Tijdens een intern onderzoek ontdekte KPN een aantal logfiles waaruit bleek dat vier jaar geleden de webserver van Getronics gecompromitteerd is. KPN heeft Binnenlandse Zaken (BZK) en Logius ingelicht over de inbraak en stopt tijdelijk met de aanvraag en uitgifte van veiligheidscertificaten. Getronics is een van de belangrijkste certificaatautoriteiten (CA's) in Nederland.

Geen nieuwe certificaten

"Dit is geen DigiNotar", benadrukt Tijs Manten, woordvoerder van het ministerie van Binnenlandse Zaken. "Op dit moment zijn er geen processen in gevaar." Maar er worden ook geen nieuwe certificaten uitgegeven. Dit moet gezien worden als een voorzorgsmaatregel, stelt Manten. BZK zegt de situatie intensief te volgen maar wil zeker zijn van zijn zaak. "Je kan niets uitsluiten", aldus Manten.

“De productieservers zijn niet gehackt", sust Stefan Simons, woordvoerder KPN tegen Webwereld, “Er is recentelijk ook geen inbreuk op de webservers gedaan."

Ddos via KPN servers

De overheid, en met name Logius dat onder BZK valt, is nauw betrokken bij een onderzoek naar de inbraak. "De overheid maakt natuurlijk gebruik van Getronics certificaten", zegt Tijs Manten. Volgens hem zijn er geen indicaties dat er iets mis is gegaan maar kan er ook niets uitgesloten worden.

Het onderzoek is ingesteld na het Diginotar-debacle. KPN heeft daarop zijn eigen processen doorgelicht, vertelt Stefan Simons, woordvoerder van KPN. Tijdens dat onderzoek kwam aan het licht dat KPN mogelijk het slachtoffer is geworden van een hack, die als doel had een ddos-aanval mogelijk te maken via de servers van KPN.

Meteen brief aan Kamer

In een nagekomen persbericht zegt het Ministerie van Binnenlandse Zaken: “De beslissing van KPN geeft vertrouwen. KPN handelt hierin adequaat en volgens het uitgangspunt veiligheid voorop. Het ministerie van Binnenlandse Zaken volgt het onderzoek intensief." KPN heeft de betreffende webserver vervangen.

Het Ministerie heeft meteen een brief aan de Tweede Kamer gestuurd om die op de hoogte te brengen van de problemen bij KPN.

KPN Getronics is, na het Diginotar-debacle, één van de vier aangewezen uitgevers van overheidscertificaten. Sterker nog, de meeste bedrijven en overheidsinstellingen die halsoverkop wegmoesten bij DigiNotar zijn bij Getronics terechtgekomen.

GlobalSign

De situatie is enigszins vergelijkbaar met die van GlobalSign in september. Daar waren ook aanwijzingen van een cyberinbraak, waarna de certificaatreus zijn CA-infrastructuur offline haalde. Nadat bleek dat er alleen een webserver was gehackt, herstelde het concern stapsgewijs weer de dienstverlening.