DigiNotar lijkt net op tijd te zijn verkocht

DigiNotar was jarenlang pionier voor internetbeveiliging in Nederland. Maar al in 2007 bleek het bedrijf het niet erg nauw te nemen met de eigen veiligheidsnormen.

Reclame op het kantoor van DigiNotar in Beverwijk. Foto Roger Cremers Nederland, Beverwijk, 05-09-2011 Kantoor van DigiNotar aan de vondelstraat 8 te beverwijk PHOTO AND COPYRIGHT ROGER CREMERS
Reclame op het kantoor van DigiNotar in Beverwijk. Foto Roger Cremers Nederland, Beverwijk, 05-09-2011 Kantoor van DigiNotar aan de vondelstraat 8 te beverwijk PHOTO AND COPYRIGHT ROGER CREMERS

Op 2 mei 2007 introduceert een medewerker van het Nederlandse internet-beveiligingsbedrijf DigiNotar zich op een forum van Mozilla, het ‘open source’ softwareproject dat onder andere de populaire webbrowser Firefox maakt. De medewerker van DigiNotar wil graag dat Mozilla veiligheidscertificaten van het Nederlandse bedrijf erkent. Maar de medewerker vindt wel dat Mozilla erg hoge eisen stelt. DigiNotar stelt daarom een „pragmatische” oplossing voor. In plaats van het sturen van een e-mail ter bevestiging zouden gebruikers ook hun identiteit via een vinkje op het scherm kunnen bevestigen.

Maar dat lijkt Mozilla een slecht idee. „Een oplichter zou alles bevestigen wat je van hem vraagt”, schrijft Mozilla. En: „Zonder verificatie via een e-mail zijn allerlei vormen van misbruik mogelijk.”

Het ‘pragmatisme’ van DigiNotar lijkt een illustratie van de gebrekkige veiligheidscultuur bij een van de belangrijkste ict- beveiligingsbedrijven voor de Nederlandse overheid.

In juni bleek dat er was ingebroken op computerservers van DigiNotar in Beverwijk. Eind juli merkte het bedrijf dat Iraanse hackers via software van DigiNotar veiligheidscertificaten voor beveiligde internetverbindingen hadden nagemaakt (zie tijdlijn).

Hoewel DigiNotar hofleverancier was van diverse ministeries, maakte het geen melding van het veiligheidslek. De Nederlandse ict-waakhond GOVCERT.NL moest van de Duitse zusterdienst CERT-BUND horen dat er een probleem was bij DigiNotar. Nog vorige week stelde het bedrijf dat „de overgrote meerderheid van onze business, inclusief het werk voor de Nederlandse overheid”, niet was aangetast.

Maar nadat een tweede ict-bedrijf het veiligheidslek had onderzocht, trok minister van Binnenlandse Zaken Piet Hein Donner een hele andere conclusie. Uit het onderzoek van Fox-IT bleek dat ook de servers waarmee DigiNotar beveiligde verbindingen voor de overheid monitort, zoals bijvoorbeeld DigiD, waren gehackt. Afgelopen vrijdag besloot Donner daarom de samenwerking met DigiNotar op te zeggen. Gisteren maakte Donner bekend dat het Openbaar Ministerie een onderzoek start naar mogelijke nalatigheid van het bedrijf.

Uit het onderzoeksrapport van Fox-IT blijkt dat het slecht gesteld was met de beveiliging van DigiNotar. Zo waren de servers waarmee DigiNotar werkte via internet toegankelijk – wat in strijd is met de veiligheidsvoorschriften. Alle servers werkten binnen één Windowsdomein, en waren bereikbaar via één wachtwoord, dat voor hackers vrij gemakkelijk was te kraken. Op de servers draaide geen antivirusprogramma.

Achteraf gezien lijken de oprichters van DigiNotar hun bedrijf dus op het juiste moment van de hand te hebben gedaan. Begin dit jaar verkochten Dick Batenburg en Tony de Bos het ICT-bedrijf voor 10 miljoen euro aan het Zwitserse internetbeveiliger Vasco Data Security. Hoeveel Batenburg en De Bos toen nog aan aandelen bezaten, is niet precies bekend.

Batenburg was oorspronkelijk notaris te Beverwijk, toen hij halverwege de jaren negentig voor de Koninklijke Notariële Broederschap een onderzoek uitvoerde naar de consequenties van de opkomst van het internet voor de notariële praktijk. Batenburg concludeerde dat het voor het toenemende elektronisch (handels)verkeer noodzakelijk was om snel de identiteit van de gebruikers vast te stellen. Daarvoor was in zijn ogen een ‘digitale notaris’ nodig. Samen met Tony de Bos, een ict-specialist van adviesbureau Deloitte, startte Batenburg in juli 1998 DigiNotar. Daarnaast bleef hij nog tot 2009 zijn oude notarispraktijk uitoefenen.

Sinds de oprichting kreeg DigiNotar meerdere kapitaalinjecties van verschillende geldschieters, en daarmee ook verschillende aandeelhouders. De eerste externe partij was investeringsmaatschappij Newconomy van opiniepeiler Maurice de Hond. Die nam in 2000 voor een onbekend bedrag een kwart van de aandelen. Een jaar later haalde DigiNotar in een tweede financieringsronde 2,4 miljoen euro op. Newconomy hield z’n belang op peil, en onder meer Rabo Participaties en De Lage Landen stapten in, net als een groep notariskantoren verenigd in de stichting ‘Notarisparticipatie DigiNotar’.

Vanaf 2004 brak een periode van groei aan, toen de belastingdienst digitale belastingaangifte voor bedrijven verplicht stelde. In 2006 volgde de digitale loonbelasting voor particuliere werknemers. Als pionierend bedrijf profiteerde DigiNotar van de toenemende vraag naar beveiligingssoftware die voor dit soort (overheids)diensten noodzakelijk waren. Sinds 2003 verdubbelde het aantal medewerkers van DigiNotar tot vijftig. Het duurde niettemin lang voordat het bedrijf ook geld ging verdienen. Uit tamelijk summiere jaarrekeningen blijkt dat DigiNotar in het afgelopen decennium vooral verlies leed. Het eigen vermogen smolt weg tot ruim 5,4 miljoen euro negatief in 2008. In 2009 maakte het bedrijf een onverklaarbare winstsprong van 4,7 miljoen. Het eigen vermogen kon hiermee worden aangevuld, maar bleef met 7 ton negatief.

Hoeveel omzet DigiNotar boekte is nooit gepubliceerd. Het nieuwe moederbedrijf Vasco meldde gisteren dat DigiNotar voor slechts 2 procent aan de concernomzet bijdraagt, en dit jaar dus naar schatting iets meer dan 3 miljoen euro zal bedragen. Als DigiNotar het einde van het boekjaar tenminste haalt. Eigenaar Vasco benadrukte gisteren in een persbericht dat de integratie van DigiNotar pas gepland was voor 2012. Alle Vasco-producten zijn dus nog „100 procent DigiNotar-vrij”.