OPTA nam in september 2011 het besluit om de registratie van DigiNotar als certificatiedienstverlener te beëindigen. Dit nadat in verschillende media de eerste berichten waren verschenen over door DigiNotar ten onrechte uitgegeven (valse) SSL-certificaten (Secure Sockets Layer). Bijna direct werd duidelijk dat DigiNotar deze certificaten niet zelf had uitgegeven, maar dat de systemen van DigiNotar waren misbruikt. De beëindiging van de activiteiten leidde onherroepelijk tot het faillissement.

'Op z'n minst hersteltermijn'

De curator, Rocco Mulder van het advocatenkantoor Pot Jonker Seunke, blijkt grote moeite te hebben met de conclusies van Fox-IT, dat op verzoek van DigiNotar zelf een rapport opstelde. De curator vindt dat Fox-IT niet onafhankelijk is en dat het interim-rapport de conclusies niet kan dragen. Dat interim-rapport houdt volgens Mulder flinke slagen om de arm en bevat "kennelijke onjuistheden en veel subjectieve elementen".

Bovendien voert Mulder als argument aan dat het interim-rapport niet bedoeld was om definitieve conclusies te trekken over de conformiteit van DigiNotar aan de normen voor certificaatdienstverleners. Verder zou OPTA op verkeerde gronden geconcludeerd hebben dat DigiNotar in strijd handelde met de eisen zoals die in de wet zijn vastgelegd.

Op basis van de beschikbare informatie kon de toezichthouder niet het besluit nemen om de registratie van DigiNotar onmiddellijk te beëindigen. Op zijn minst had een hersteltermijn moeten worden geboden om wel aan de eisen te voldoen, stelt de curator.

Rechter: Fox-IT wel onafhankelijk

De rechter laat weinig heel van dit betoog. De rechtbank stelt vast dat de curator niet heeft weerlegd dat Fox-IT over een bijzondere deskundigheid op het vlak van IT veiligheid beschikt om een onderzoek uit te voeren. Ook al omdat het DigiNotar zelf is geweest die Fox-IT op basis van diens deskundigheid heeft ingeschakeld en daarbij volledige medewerking heeft verleend aan het onderzoek.

Hierbij bestaat er voor de rechtbank geen aanleiding om te veronderstellen dat Fox-IT in haar onderzoek of rapportage niet onafhankelijk zou hebben gehandeld. "De stelling dat Fox-IT als rapporterende partij een zeker belang bij ingrijpen door verweerder zou hebben omdat het rapport dan meer publiek zou worden, is op geen enkele wijze door eiser nader onderbouwd en zou - als algemene stelling - op iedere onderzoeker van toepassing zijn geweest."

Voorlopige en definitieve conclusies

Ook het betoog van de curator dat de OPTA eerst een nader onderzoek had moeten verrichten omdat het interim-rapport flinke slagen om de arm houdt, slaagt volgens de rechtbank niet. De rechtbank schaart zich achter het standpunt van de OPTA. Die stelt dat er een duidelijk onderscheid kan worden gemaakt tussen enerzijds de definitieve conclusies en anderzijds de voorlopige. De eeste zijn door Fox-IT getrokken uit de feiten die reeds waren vastgesteld. De tweede hebben betrekking op zaken waarnaar nog verder onderzoek moest plaatsvinden.

DigiNotar had diverse beveiligingsmaatregelen doorgevoerd voor zijn IT-systemen, maar die bleken onvoldoende. Een hacker is wel degelijk binnengekomen en was daarbij in staat om beheerdersrechten te verkrijgen. Dit ondanks de opdeling van de IT-omgeving in 24 verschillende interne netwerksegmenten met daarbij zowel een interne als een externe demilitarized zone (DMZ). Daarbij waren er vele firewalls in werking die het verkeer tussen de verschillende segmenten beperkten en zo een belangrijke beveiligingswal vormden.

Wachtwoord brute-forcen

De DigiNotar-hacker had verder niet zomaar een wachtwoord op een domeinserver verkregen, maar het wachtwoord van de domein administrator. Via dat account kreeg hij toegang tot alle CA-servers (Certificate Authority) binnen het beveiligde segment van het DigiNotar-netwerk.

Dat het wachtwoord door middel van brute-force te kraken was, toont volgens de rechtbank aan dat het inderdaad ging om een relatief zwak wachtwoord. Brute-force is namelijk slechts een simpele hackmethode die bestaat uit het botweg uitproberen van alle mogelijke opties net zo lang tot het juiste wachtwoord is gevonden. "Dat de hacker het wachtwoord heeft kunnen kraken, bevestigt dat het wachtwoord niet sterk genoeg was voor het doel dat zij diende: het voorkomen van ongeautoriseerde toegang tot de systemen van DigiNotar."

Meer tegenslag

De curator kan in beroep gaan, maar heeft daarover nog geen besluit genomen. "De Rotterdamse rechtbank heeft de zaak uitvoerig toegelicht, zoals u heeft kunnen lezen", zegt curator Mulder tegen Webwereld. "We moeten het nog nader bestuderen."

Het vonnis van de rechtbank is niet de enige tegenslag voor de curator. Uit het meest recente faillissementsverslag (PFD), gepubliceerd op 6 mei, blijkt dat de verzekeraar de dekking heeft geweigerd. De betrouwbaarheid van certificaten is namelijk niet verzekerd.

Er blijkt iets meer dan drie ton in kas te zijn, maar dat betreft deels voorschotbetalingen van de Nederlandse staat. Daarvan moet nog een afrekening plaatsvinden. Bij handelsdebiteuren is nog zo'n 60.000 euro opgehaald.