatiedienst “Exclu”. Deze werd in februari 2023 in het kader van een gecoördineerde actie ontmanteld. Exclu was als zogenaamd veilige berichtendienst vooral populair in de wereld van de georganiseerde misdaad, waaronder ook actoren uit de cybercriminaliteit, zoals ransomwaregroepen of aanbieders van DDOS-as-a-Service. Het platform werd beheerd door een team van ontwikkelaars gevestigd in Nederland; ook hier was Duitsland opnieuw actief betrokken bij het onderzoek.

Phishing-as-a-Service-aanbieder “LabHost”

In april 2023 werd met “LabHost” een platform uitgeschakeld dat phishing-as-a-service op industriële schaal mogelijk maakte. Het bood phishing-kits, hosting en bedieningsinterfaces voor valse inlogpagina’s aan – voor honderden banken, telecomaanbieders en online diensten. Het platform was sterk geautomatiseerd en stelde zelfs technisch onervaren daders in staat om complexe phishingcampagnes te starten. Ook hier zien we het nieuwe patroon: professionalisering, taakverdeling en servicegerichtheid in de digitale criminaliteit.

Meer takedowns en trends

Naast deze prominente gevallen verwijst het BKA naar talrijke andere ontmantelingen van kleinere infrastructuren: bulletproof hostings zoals Cyberbunker en ZServers, cryptingservices en ransomware command-and-control-servers. In het bijzonder wordt de aanbieder “NoEscape” genoemd, waarvan de infrastructuur in 2023 werd gecompromitteerd. De politie zet daarbij steeds meer in op de combinatie van “Cyber Action Days”, OSINT, geïnfiltreerde Telegram-groepen en klassiek undercoveronderzoek.

De visie van de strafrechtadvocaat gespecialiseerd in cybercriminaliteit

De genoemde selectie van ontmantelde cybercriminaliteitsdiensten markeert een fase van versterkte repressie, met name tegen platforms die door hun servicegerichtheid drempels verlagen en de vaardigheden van daders loskoppelen. Ik blog al jaren over IT-strafrecht en documenteer in dit verband al geruime tijd een ontwikkeling die geleidelijk tot stand is gekomen: De verschuiving van de individuele “hacker” naar een op arbeidsverdeling georganiseerde cybercriminaliteitseconomie met front-end dienstverleners, betalingsverwerkers en infrastructuurbeheerders is voltooid. Dat de onderzoeksmaatregelen zich nu juist op deze platformbeheerders concentreren, is een uiting van deze verschuiving, maar tegelijkertijd ook een teken van een groeiende onzekerheid in het milieu wat betreft anonimiteit, vertrouwen en duurzaamheid.

Het is geen toeval dat ook het aantal mandaten toeneemt waarin verdachten zich beroepen op technische naïviteit, juridische onduidelijkheden en het ontbreken van opzet. Juist bij diensten als Genesis Market of LabHost ontstaan nieuwe mogelijkheden voor verdediging – of het nu gaat om de subjectieve kant van het delict, de omvang van de betrokkenheid of de (on)rechtmatigheid van de onderzoeksmaatregelen.

Wilt u meer over mij te weten komen? Ik heb me tot nu toe in twee podcasts uitgelaten over het onderwerp digitaal bewijsmateriaal: in de Heise Podcast “Auslegungssache” heb ik gesproken over het onderwerp digitale onderzoeken, hier te vinden.

In de podcast “Rechtsbelehrung” heb ik wat meer technisch gesproken over digitale forensica en bewijsvoering – te vinden hier.

Onderzoekers veranderen de spelregels

Op een bepaald moment, vanuit het huidige perspectief enkele jaren geleden, heeft zich op relatief sluipende wijze maar in korte tijd een paradigmaverschuiving voorgedaan bij de onderzoekers. Deze gewijzigde werkwijze heeft de afgelopen jaren enorme gevolgen gehad – interessant genoeg zijn het nu de “gebruikers” die de aansluiting hebben verloren. Terwijl zij op forums en boards nog steeds fantaseren over onderzoekers die overweldigd worden door technologie, boeken de onderzoekers het ene resultaat na het andere. Dat is geen toeval.

Natuurlijk moet je een onderscheid maken: de gemiddelde politieagent ter plaatse is geen specialist in cybercriminaliteit. Bij echte cybercriminaliteit komt hij echter helemaal niet meer in actie – en de professionalisering bij speciale afdelingen voor cybercriminaliteit, uiterlijk bij de LKA en het openbaar ministerie (met name in Keulen, Bamberg en Frankfurt), mag er zeker zijn. Je merkt ook al snel dat dit geen ontmoeting op ooghoogte meer kan zijn als de standaardverdediger tegenover hen staat en volgens een vast stramien probeert te werken. Niet voor niets ontmoet je collega’s van het openbaar ministerie uit deze gebieden ook regelmatig buiten je eigen instantie tijdens vakbijeenkomsten of lees je vakpublicaties uit deze sfeer. Ook dat staat in schril contrast met de gemiddelde Duitse officier van justitie, die het publiek eerder mijdt en wil werken zoals 30 jaar geleden.

Nieuwe wegen voor onderzoekers

Professionele rechercheurs werken al lang volgens volledig nieuwe methoden. En ook al valt het nauwelijks op: jaren geleden was zoiets in Duitsland nog ondenkbaar – men heeft veel geleerd van de VS en BTM-onderzoeken en dat vervolgens doelgericht toegepast op cybercriminaliteit. Het verdedigingspotentieel is daarbij op feitelijk niveau drastisch geslonken. De vaak volstrekt onprofessioneel voorbereide cybercriminelen doen er dan vaak nog een schepje bovenop om zich over te leveren aan de latere procedure.

Onderzoekers in de schijnwerpers

Nog maar een paar jaar geleden werkten rechercheurs braaf door, grepen ze in en … klaar. Dan kwam op een gegeven moment de aanklacht en misschien berichtte de pers er tussendoor wel eens over. Dat is veranderd: het begon met proactieve, vroegtijdige persvoorlichting, escaleerde naar publieksgerichte “Action Days” in combinatie met gamedesign-geschikte logo’s(*) en opvallende banners op uitgeschakelde websites … tot aan vandaag de dag eigen informatiewebsites over concrete maatregelen, waarmee gebruikers en andere criminelen doelgericht worden aangesproken. Preventie en repressie raken steeds meer met elkaar verweven.

(*) Waarbij de Fransen weer eens de kroon spannen, terwijl het Duitse BND-symbool verdacht veel lijkt op het UCF-logo uit Verhoevens Starship Troopers.

Eerst luisteren, dan toeslaan

Een ander aspect is de manier van toegang: ik herinner me nog goed dat illegale aanbiedingen werden ontdekt en snel werden stopgezet. Idealiter met de klassieke aanpak: je gaat erop af en voert een huiszoeking uit. De FBI was daar al vroeg mee bezig: wanneer illegale servers in beslag werden genomen, werden ze een tijdje onder een andere vlag verder geëxploiteerd – en werden er zo goed mogelijk gegevens verzameld, die vervolgens graag werden doorgegeven, bijvoorbeeld aan het BKA. Aan de andere kant weten we al lang uit BTM-procedures dat er enige tijd wordt geobserveerd en dat strafbare feiten met medeweten van de onderzoekers worden toegestaan(*).

Bij cybercriminaliteit verloopt het nu op dezelfde manier, niet pas sinds Encrochat, maar daar werd het wel duidelijk: men zoekt toegang en probeert mee te luisteren, gegevens te verzamelen om vervolgens doelgericht toegang te krijgen. Encrochat was niet de eerste keer, noch de laatste keer – ik ken nog andere gevallen, waarvan er één heel recent is en veel media-aandacht krijgt – waarin men de server opspoort, het netwerkverkeer opneemt, op de achtergrond onderzoek doet en dan op een gegeven moment … Action Day (dat woord wordt echt gebruikt, ik ken het uit tal van onderzoeken, van drugs tot cybercriminaliteit). Soms wordt er maanden tot een jaar lang voorbereid, verzameld en geëvalueerd; er worden zelfs serverimages gemaakt en al geëvalueerd terwijl het aanbod nog steeds loopt en wordt gebruikt. Het heeft lang geduurd voordat ik begreep hoe je dat onopgemerkt kunt doen (en nee, dat ga ik hier niet onthullen).

(*) Hierover bestaat inmiddels een schat aan jurisprudentie van het Bundesgerichtshof (BGH) inzake strafmaatbepaling – de onderzoekers mogen zo te werk gaan en het heeft zelfs geen zin om te zeggen dat je bent geobserveerd.

Duitse strafrechtadvocaat en advocaat Jens Ferner, vooraanstaand strafrechtadvocaat en IT-rechtdeskundige - gespecialiseerd advocaat in strafrecht en gespecialiseerd advocaat in IT-recht

Hoe staat het met cybercriminaliteit?

De onderzoekers doen momenteel veel goed: ze zijn afgestapt van individuele aanbiedingen en richten zich nu op hostingaanbiedingen, communicatie-infrastructuren en platforms. Maar dat zijn slechts onderzoeksbenaderingen om idealiter op het hoogste netwerkniveau (in het OSI-model laag 1 en 2) mee te luisteren. Als je dan met voldoende verzamelde gegevens de macro-economie laat instorten, heb je vrijwel automatisch de bijbehorende massale micro-economie in je kielzog. Het heeft even geduurd, maar de cybercriminaliteitsonderzoekers hebben gereageerd op de geïndustrialiseerde en geprofessionaliseerde cybercriminaliteit met een passende opzet van het onderzoek. Waar “cybercrime as a service” heerst, staat inmiddels “crimefighting as a service” tegenover, dat bijvoorbeeld het BKA met zijn cybertoolbox heel slim aanbiedt aan de lokale politie.

Wie cybercrime-onderzoekers niet serieus neemt (en gezien de relevante forums zijn dat heel veel mensen), begrijpt niet dat de wind vandaag anders waait. Ja, Russische hackers in Rusland zul je niet te pakken krijgen. Dat heeft echter niets te maken met de klassieke, winstgerichte cybercriminaliteit, waarvan de aanbiedingen als dominostenen omvallen. De beschreven aanpak, in combinatie met de koppeling van de massaal gevonden gegevens, werkt als een lopend vuurtje. Ik vermoed dat de onderzoekers momenteel niet kunnen beslissen waar ze vervolgens moeten toeslaan, terwijl men vroeger al blij was dat er überhaupt aanknopingspunten voor onderzoek waren.

De Duitse rechtspraak, die geen verbod op het gebruik van bewijsmateriaal kent, maakt daarbij uiterst grensgevallen mogelijk – zoals Encrochat heeft aangetoond. Uiterlijk sinds Encrochat – toen veel verdedigers hun hele tactiek baseerden op een verbod op het gebruik van bewijsmateriaal dat naar verwachting niet zou bestaan – zou ook duidelijk moeten zijn: met rondbazuinen bereik je geen goede resultaten. Je moet er vroeg voor zorgen dat je een advocaat hebt die je zelf hebt uitgekozen, voordat je aangewezen bent op domme tips in de gevangenis en door de rechtbank aangewezen pro-Deoadvocaten, omdat je in de cel niet weet wat je moet doen.

Opsporingslijsten: grenzen zijn geen harde muren meer!

Wie vandaag nog steeds gelooft dat een landsgrens een echte beschermingswal vormt, heeft geen idee en zou zo snel mogelijk terug moeten keren naar de legaliteit: binnen Europa wordt inmiddels routinematig samengewerkt en servertoegang over de grenzen heen is naar mijn mening vlekkeloos mogelijk. Daarbij zal de implementatie van eEvidence er nog eens een schepje bovenop doen om dit nog beter te laten verlopen. En even terzijde: wie denkt dat Frankrijk of Nederland naast Duitsland een slimme locatie zijn, heeft echt geen idee meer. Juist Nederland is een brandpunt met fantastische onderzoeksmogelijkheden op netwerk-/serverniveau – het is geen wonder dat dit kleine land zo vaak opduikt bij cybercriminaliteitsacties, bijna onopgemerkt aan de rand.

Maar ook de grensoverschrijdende opsporing werkt goed, de rechercheurs hebben gewoon veel doorzettingsvermogen en de opsporing loopt door tot de pijngrens (dat wil zeggen: tot de absolute verjaringstermijn, die voor deze delicten al snel 20 jaar bedraagt). Ook hier verandert er het een en ander. Op de openbare opsporingslijst van het BKA tel ik momenteel 24 personen die worden gezocht in verband met cybercriminaliteit en ook op de “EU Most Wanted“-lijst staan steeds meer cybercriminelen. Dit toont aan dat cybercriminaliteit vanuit het oogpunt van onderzoekers al lang vergelijkbaar is met andere vormen van georganiseerde criminaliteit en serieus wordt genomen. Onlangs is bijvoorbeeld iemand uit de ransomware-wereld door EUROPOL op de EU-opsporingslijst geplaatst.

Hoe ziet een goede verdediging tegen cybercriminaliteit eruit?

Duitse advocaat Jens Ferner, vooraanstaand strafrechtadvocaat en IT-rechtdeskundige - gespecialiseerd advocaat in strafrecht en IT-recht

Een goede verdediging tegen cybercriminaliteit begint al lang voordat de rechercheurs ingrijpen. Op het moment van ingrijpen zijn er altijd twee grote problemen: verrassing en geld. Beide zijn absoluut te vermijden ergernissen.

Twee factoren die cybercriminaliteitstrafrechtelijke verdediging bemoeilijken

Overrompeling

Een belangrijk aspect is de verrassing, die natuurlijk ook de bedoeling is op de ‘actiedag’ van de onderzoekers – huiszoekingen zijn immers vooral effectief als je er zelf niet op bent voorbereid. Maar ook op andere vlakken word je verrast: soms word je in hechtenis genomen en heb je geen mogelijkheid om te communiceren. Als je dan ineens in een cel zit, in het geval van twijfel in het buitenland met een aanstaande overplaatsing naar Duitsland, kun je je nergens meer om bekommeren! Dat betekent dat als je niet van tevoren een advocaat hebt geregeld, je nu moet proberen een echte professional te vinden … of (op een gegeven moment) een advocaat krijgt toegewezen door justitie. Die misschien wel strafrecht kent, maar niet echt iets kan beginnen met de fijne kneepjes van cybercriminaliteit en stoïcijns kennis neemt van het politieonderzoek.

Geld

Het andere aspect is het geld, en ja: dat is een zeer relevant onderwerp. Wanneer onderzoekers toeslaan, wordt alles in beslag genomen wat digitaal bewijsmateriaal of (digitale) waarde zou kunnen zijn. Zelfs als je op de een of andere manier een goede advocaat kunt vinden, heb je nu het probleem dat je die niet kunt betalen omdat alles in beslag is genomen. En dit probleem mag niet worden onderschat: het is op zijn minst gênant als ik zie dat ik verzoeken krijg van mensen die bijvoorbeeld op de opsporingslijst van de BKA staan en niet eens een fatsoenlijke voorschot kunnen betalen.

Beide factoren samen verhinderen voortdurend een professionele begeleiding – en ik ben nog niet op het punt dat zelfs cybercriminaliteitsprofessionals soms via TikTok-video’s op advocaten attent worden gemaakt en denken dat dit een geschikt kwaliteitscriterium is. Ervaren strafrechtadvocaten op het gebied van cybercriminaliteit respecteren echter dat hun cliënten op dit gebied slechts een bepaalde mate van publiciteit tolereren. Het belangrijkste is om al in “goede tijden” te zorgen voor een kwalitatief goede strafrechtadvocaat, die ofwel vooraf betaald wordt om dan onmiddellijk in actie te komen als er iets is, ofwel via een betrouwbare trustee voorzorgsmaatregelen te nemen. Daar zijn oplossingen voor (en alsjeblieft geen cryptovaluta, want in geval van twijfel worden wallets net zo goed bewaakt als P2P-netwerken!), je moet er gewoon voor zorgen.

Ik begeleid ook al jaren mensen die in het buitenland worden gezocht en advies zoeken – geloof me: als je niet permanent met veel geld in Dubai zit (en dat doen maar heel weinig mensen), ziet alles er in het begin altijd rooskleurig uit, maar na verloop van tijd wordt het moeilijk. Er zijn echter wel degelijk mogelijkheden! Het is een veelvoorkomend scenario dat mensen in het begin zeker zijn van hun zaak, maar na een paar maanden al de eerste ontnuchtering intreedt.

Verdedigingsstrategieën tegen cybercriminaliteit

Wat zijn de verschillen tussen een goede strafrechtadvocaat op het gebied van cybercriminaliteit?

Een veelgehoord credo op relevante forums is: als ze voor de deur staan, is het toch al te laat en maakt alles niets meer uit. Dat kan gedeeltelijk waar zijn, maar niet helemaal.

Het eerste waar je verstandige strafrechtadvocaten op het gebied van cybercriminaliteit aan herkent, is hun manier van werken: wie via Teams wil overleggen en Dropbox en Word gebruikt, heeft niet begrepen hoe rechercheurs werken. Hoe ik te werk ga: mijn volledige e-mailinfrastructuur draait op Protonmail, ik maak categorisch geen gebruik van de Big Four Big Tech en al mijn apparaten zijn volledig versleuteld. Communicatie via GPG-versleuteling of Threema; geen goedkope hardware, maar altijd actuele apparaten die worden weggegooid zodra er geen updates meer zijn. Versleutelde bestandscontainers met Cryptomator of Veracrypt. En natuurlijk ben ik bedreven in het gebruik van Kali-Linux, kan ik logbestanden lezen, weet ik hoe Unix- en Windows-gebaseerde systemen logbestanden genereren en begrijp ik netwerkprotocollen.

Ten tweede moet men zich bewust zijn van enkele juridische details: bewijsverboden bestaan feitelijk niet in Duitsland en alleen theoretische interpretaties van bewijsmateriaal zijn geen dwingend argument. In beide opzichten onderscheidt Duitsland zich van andere rechtsgebieden! Als een strafrechtadvocaat bij het voorliggende bewijsmateriaal probeert om met “juridische finesse” trucjes uit te halen, is dat zinloos en misleidt hij alleen maar zijn cliënt. Belangrijker is het vermogen om te beoordelen wat echt bruikbaar is als bewijsmateriaal – en waar het onderzoek realistisch gezien kan worden bemoeilijkt. Ook het vermogen om te voorspellen wat onderzoekers nog zullen ontdekken, om niet te vroeg slechte verklaringen af te leggen, is goud waard – maar vereist ook dat men het werk van onderzoekers kent.

Een goede strafrechtadvocaat die verstand heeft van cybercriminaliteit zorgt er uiteindelijk niet voor dat iemand wordt vrijgesproken terwijl een veroordeling al zeker is – zulke onzin zie je alleen op tv. Hij kan echter jaren besparen en, vooral bij een ondergeschikte rol, voorwaardelijke straffen bedingen die niet duidelijk op tafel lagen. Een goede strafrechtadvocaat maakt namelijk niet alleen het onmogelijke mogelijk, maar bereikt ook gewoon een realistisch, zo goed mogelijk resultaat. In Duitsland is daar verrassend veel ruimte voor, bijvoorbeeld omdat procedurele (gedeeltelijke) seponeringen bij ons doelgericht kunnen worden uitgewerkt. Daarvoor moet je echter wel de spelregels kennen.

Duitse Advocaat Jens Ferner
Duitse Advocaat Jens Ferner
Advocaat bij Advocatenkantoor Ferner Alsdorf
Ik ben een gespecialiseerde advocaat voor strafrecht + gespecialiseerde advocaat voor IT-recht en wijd mijn professionele leven volledig aan strafrechtelijke verdediging - en IT-recht als advocaat voor creatieve & digitale bedrijven en greentech. Voordat ik advocaat werd, was ik softwareontwikkelaar. Ik ben auteur in een gerenommeerd StPO-commentaar en in vakbladen.

Ons kantoor is gespecialiseerd in strafrechtelijke verdediging, witteboordenstrafrecht en IT-recht. Let op ons werk in kunstrecht, digitaal bewijs en softwarerecht.
Duitse Advocaat Jens Ferner
Laatste berichten van Duitse Advocaat Jens Ferner (alles zien)

Door Duitse Advocaat Jens Ferner

Ik ben een gespecialiseerde advocaat voor strafrecht + gespecialiseerde advocaat voor IT-recht en wijd mijn professionele leven volledig aan strafrechtelijke verdediging - en IT-recht als advocaat voor creatieve & digitale bedrijven en greentech. Voordat ik advocaat werd, was ik softwareontwikkelaar. Ik ben auteur in een gerenommeerd StPO-commentaar en in vakbladen.

Ons kantoor is gespecialiseerd in strafrechtelijke verdediging, witteboordenstrafrecht en IT-recht. Let op ons werk in kunstrecht, digitaal bewijs en softwarerecht.