Særlig hackerdom fra Højesteret: Nu ligger det fast, at hacking giver lang fængselsstraf

Illustration: Virrage Images/Bigstock
En sag om hacking har for første gang i nyere tid nået Højesteret.

En tidligere it-chef blev i slutningen af februar idømt tre et halvt års fængsel for hacking og bedrageri.

I 2014 udførte den dømte hele tre hackerangreb mod sin tidligere arbejdsplads, hvor det lykkedes ham at slette både filer, programmer og hele virksomhedens intranet.

At Højesteret – ligesom landsretten – fandt manden skyldig er ikke i sig selv bemærkelsesværdigt, siger it-advokat Martin Von Haller Grønbæk fra advokatfirmaet Bird & Bird. Det særlige er den strafferamme, der er taget i brug.

»Dommen er særlig, da Højesteret har valgt at betragte den dømtes handlinger som noget, der falder under skærpende omstændigheder.«

Læs også: Konkurrent-ansat politianmeldt efter at have påpeget sikkerhedshul i KMD-system

Det er vanskeligt præcisere, hvornår hacking falder ind under lovens stk. 3, skriver Højesteret, som med dommen lægger en linje for, hvornår hacking kan udløse den højere straf.

I dommen har Højesteret vurderet, at hacker-angrebene alene skal straffes med to år – et halvt år mere, end Landsretten kom frem til.

»Dommen er ikke overraskende, men usædvanlig for den relativ lange fængselsstraf. Det ligger nu helt fast, at hacking kan give en længere tur bag tremmer,« vurderer Martin von Haller Grønbæk.

Betydelige skader

Den såkaldte hacker-paragraf – straffelovens § 263 – har tre forskellige strafferammer. I udgangspunkt kan man straffes med bøde eller fængsel indtil seks måneder for at læse andres meddelelser eller aflytte andre.

Man kan dog få op til halvandet år, hvis man skaffer sig adgang til andres oplysninger eller programmer. Og endelig kan man ifølge lovens stk. 3 under ‘skærpende omstændigheder’ sende straffen helt på til seks år.

De skærpede omstændigheder kommer i spil, når overtrædelsen er systematisk, når det sker for at stjæle erhvervsoplysninger, eller når brøden sker »under andre særligt skærpende omstændigheder«.

Læs også: Tyvstjal 200 vigtige filer: Ingeniør hacker tidligere arbejdsgiver fra hjemme-IP

Både forsvar og anklager påpeger i dommen, at det er uklart defineret i loven, hvad der kan tælle som »særligt skærpende omstændigheder«.

Det medgiver Højesteret:

»Udtrykket »andre særligt skærpende omstændigheder« angiver, at strafskærpelse også kan indtræde i andre tilfælde, der vanskeligt kan angives mere præcist,« bemærker domstolen.

En af mulighederne for at hive et hackerangreb op i den højeste strafferamme kan dog være, hvis angrebet har ‘betydelige skadesvirkninger’.

Lagt ned

Netop skadevirkningerne har været centrale for både Landsrettens og Højesterets afgørelse.

Ifølge dommen brugte den dømte it-chef i november 2014 en admin-profil til at tilgå sin tidligere arbejdsplads Storage Attached Network – SAN – der består af 37 harddiske. Her slettede han al data – der også talte mailsystem, styringssystemer, applikationer, data og intranet.

Dagen efter fik han på lignende vis adgang til en netværksharddisk, hvor han slettede logfiler med mere. Ugen efter loggede han endnu engang ind til selskabets it-system, hvor han slettede et lokalt intranet.

Læs også: 23-årig dømt for hacking - frikendt for at udnytte CPR-sikkerhedshul

Det lykkedes virksomheden at genskabe det meste data, men ikke desto mindre betød de tre angreb, at virksomheden blev ‘lagt ned’. Dele af personalet måtte hjemsendes, og det tog flere uger, før virksomhedens systemer og oplysninger var retableret, fremgår det af dommen fra Landsretten.

Det store tab, som virksomheden led, fik Landsretten til at kalde forbrydelsen for hacking under særlige omstændigheder og udmåle straffen til halvandet år.

Som at stjæle ting og penge

Mens Højesteret erklærer sig enig i vurderingen, mener domstolen altså, at hacker-angrebene skal straffes med to år.

Her peger Højesteret på de betænkninger, som Justitsministeriet kom med i 2004, da den nuværende strafferamme blev fastsat.

Læs også: Professor efter hackerdom: Staten skal gentænke sin data-håndtering fra bunden

Strafferammen blev hævet blandt andet for »bedre at afspejle forbrydelsens alvor under hensyn til det it-baserede samfunds sårbarhed og for at undergive kriminalitet rettet mod informationer samme strafmaksimum som kriminalitet rettet mod mere traditionelle værdier i form af penge og ting«, skriver domstolen.

Virksomheden har opgjort et erstatningskrav til den hacker-dømte på 432.527 kroner alene for skaderne efter hackerangrebet. Størstedelen af pengene gik ifølge dommen til ekstern hjælp med at genetablere it-systemerne.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Per Gøtterup

Manden burde få strafrabat fordi hans tidligere arbejdsplads ikke havde et fornuftigt sikkerhedsniveau, og det dermed tillod manden at udøve den skade som han gjorde.

Det er IT-sikkerhed for begyndere at lukke for en fyret nu tidligere medarbejders adgang til alle systemer, og især for adgang til delte resourcer som f.eks. admin-adgang til SAN og lignende. Det ville have fremgået af dommen hvis han havde skaffet sig adgang via bagdøre eller lignende, så al adgang er sket via en af de adgange han havde dengang har arbejdede på stedet, og det er pinligt (og ansvarspådragende) at de ikke er blevet lukket.

  • 3
  • 12
Ivo Santos

Umiddelbart lyder da mere som hærværk end som hackning.

Okay, så jeg kan sådan bare lige tage en kopi af nøglen til min arbejdsplads da den er udskiftet med en kode dims som kan annulleres, men hvis vi går 50 år tilbage ville det være muligt for mig at tage en kopi af min arbejdsnøgle og lukke mig selv ind i produktionshallen for så at klippe samtlige el-kabler over og måske også ødelægge diverse kontrol bokse.
Er det hackning? Jeg vil nu mene at det nok nærmere er hærværk ligesom når skoleunger brænder deres skole eller institution ned til grunden.

  • 5
  • 0
Bo Zachariasen

Manden burde få strafrabat fordi hans tidligere arbejdsplads ikke havde et fornuftigt sikkerhedsniveau, og det dermed tillod manden at udøve den skade som han gjorde.

Som det fremgår af dommen så må det "endvidere tillægges vægt, at tiltalte anvendte en anden ansats brugernavn og password for at skaffe sig adgang til virksomhedens it-system, hvilket udsatte denne ansatte for en risiko for at blive genstand for en undersøgelse."

Der er altså ikke tale om at virksomheden ikke har lukket hans konto efter fratrædelse.

  • 3
  • 0
Hans Nielsen

Er vel så lære af denne historie ?

Men det er sesfølgeligt ikke altid nemt, når mange virksomheder heller ikke har styr på hvem der har admin rettigheder. Men om manglende styr på datasikkerheden, som manden stod for, skal give strafnedsættelse ved jeg ikke.
Men måske dette angreb viser hvorfor han blev fyret :-)

  • 0
  • 0
Bo Andersen

En psykopat tæver en mand ihjel ved et bastialsk overfald på en sagesløs.
Drabsmanden får 7 års fængsel, som Systemet giver ham en rabat på, så han er ude efter 2/3 afsonet straf.

3,5 års fængsel for elektronisk hærværk var ok, hvis ovenstående havde fået 70 år.

  • 0
  • 1
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize