Hacking Flashcards
Hacking §
§ 263
Bestemmelsens ordlyd
Med bøde eller fængsel indtil 1 år og 6 måneder straffes den, der uberettiget skaffer sig adgang til en andens datasystem eller data, som er bestemt til at bruges i et datasystem.
Stk. 2. Med bøde eller fængsel indtil 6 måneder straffes den, der, uden at forholdet er omfattet af stk. 1, uberettiget
1) åbner et brev eller en anden lukket meddelelse eller optegnelse eller gør sig bekendt med indholdet eller
2) ved hjælp af et apparat hemmeligt aflytter eller optager udtalelser fremsat i enrum, telefonsamtaler eller anden samtale mellem andre eller forhandlinger i et lukket møde, som den pågældende ikke selv deltager i, eller hvortil den pågældende uberettiget har skaffet sig adgang.
Stk. 3. Begås de forhold, der er nævnt i stk. 1 og 2, med forsæt til at skaffe sig eller gøre sig bekendt med oplysninger om en virksomheds erhvervshemmeligheder eller under andre særligt skærpende omstændigheder, kan straffen stige til fængsel indtil 6 år. På samme måde straffes de forhold, der er nævnt i stk. 1, når der er tale om overtrædelser af mere systematisk eller organiseret karakter.
Påtalereglen vedr. hacking
Udgangspunktet er privat påtale, jf. § 275, stk. 1. Private straffesager er straffesager, som ikke rejses af den offentlige anklagemyndighed, men af den, der er forurettet ved den strafbare handling. Disse sager behandles efter Retsplejelovens regler om civile sager.
Dog er der undtagelse i stk. 2 vedr. Betinget offentlig påtale. Dette betyder, at offentlig påtale sker efter den forurettedes begæring, og offeret for en krænkelse af privatlivets fred, jf. §§ 263-264 d, har derfor mulighed for at indgive politianmeldelse på linje med ofre for forbrydelser, der er undergivet offentlig påtale.
Hvorfor er der nogle der ikke anmelder hacking?
Forurettedes beslutning om ikke at anmelde et hacking-angreb kan bero på mange omstændigheder, men for erhvervsvirksomheder har det uden tvivl været centralt at undgå offentlig eksponering af en sikkerhedsbrist.
Forklar stk. 1
Uberettiget = henviser til at man enten slet ikke har nogen berettiget adgang, eller man overskrider den berettigede ad gang, man har.
- Se og Hør sagen: T (tys-tys-kilden) havde legal adgang til det it-system, der viste betalingstransaktioner, men havde ikke adgang til de systemer, der koblede kortnumre med navn. Dog havde han adgang til at nulstille passwords for brugerne, hvilket han udnyttede til selv at få adgang. Således fik han uberettiget adgang til et søgesystem, som han ikke havde i kraft af sin ansættelse, og dermed overtrædelse af hacking.
”Datasystem” = Computere, tablets, mobiltelefoner, servere.
Hvornår fuldbyrdes stk. 1?
Bestemmelsen fuldbyrdes, når der er opnået adgang til en anden oplysninger i et datasystem, hvilket vil sige, at det ikke er en betingelse, at gerningspersonen gør sig bekendt med de pågældende oplysninger.
Det ”kriminelle” er at skaffe sig selve adgangen. Herefter kan gerningspersonen eksempelvis downloade, kopierer.
Dom vedr. Skattemappen: T havde vha. F’s personnummer, som denne havde gjort tilgængelig på Facebook, bestilt nyt password i F’s navn til SKAT, hvorved han blev fundet skyldig i forsøg på at skaffe sig adgang til oplysninger om F på skat, jf. § 263, jf. § 21.
Forsæt i stk. 1?
For at straffe for overtrædelse af § 263 kræves forsæt til at skaffe sig uberettiget adgang, og de tilfælde hvor man ikke opnår adgang, kan der straffes for forsøg.
Hvad med “uberettiget” i forhold til arbejdsgiver? Dom om sms’er i arbejdstelefon
Sms’er i arbejdstelefon = En virksomhed, dens direktør og en ansat var tiltalt for at have læst nogle beskeder på en tidligere medarbejders mobil. Mobilen tilhørede virksomheden, men F havde leveret den tilbage i forbindelse med sin fratræde.
Byretten: Fandt at sms i lighed med breve og e-post, må betegnes som ”lukkede meddelelser”. BR fandt endvidere, efter en konkret vurdering, at selv om tiltalte havde forsøgt at begrænse læsning til beskeder, som var arbejdsrelaterede, var fremgangsmåden uberettiget, fordi nogle af beskederne på mobilen havde privat karakter. Skyldig i medfør af § 263.
Landsretten: Tog ikke stilling til forholdets forenelighed med § 263, fordi der var indgået en fratrædelsesaftale mellem parterne, om at medarbejderen havde givet afkald på sin ret til at anmode om offentlig påtale. frifandt, fordi F ved fratrædelsesaftalen havde givet afkald på muligheden for at anmode om offentlig påtale, jf. RPL § 725.
Hvad med hacking på de sociale medier? + dom: Ekskæreste driller på FB
Ekskæreste drille på FB: T blev fundet skyldig i overtrædelse af § 263, ved uberettiget at have skaffet sig adgang til F’s Facebook-konto, hvor hun ændrede kontoens brugernavn og adgangskode samt slettede telefonnumre og ændrede profilbilledet. T forklarede bl.a., at hun havde været kæreste med F, og at han havde givet hende sit password m.v. til sin Facebook. F havde været hende utro, mens de var kærester, og hun ville drille ham ved at ændre i oplysningerne på hans Facebook.
Byretten idømte T 20 dagbøder a 100 kr. Byretten anførte, at T ikke havde anvendt hackerværktøj til at gå ind på F’s Facebook-konto, men alene havde udnyttet, at hun havde F’s kode. Det var en enkeltstående handling, der var foretaget efter en pludselig indskydelse. På den baggrund skulle overtrædelsen alene straffes med bøde.
Landsretten tiltrådte af de grunde, byretten havde anført, at forholdet ikke havde en sådan grovhed, at der burde fastsættes en fængselsstraf, jf. § 80. Da bødestraffen var passende fastsat, stadfæstede landsretten dommen
Dom vedr. handel på det mørke net
T erkendte sig skyldig i hacking, jf. straffelovens § 263, stk. 1, og i 3 tilfælde af databedrageri, jf. straffelovens § 279 a, vedrørende et samlet beløb på 19.000 kr. T forklarede, at han på »det mørke internet« havde købt stjålne kreditkortoplysninger, som han brugte til varekøb på internettet, ligesom han hackede sig ind på en virksomheds informationssystem, så databedragerierne fremstod som begået via denne virksomheds IP-adresse.
Byretten fastsatte blandt andet under hensyn til, at forholdene var begået for mere end 2 år siden, straffen til betinget fængsel i 40 dage, hvilket landsretten skærpede til betinget fængsel i 60 dage.
Dom vedr. § 301 vs. § 263
T var tiltalt for overtrædelse af § 301, stk. 2, jf. stk. 1, nr. 1, subsidiært § 263, stk. 1, ved under særligt skærpende omstændigheder at have installeret keyloggerne på computere på bl.a. biblioteker med henblik på at kopiere og gemme oplysninger vedrørende brugernavne og adgangskode.
Landsretten anførte, at § 301, stk. 1, nr. 1, angår oplysninger, som identificerer et betalingsmiddel, der er tildelt andre. NemID er ikke i sig selv et betalingsmiddel, og af forarbejderne til bestemmelsen fremgår det, at den vedrører betalingskort. Fremskaffelse og besiddelse af oplysninger om brugernavn og adgangskode til NemID kan efter lovens ordlyd og forarbejder herefter ikke anses for omfattet af bestemmelsen, og landsretten frifandt derfor T for overtrædelse af § 301, stk. 2, jf. stk. 1, nr. 1.
Landsretten henførte i stedet forholdet under § 263, stk. 1, jf. til dels § 21. T blev straffet med fængsel i 2 år og 6 måneder.
Forklar § 263, stk. 3
Bestemmelsen er særlig ment i forhold til erhvervsspionage ELLER særligt skærpende omstændigheder –> fængsel indtil 6 år
Forklar CSC-sagen
T blev fundet skyldig i overtrædelse af straffelovens § 263, stk. 3, jf. til dels § 21, ved i 2012 i forening med en anden, uberettiget og under særligt skærpende omstændigheder og på systematisk eller organiseret vis at have forsøgt og at have skaffet sig adgang til et samfundsvigtigt informationssystem tilhørende CSC Danmark A/S, som indeholdt en stor mængde data med bl.a. følsomme oplysninger tilhørende private og offentlige virksomheder (Rigspolitiet, oplysninger fra dansk politis registre, kriminalregisteret, kørekortregisteret, CPR-registeret). T der var statsborger i Sverige, idømtes fængsel i 3 år 6 måneder og blev udvist for bestandig
Dom: It-chef hacket virksomhed
T havde som IT-chef hacket virksomhedens IT-systemer. For Højesteret angik sagen, om der var grundlag for at straffe T efter § 263, stk. 3. Herom udtalte H, at de tre indgreb havde et betydeligt omfang og skete inden for kort tid, med den følge af virksomheden blev lagt ned. H tilsluttede sig Landsrettens udtalelse om, at ”angrebene er foretaget ved, at T har udnyttet den viden som han har fået mens han havde en betroet stilling i virksomheden. Forholdene henføres på denne baggrund under § 263, stk. 3, jf. stk. 2”.
Dom: Hacker bruger keyloggere
T1 blev fundet skyldige i overtrædelse af straffelovens § 263, stk. 2, jf. stk. 3, jf. til dels § 21, § 279 og § 279 a, jf. § 286, stk. 2, jf. til dels § 21, ved i forening og under særligt skærpende omstændigheder og af mere systematisk og organiseret karakter i en række tilfælde at have installeret keyloggere på computere på biblioteker med henblik på at kopiere og gemme oplysninger vedrørende bl.a. brugernavne og adgangskoder til NemID eller forsøge herpå, databedrageri af særlig grov beskaffenhed og forsøg herpå og bedrageri. T1 blev straffet med fængsel i 5 år, idet der blev lagt vægt på, at der var installeret en betydelig mængde keyloggere, at forholdene var begået over en periode på ca. 6 måneder og involverede værdier for ca. 5,9 mio. kr.