Deze week werd Fox-IT vermeld in de Spy Files van Wikileaks. Eerder dit jaar speelde het een grote rol in de affaire rond DigiNotar, en Roland Prins, oprichter van Fox-IT, laat regelmatig van zich horen via de pers. Webwereld ging op zoek naar de achtergrond van het bekende beveiligingsbedrijf.

Fox-IT is niet alleen Ronald Prins, al lijkt het door al zijn mediaoptredens wel zo. Menno van der Marel was samen met Prins de oprichter van het bedrijf in Delft. Beide mannen leerden elkaar kennen bij het Nederlands Forensisch Instituut, dat toen nog het Gerechtelijk Laboratorium heette. Alle twee doorliepen hun opleiding aan de Technische Universiteit aldaar. Prins studeerde technische wiskunde, Van der Marel technische natuurkunde.

Weg bij NFI en geheime dienst

In 1999 startte het duo Fox-IT. Een jaar daarvoor had Prins het NFI al verlaten voor een baan bij de Directie Bijzondere Inlichtingen van de Binnenlandse Veiligheidsdienst, maar dat was hij al snel zat. In een artikel in Vrij Nederland, afgelopen augustus, zei hij dat hij tegen een muur aanliep bij de geheime dienst. “Ik wilde zelf iets met internet opzetten, maar dat kon niet."

Hij onderhield contact met ex-collega Van der Marel, die nog steeds bij het NFI werkte en naar eigen zeggen “tijdens een potje squash" besloten de twee voor zichzelf te beginnen. Het duo ging langs de banken en vond ABN Amro bereid het ondernemingsplan financieel te ondersteunen. Als Fox-IT Forensic IT Experts gingen de zaken in Rijswijk van start.

Eerste politiewerk

In eerste instantie hielpen ze vooral het bedrijfsleven in de strijd tegen allerlei vormen van criminaliteit die gerelateerd was met it. De jaren tot 2005 deden ze vooral recherchewerk voor banken en verzekeringsmaatschappijen. Ook ontwikkelde het bedrijf beveiligingstechnologie en geeft het cursussen.

Wel wordt Fox-IT zo nu en dan door de politie ingeschakeld. Daarbij blijken de oude contacten waardevol. “Politiechefs met wie we tijdens het NFI-onderzoek naar Etienne Urka hadden samengewerkt, kwamen later naar ons toe met de vraag of we laptops van hun teams konden beveiligen", vertelt Prins in 2005 aan het universiteitsblad van de TU Delft. Tegen die tijd was het team rond Prins en Van der Marel al uitgegroeid tot 50 medewerkers, die diepgaand gescreend werden en meestal eveneens van de TU afkwamen.

De overheid als klant

Inmiddels begaf Fox-IT zich ook op de productenmarkt. In 2003 bracht het bedrijf drie authenticatie-oplossingen naar de markt, werkend via de Public Key Infrastructure (PKI), waarmee klanten digitale certificaten konden aanmaken. Een van de eerste klanten was NOC/NSF, dat een digitaal certificaatsysteem nodig had voor de inlog van de aangesloten sporters. Overigens wordt het product FoxPKI nog steeds verkocht.

In 2005 was de Nederlandse overheid langzaam uitgegroeid tot de grootste opdrachtgever van Fox-IT. In dat jaar kreeg het bedrijf een grote opdracht van de Nederlandse overheid: de ontwikkeling van een cryptochip. Daarmee wordt gevoelige staatsinformatie versleuteld. De staatsgeheimen worden bewaakt en versleuteld in een beveiligde opslagruimte in het bedrijf in Delft. “Bij een inval zou zelfs de politie deze ruimte niet mogen betreden", schrijft het NRC, dat in dat jaar op bezoek mocht bij Prins.

Overheid is laks in beveiliging

Fox-IT laat voor het eerst voor een groot publiek van zich horen als het in 2008 de eerste internetverkiezingen in Nederland blokkeert. De waterschappen wilden de kiezersopkomst vergroten door stemmen vanachter de eigen computer mogelijk te maken, maar een onderzoek van Fox-IT wees uit dat die vorm van stemmen makkelijk te manipuleren is. Een kiezer bleek meerdere stemmen te kunnen uitbrengen. Het stemmen werd vervolgens toch maar op de traditionele manier gedaan.

En ondanks zijn nauwe banden met de overheid heeft Prins meer kritiek op diezelfde overheid, bijvoorbeeld op de lakse houding tegenover beveiliging. In een opinie-artikel op InfoWorld in 2008 haalt hij haast laatdunkend uit naar beleidsmakers en ambtenaren. “Er heerst namelijk nog wel wat naïviteit in overheidsland waar het gaat om het beschermen van zeer gevoelige informatie", zegt hij onder meer. “Daarnaast denken ambtenaren vaak onterecht dat hun informatie helemaal niet zo interessant is."

De politie moet de mogelijkheid hebben

Dat artikel staat niet op zich. Prins wordt steeds meer gevraagd om zijn mening en die geeft hij ook ongezouten. Het pak van de begintijd (met stropdas) is inmiddels ingeruild voor hippere kleding en de goed geschoren kin wordt tegenwoordig bedekt met een licht baardje. De incidenten waarmee Fox-IT te maken krijgen, halen dan ook steeds meer de publiciteit. Zo was Prins de gevierde man bij het oprollen van het botnet Bredonet vorig jaar. Prins hielp met Team High Tech Crime en vertelde openhartig in Nieuwsuur dat de besmette pc's van afstand door Fox-IT zijn benaderd om de gebruikers erop te wijzen dat zij besmet zijn.

Het is een stokpaardje van Prins: de politie moet de mogelijkheid hebben om terug te hacken, en ook besmette computers in een botnet schoon te maken of anderszins uit te schakelen. Daarmee begeeft de politie, en dus ook Fox-IT, zich op het randje van het toelaatbare. Het Openbaar Ministerie voelt wel wat voor de ideeën van Prins.

Fox-IT internationaal

Het is niet het enige controversiële aan Fox-IT en Prins. Het eerder aangehaalde artikel in Vrij Nederland verhaalt gedetailleerd over de internationale handel en wandel van Fox-IT. Al vroeg in het bestaan van het bedrijf besloten Van der Marel en Prins op buitenlands avontuur te gaan en bezochten ze beurzen over de gehele wereld om klanten binnen te halen.

In het artikel in Vrij Nederland wordt uitgebreid verhaald over contacten met landen met regimes die op zijn minst een dubieus karakter hadden, zoals Egypte, Iran en de Verenigde Arabische Emiraten. Prins doet er in het betreffende interview luchtig over. Over Egypte: “Ja, op dat moment heerste er bij mij persoonlijk een beeld dat het wel een net land was, waar je ook lekker op vakantie kon."

Even verdacht

Het product waarmee in de vroege jaren van dit decennium in het buitenland furore werd gemaakt en waarmee het nu de Spy Files heeft gehaald, FoxReplay, is bedoeld om het internetverkeer af te tappen. Het wordt gebruikt door politie- en inlichtingendiensten over de hele wereld. “Je kunt tapproducten ten goede of ten slechte gebruiken. En het is moeilijk vast te stellen waar je klanten het voor gebruiken", zegt Prins in VN. “Toch leveren we aan landen waarvan het beleid ons niet helemaal aanspreekt. Ik ben het ook volledig oneens met het internetbeleid van de Verenigde Staten of voor mijn part Nederland. Zou ik dan ook daar geen zaken meer mee mogen doen?" Overigens heeft Fox-IT de afluisterdivisie eerder dit jaar verkocht.

De diepe betrokkenheid van Prins bij allerlei overheidsdiensten en de schijnbare afhankelijkheid van overheid en opsporingsdiensten van de expertise van Prins doet her en der wenkbrauwen fronsen. In 2009 wordt hij even verdacht van betrokkenheid bij een lek bij de AIVD naar De Telegraaf, schrijft VN. Na enkele verhoren mag hij gaan en wordt verder met rust gelaten. Zijn relatie met de geheime dienst heeft er niet onder geleden, blijkt uit het artikel.