Sinds de opkomst van de nieuwe communicatietechnologieën waarschuwen politie en justitie voor het gevaar van versleuteling. De belangen van politie en justitie, alle vormen van datacommunicatie af kunnen tappen, stonden lange tijd lijnrecht tegenover de privacy- en commerciële belangen van burgers, organisaties en bedrijfsleven. Deze principiële politieke discussie werd in grote mate beïnvloed door technologische ontwikkelingen. De wens van justitie en politie om communicatie verstaanbaar ofwel leesbaar te houden werd ingehaald door de verspreiding van kwalitatief relatief goede encryptie via Internet. Toen de pogingen om het gebruik van versleutelingtechnieken te beperken waren stukgelopen op technische en juridische onhaalbaarheid, was men gedwongen andere wegen te zoeken. Inmiddels is een breed pakket van mogelijkheden gecreëerd die de autoriteiten voldoende armslag geven om eventuele problemen met versleuteling tot een minimum te beperken.
Die mogelijkheden bestaan uit maatregelen en creatieve omwegen, zoals de volgende.
Ten eerste bestaat er een plicht tot ontsluiering voor eenieder die niet zelf verdachte is. Daarbij gaat het om telecomaanbieders die zelf de communicatie versleutelen, Trusted Third Parties die sleutels van anderen beheren, en degenen aan wie versleutelde berichten zijn gericht. De onmogelijkheid om versleutelde data of communicatie te breken, blijft daarmee feitelijk beperkt tot versleutelde gegevens die alleen de verdachte zelf kan ontsleutelen, of tot communicatie waarbij de niet-verdachten weigeren de boodschappen te ontsleutelen en dus gevangenisstraf op de koop toe nemen.
Het tweede deel bestaat uit alternatieve opsporingsmethoden om versleuteling te omzeilen. Het gaat daarbij om de bevoegdheid van de politie om direct af te luisteren, microfoontjes op het toetsenbord te plaatsen, in te breken en te infiltreren. Al deze bevoegdheden kunnen leiden tot het achterhalen van wachtwoorden of tot het onderscheppen van (data)communicatie voordat die versleuteld is. Het inzetten van infiltranten en het gebruik van kroongetuigen biedt natuurlijk ook een mogelijkheid om wachtwoorden te ontfutselen of bewijs voor de rechter te brengen. Inlichtingendiensten mogen bovendien computers hacken en manipuleren om op die manier toegang te krijgen tot versleutelde data.
Ten derde investeren de autoriteiten, in samenwerking met bedrijfsleven en wetenschap, in technologie om codes te kraken. In beslag genomen computers mag de politie proberen te kraken; de inlichtingendiensten krijgen de bevoegdheid om alle afgetapte versleutelde berichten net zolang te bewaren totdat ze wél gekraakt kunnen worden. Die informatie mogen ze vervolgens nog een jaar lang bewaren om te kijken of ze er nog iets aardigs mee kunnen doen.
Ten vierde bestaan er dan nog de minder zichtbare middelen die de autoriteiten inzetten, zoals het inbouwen van geheime achterdeurtjes in versleutelingsprogramma’s of het bewust laten verzwakken van versleutelingsprogramma’s. Het is niet voor niets dat de autoriteiten hameren op het belang van goede samenwerking met het bedrijfsleven en de software-ontwikkelaars. Zo zullen politie en justitie met argusogen de opkomst van steeds betere anti-virusprogramma’s en firewalls (een verdediging tegen ongewenste bezoekers) bezien. Het is uiteraard niet de bedoeling dat een met veel moeite geplaatst Trojan Horse subiet de volgende dag ontdekt en gemeld wordt door dit soort beveiligingsprogramma’s. Een goed gesprek tussen softwareproducenten en de autoriteiten ligt dan voor de hand.
Anonimiteit
Nu de autoriteiten verschillende oplossingen bij elkaar hebben gesprokkeld om de gevolgen van encryptie zoveel mogelijk te neutraliseren, is de verwachting dat ze hun pijlen gaan richten op een volgend probleem dat zich aandient: de grote toename van anonieme gebruikers. Voor providers van gratis internettoegang is er geen enkele reden meer om de identiteit van gebruikers vast te leggen, zij hoeven immers geen facturen te verzenden of wanbetalers te achterhalen.
De eerste proefballonnetjes zijn al opgelaten. Het invoeren van een soort kenteken voor Internetgebruikers bijvoorbeeld, in Nederland door de politie geopperd tijdens de hoorzitting over de nieuwe wet computercriminaliteit eind 1999. Elke Internetgebruiker zou een vast, geregistreerd IP-nummer moeten krijgen, opgeslagen in een landelijk register. Met een vordering van de rechter-commissaris zouden politie en justitie toegang moeten krijgen tot dit landelijk register.
Een ander proefballonnetje is het om gebruik van de zogenaamde caller ID, de nummerweergave verplicht te stellen. Nu is het nog mogelijk om dit identificatienummer van de telefoon die verbinding maakt met het Internet, uit te schakelen. Op die manier kan de gebruiker echt anoniem blijven.
Verder heeft de politie aangekondigd uitgebreider te gaan surveilleren op het Internet om via omwegen van andere activiteiten en contactnetwerken van een verdachte toch achter de identiteit van een anonieme gebruiker te komen.
Politie en Justitie hebben in ieder geval gehoor gekregen bij de VVD. ICT-woordvoerder Oussama Cherribi verklaarde onlangs dat ‘anoniem websurfen moet worden gezien als een delict, onbeperkte anonimiteit op het Internet moet strafbaar worden gesteld.’ ‘Het gaat om de veiligheid van de staat,’ aldus Cherribi. Hij pleit ook voor de instelling van een groep gespecialiseerde ambtenaren, die de ontwikkelingen op internetgebied op de voet moet volgen om steeds nieuwe wetgeving voor te bereiden.[1]
De voortgang van technologische ontwikkelingen zal voor politie en justitie reden blijven om nieuwe bevoegdheden te vragen. Zo zal de mobiele toegang tot internet steeds belangrijker worden (wireless application protocol). Het schrikbeeld van justitie is dan bijvoorbeeld een anonieme gebruiker die communiceert met een pre-paid telefoonkaart via versleutelde e-mail.
Bij dit soort kwesties zullen politie en justitie soms tegenover de telecomindustrie staan, omdat hun wensen ingaan tegen de commerciële belangen. Maar ze kunnen ook elkaars bondgenoot zijn wanneer er belangen parallel lopen. Zo besloot webprovider TMF Web in februari van dit jaar om anoniem surfen te verbieden. De gebruikers van TMF Web misdroegen zich dusdanig (e-mail bombardementen, vervuiling van nieuwsgroepen, hackpogingen) dat andere providers dreigden alle e-mail van TMF Web te blokkeren. TMF Web stelt nu als enige gratis provider nummerweergave verplicht, zodat de daders te achterhalen zijn. Op zo’n ontwikkeling golft de politie natuurlijk graag mee.
Overdreven
In de strijd voor meer bevoegdheden wil de politie wel eens overdrijven. De enorme gevaren die hack-aanvallen zouden opleveren, zijn voor het grootste deel terug te brengen tot onzorgvuldige en lakse beveiligingsmethoden. Investeringen in veiligheid, inclusief sterke encryptie, is een betere en directere manier om de digitale wereld veiliger te maken, dan het oprekken van allerlei bevoegdheden die rechtstreeks raken aan de privacy en rechtsbescherming van burgers.
De klaagzang van de autoriteiten dat ze de greep op cyberspace volledig dreigen kwijt te raken, moet dan ook met een flinke korrel zout worden genomen. De getallen en voorbeelden die circuleren over de enorme toename van criminaliteit door Internet en de dreiging van door versleuteling onkwetsbaar geworden criminelen zijn hardnekkig, maar missen over het algemeen een feitelijke onderbouwing.
In praktijk blijken criminelen verbazingwekkend weinig gebruik te maken van goede versleuteling, zoals ze ook nog steeds naar hartelust kwebbelen over mobiele telefoons, hoewel het onderhand bekend mag zijn dat de Nederlandse politie op grote schaal tapt. ‘Encryptie is op dit moment geen knelpunt van belang,’ concluderen de onderzoekers van het Politie Advies Centrum In-pact in hun studie Criminaliteit in Cyberspace (zie hoofdstuk vijf).
Hoe snel de politie op grote schaal nieuwe opsporingsmiddelen zal inzetten is nog de vraag, gezien het schreeuwend gebrek aan volleerde high-tech criminelen. Ondertussen zijn de speciale opsporingsbevoegdheden wel flink opgerekt en worden internationale afspraken gemaakt over soepele en informele opsporingsonderzoeken.
Het lijkt er dan ook meer op dat politie en justitie de geheimzinnige digitale wereld en ongrijpbare nieuwe technologieën dankbaar hebben aangegrepen om uitbreiding van bevoegdheden te verkrijgen die in zijn algemeen buitengewoon nuttig zijn.
Gelukkig is de overheid in dit opzicht geen moloch. Binnen overheidskringen en adviesorganen zijn ook voorstanders te vinden die anonimiteit als recht wil definiëren. Voorbeelden daarvan zijn de Commissie ‘Grondrechten in het digitale tijdperk’[2] en de Raad voor het openbaar bestuur.[3]
Privacy
Tegelijkertijd kent de cyberwereld een merkwaardige paradox. Aan de ene kant maakt digitale communicatie anonimiteit mogelijk, aan de andere kant laat iedereen die virtueel communiceert een grote hoeveelheid digitale sporen na[4]. Die sporen zijn eenvoudig vast te leggen en te vergelijken met allerlei andere registers, waardoor nauwkeurige individuele profielen zijn vast te stellen die een groot deel van iemands bestaan omvatten. Het leven van de moderne burger wordt eerder transparanter dan anoniemer. Dat zou een argument moeten zijn om privacywetgeving aan te scherpen en de opsporingsbevoegdheden van politie en justitie zeer nauwkeurig te definiëren.
[1] Joris Evers, VVD: Anonimiteit op internet moet strafbaar worden, Webwereld 16 december 1999
[2] http://www.minbzk.nl/gdt/index2.htm
[3] Raad voor het openbaar bestuur, ‘ICT en het recht om anoniem te zijn, Den Haag januari 2000
[4] Zie ondermeer: Karin Spaink, Een leven in flarden, Het Parool 8 februari 1999, http://www.xs4all.nl/~kspaink/parool/19990208.html