“We hebben werkelijk een sieraad gekocht", zei de ceo van Vasco, Thomas Kendall Hunt, tegen analisten in januari van dit jaar, een dag nadat het bedrijf DigiNotar had overgenomen. Maar ondertussen was DigiNotar in 2009, twee jaar eerder dus, al gehackt zonder dat dat was opgemerkt, was de interne beveiliging een puinhoop en waren de balanscijfers niet om naar huis te schrijven. De opkomst en ondergang van een Nederlands “betrouwbaar" bedrijf.

Trio aan de slag

Het trio Dick Batenburg, Tony de Bos en Marcel Jak kwam op het idee voor DigiNotar nadat zij in 1997 gezamenlijk een onderzoek naar digitale certificaten hadden uitgevoerd. Dat gebeurde in opdracht van de Koninklijke Notariële Beroepsorganisatie naar elektronische diensten voor de notariële branche. In dat onderzoek werd een pilot gedraaid om een verklaring van geen bezwaar, dat nodig is bij de oprichting van een bv, digitaal af te geven.

De achtergronden van de drie grondleggers verschillen volledig. De Bos komt uit de technologiehoek en was een paar jaar ervoor afgestudeerd aan de Erasmus Universiteit Rotterdam. Dick Batenburg bestierde een notariskantoor in Beverwijk: Notaris Maatschap Batenburg. Jak bleef in eerste instantie werken bij Deloitte Enterprise Risk Services als EDP Auditor, maar stapte in 2000 definitief over naar DigiNotar. Hij bracht de technische kennis omtrent certificaten en digitale handtekeningen mee.

TTP-notarissen

DigiNotar werd opgericht als samenwerkingsverband van zogeheten TTP-notarissen. TTP staat voor trusted third party, een vertrouwde intermediair in informatiebeveiliging, met name op het gebied van digitale communicatie. De titel wordt onder meer gebruikt door een certificaatautoriteit (CA). Die mag certificaten verlenen aan anderen. Daardoor kunnen die derden er vanuit gaan dat de partijen waartussen digitaal wordt gecommuniceerd ook daadwerkelijk zijn wie ze zeggen te zijn.

De oprichting van DigiNotar werd gesteund door de Koninklijke Notariële Beroepsorganisatie (KNB), die direct een bepalende rol kreeg in de aansturing van het bedrijf. Statutair werd vastgelegd dat de helft van de aandelen van DigiNotar in handen moest zijn van een of meerdere notarissen. Daarbij werd KNB niet alleen aandeelhouder, maar kreeg het ook een vetorecht. Verder leverde de beroepsorganisatie een commissaris die namens de brancheorganisatie toezicht moest houden.

Toegang tot de overheid

De erkenning van de dienstverlening van DigiNotar ging snel. In 2003 mocht het bedrijf zich registreren bij telecomwaakhond OPTA als CSP, een Certificate Service Provider. Een jaar later mocht het participeren in het PKIoverheid-programma van het Rijk. Daarmee kreeg het net vijf jaar oude bedrijf toegang tot de overheidsmarkt, waar het voorheen vooral actief was in de notariële, accountancy- en advocatenmarkten.

Over de betrouwbaarheid van de activiteiten van DigiNotar werd ondertussen hoog opgegeven. Batenburg is geregeld in diverse publicaties aangehaald als autoriteit op het gebied van betrouwbare digitale diensten in de notariële branche. In een interview met Notariaat Magazine werd onder meer de beveiliging van vertrouwelijke stukken uit de doeken gedaan.

“De technische infrastructuur die een dergelijke dienstverlening mogelijk maakt, is indrukwekkend. De servers waarop het systeem van DigiNotar draait, staan in een kluis van zestig vierkante meter die is onderverdeeld in compartimenten. Naarmate je verder de kluis in komt, mogen er minder mensen in", staat te lezen in het positieve artikel.

"De toegangscontrole verloopt via biometrische apparatuur. Als de stroom uitvalt, neemt een generator het systeem over. Mocht er onverhoopt een vliegtuig op Beverwijk vallen, dan staat er een replica van het systeem in een al even beveiligde bunker nabij Schiphol."

Groeien als kool

Het bedrijf groeide als kool. Binnen vijf jaar telde DigiNotar 25 werknemers en in 2008 was dat aantal alweer verdubbeld. Vanaf dat jaar ging DigiNotar over de grens: eerst naar Spanje en Scandinavië. Daarbij sloot het overeenkomsten met partners in die landen. Portugal, België en Luxemburg volgden snel en de ambitie ging ook uit naar Duitsland en Groot-Brittannië.

De betrouwbaarheid van SSL-certificaten begon ondertussen onder druk te staan. In januari 2009 voelde Tony de Bos zich genoodzaakt een persverklaring uit te geven waarin hij zegt dat alle certificaten van DigiNotar veilig zijn. Dit naar aanleiding van een hack waarbij het maken van valse SSL-certificaten mogelijk werd.

Het ging in deze zaak niet om certificaten van DigiNotar. Het Nederlandse bedrijf hamerde er zelfs op dat dergelijke vervalsingen van certificaten bij hen niet mogelijk was. “Gebruikers van DigiNotar SSL-certificaten hoeven zich dus niet ongerust te maken", zo schrijft De Bos in die verklaring.

Batenburg stapt op en over

In het voorjaar van 2009 stapte Batenburg op als notaris bij zijn eigen kantoor, om zich helemaal toe te leggen op DigiNotar. Dat gebeurde nadat de financiële crisis de vraag naar notariële diensten deed afnemen en Batenburg veertien medewerkers bij zijn maatschap moest ontslaan. Hij pakte de reorganisatie aan om uit de maatschap te stappen,zo zei hij, maar bleef wel verbonden als adviseur.

Maar naar nu blijkt, zijn de systemen van DigiNotar al in 2009 gehackt. Pas jaren later worden defacements van webpagina's ontdekt die nog steeds online staan. Ze zijn dus nooit door DigiNotar of diens auditors ontdekt. Die audits werden vooral uitgevoerd op procedures en niet op de operationele systemen.

Geen alarmbellen

Daardoor verliep de dagelijkse gang van zaken als normaal en ging nergens een alarmbel rinkelen. Wat wel opvalt uit door Webwereld opgevraagde gegevens van de Kamer van Koophandel is dat het bedrijf opvallend negatieve cijfers liet zien in verplicht te deponeren jaarrekeningen.

Over de jaren 2007 tot en met 2009 is er een negatief eigen vermogen en wordt er voor de belasting verlies gedraaid. Opvallend is dat plotseling in 2009 een vordering op een onbekende debiteur op de balans staat van meer dan 7 miljoen euro. Daar tegenover staat echter kortlopende schuld van meer dan 8 miljoen euro.

Dat poetste overigens de negatieve balans wel weg. In 2008 was het eigen vermogen meer dan 5 miljoen negatief. Dat alles voor verrekening met de Belastingdienst. Maar in 2009 kwam het bedrijf door teruggave van de belastingdienst toch nog op een winst uit van zo'n 3 ton.

Vasco de reddende engel

In de loop der jaren zijn DigiNotar en branchegenoot Vasco Data Security International partners geworden. Het kleinere Nederlandse bedrijf gebruikte daarbij ook technologie van Vasco. Het oog van die veel grotere partner valt op de Nederlandse overheidsmarkt en al in oktober 2009 heeft het bedrijf een overnamedeal met DigiNotar. Beide bedrijven tekenen een geheimhoudingsverklaring, met daarin de clausule dat DigiNotar eerst schoon schip moest maken op zijn balans.

Toevalligerwijs vallen in 2009 de overstap van Batenburg van eigen maatschap naar DigiNotar, de plots oplopende schulden en vorderingen van miljoen euro's op de balans en de geheime overeenkomst tussen DigiNotar en Vasco samen. Het jaar 2009 blijkt een zeer bewogen jaar voor het bedrijf.

Vasco en de aandeelhouders van DigiNotar tekenen uiteindelijk op 10 januari van 2011 de definitieve koopovereenkomst. De aandelen van Batenburg (in de D.B.A. Ten Burg Holding) en van De Bos (in Bosco Holding) gaan voor 10 miljoen euro naar Vasco. In de overeenkomst wordt vastgelegd dat De Bos “services" blijft verlenen aan het overgenomen bedrijf. In de praktijk blijft hij aan als managing director.

Wel kan uit de koopovereenkomst worden opgemaakt dat Batenburg en De Bos een bedrag moeten storten van zeker 1,4 miljoen euro op een door een onafhankelijke notaris beheerde rekening. Vasco bedong een zogeheten "escrow" (soort garantiestelling) om er zeker van te zijn dat de winst voor belastingen over 2011 in het zwart zouden belanden. Ook moet DigiNotar schuldenvrij worden opgeleverd, zo blijkt uit documenten die bij de Amerikaanse beurswaakhond SEC zijn gedeponeerd.

De bom barst

Na de overname door Vasco lijkt de rust wedergekeerd. Maar op 29 augustus van dit jaar barst de bom: DigiNotar blijkt enkele maanden ervoor te zijn gehackt en honderden ssl-certificaten zijn vals. Dat is slechts het begin van deze schokkende affaire.

De ene na de andere verbijsterende ontdekking komt aan het licht. De cyberinbraak is al in juli door DigiNotar waargenomen, zelf technisch onderzocht en toen stil gehouden. Nee, de hack is in juni intern al gedetecteerd, maar dus pas een maand later nader bekeken. DigiNotar blijkt de "volledig gescheiden systemen" voor overheidscertificaten toch te hebben verbonden met zijn reguliere netwerk.

Een netwerk waar de beveiliging geheel niet op orde was. Waar ook webservers draaiden met verouderde en ongepatchte software. Sterker nog: de defacement hacks zijn waarschijnlijk meegekomen met de installatie van een 'nieuwe' webserver, in augustus dit jaar, merkt onderzoeker Fox-IT op in het vernietigende forensisch rapport over de vergaande inbraak. Het OpenBaar Ministerie doet inmiddels onderzoek en de zaak wordt "internationaal opgeschaald".

Lees alle berichtgeving van Webwereld over DigiNotar op de dossierpagina.