Wopke Hoekstra loopt de Tweede kamer in nadat het Binnenhof was afgezet door een bommelding. Beeld Freek van den Bergh

ID-ware levert toegangssystemen aan zeker tientallen bedrijven en overheden, inclusief de Eerste en Tweede Kamer. Het bedrijf is eind september gehackt door een criminele groepering met de gijzelsoftware ALPHV/BlackCat, zo valt te lezen op hun site op het darkweb. Ook is een grote hoeveelheid data van ID-ware gestolen en online gezet. ‘Tot nu toe is bekend dat van bijna 3500 medewerkers van de Rijksoverheid naam, rijkspasnummer en paraaf is gelekt vanuit de thuisbezorgservice van de kaart’, schrijft staatssecretaris van Binnenlandse Zaken Alexandra van Huffelen vrijdag in een uitlegbrief aan de Tweede Kamer.

Het gaat om persoonlijke gegevens – naam, geboortedatum, pasgegevens – van verschillende organisaties, waaronder houders van Rijkspassen. Onder meer de Politieacademie, ministeries van Justitie en Veiligheid, Defensie, Financiën en Binnenlandse Zaken zijn klant, maar ook Prorail, TNO en Alliander komen in de data voor. Op de leaksite zijn ook pasfoto’s te vinden en bijvoorbeeld data van studentenpassen. ID-ware is zowel in Nederland als in Duitsland actief. Ook in Duitsland gaat het daarbij om zowel bedrijven als overheden.

‘Met de gelekte informatie kan geen pas worden gefabriceerd die toegang tot gebouwen geeft, het hiervoor benodigde sleutelmateriaal wordt niet verwerkt bij ID-ware’, schrijft Van Huffelen aan de Kamer. In theorie kunnen dit soort gegevens worden gebruikt door kwaadwillenden om toegangscontrole te misbruiken. Ook zijn de data te gebruiken voor het identificeren van personen bij talloze organisaties. In haar Kamerbrief wijst Van Huffelen vooral op het gevaar dat de gelekte bestanden gebruikt kunnen worden om gericht phishing-mails te sturen, waarmee criminelen of hackers toegang proberen te krijgen tot computersystemen.

‘Angst aanjagen’

‘Deze casus toont nogmaals aan dat vasthoudende gijzelsoftwaregroepen een directe bedreiging kunnen vormen voor de nationale veiligheid’, zegt beveiligingsonderzoeker Matthijs Koot van Secura. ‘Eenmaal gestolen data worden openbaar gemaakt om angst aan te jagen, maar ook in beslotenheid gedeeld met serieuze criminele groeperingen of inlichtingendiensten die de gegevens kunnen gebruiken om de Nederlandse belangen te ondermijnen.’

Het is onbekend of ID-ware is ingegaan op de losgeldeis van de criminele hackers. Het feit dat de data online zijn gezet, duidt erop dat dit waarschijnlijk niet het geval is. De hack bij ID-ware en de implicaties voor overheidspartijen laten de kwetsbaarheid zien van de digitale samenleving: een toeleverancier die minder goed is beveiligd kan uiteindelijk een risico vormen voor de nationale veiligheid.

Criminele groeperingen staan niet bekend om hun vernuftige werkwijze, zij richten zich eerder op organisaties waar ze makkelijk en snel kunnen scoren. Dat roept vragen op over de beveiliging van ID-ware. Een operationeel manager van ID-ware wilde niets zeggen over de impact van de hack.