Huawei kon alle gesprekken van mobiele KPN-klanten afluisteren, inclusief die van politici

Huawei had vrije toegang tot het mobiele netwerk van KPN. Dat blijkt uit een geheim rapport van Capgemini uit 2010 dat de Volkskrant in handen heeft. Het Chinese bedrijf kon onder meer meeluisteren bij leden van het kabinet en in een database met afgetapte lijnen.

Voordat Guusje ter Horst in het najaar van 2009 voor een vijfdaags werkbezoek het vliegtuig neemt naar Beijing, krijgt de minister van Binnenlandse Zaken een veiligheidstraining van de AIVD. Op het ministerie in het Wijnhavenkwartier vertellen twee AIVD’ers over de risico’s van het bezoek aan China. Ook het reisgezelschap van Ter Horst is bij de training aanwezig: haar medewerker Jean Fransman, een beleidsmedewerker en topambtenaar Dick Schoof, het latere hoofd van de AIVD.

Het is niet zozeer de aard van het werkbezoek – het viertal reist af om een bilaterale overeenkomst over politiesamenwerking tussen Nederland en China te tekenen – als wel het gedrag van China waar het gezelschap op moet letten, vertellen de AIVD’ers. Jean Fransman: ‘We werden uitvoerig gebriefd. Ze vertelden wat we met vertrouwelijke stukken moesten doen en met onze telefoons.’ De ambtelijke stukken gaan aan het eind van iedere dag met een ambassademedewerker mee naar een kluis in de Nederlandse ambassade.

Telefoons vormen een apart risico. Fransman: ‘We werden gewaarschuwd om geen gesprekken over de telefoon te voeren.’ De ambtenaren krijgen een nieuwe simkaart mee, die na afloop wordt vernietigd. Minister Ter Horst krijgt van de AIVD een prepaidtelefoon, die ze na de reis bij de dienst moet inleveren. Ook haar wordt geadviseerd geen vertrouwelijke informatie via de telefoon te delen.

Dat de AIVD bezorgd is over China, is niet verwonderlijk. In 2008 heeft de inlichtingendienst gezien dat het aantal digitale aanvallen op de Nederlandse overheid en het bedrijfsleven vanuit China toeneemt. Ministeries en hightechbedrijven zijn een favoriet doelwit. China wordt dat jaar met naam en toenaam genoemd in het jaarverslag. Verantwoordelijk minister Ter Horst zegt daar later in de Tweede Kamer over: ‘Er kan soms reden zijn om sommige landen expliciet in het jaarverslag te noemen. Dat gebeurt wanneer de schaal zodanig is dat de AIVD van mening is dat het breed moet worden gedeeld.’

Ook in Duitsland nemen de zorgen over China in 2009 toe. Dat land ligt permanent onder vuur van Chinese staatshackers, zegt Walter Opfermann, een contraspionage-expert voor de deelstaat Baden-Württemberg die in The Guardian wordt geciteerd. Hij schat dat de spionage-activiteiten de Duitse economie tientallen miljarden per jaar kosten. China zit in zo veel systemen dat het in staat is om complete onderdelen van de Duitse infrastructuur te saboteren.

Ondanks die aanwezigheid, blijkt de Chinese spionage maar moeilijk bespreekbaar in Duitsland, zegt Opfermann. ‘Bedrijven willen niet toegeven dat ze kwetsbaar zijn en daardoor klanten verliezen. Daarnaast willen ze de zakelijke kansen in China niet vergooien. Daarom zien we slechts het topje van de ijsberg.’

In Nederland is die houding niet anders. Want terwijl de AIVD zich zorgen maakt over Chinese spionage, investeren Nederlandse telecompartijen volop in apparatuur van het Chinese technologiebedrijf Huawei. De reden: het Chinese bedrijf is veel goedkoper dan concurrenten Nokia en Ericsson.

Slechts enkelen, vooral bij de beveiligingsafdelingen van de telecombedrijven, maken zich zorgen over het weglekken van gegevens naar China.

Als bij Telfort het klant- en facturatiesysteem wordt vervangen en verschillende aanbieders een prijsopgave sturen, blijkt de aanbieding van Huawei zo veel goedkoper dat medewerkers zich afvragen of het Chinese bedrijf het juiste bedrag heeft ingevuld. Huawei vraagt 25 procent van de prijs van de overige aanbieders, staat in een vertrouwelijke document van moederbedrijf KPN dat is ingezien door de Volkskrant. Het Britse telecombedrijf BT bespaart 1 miljard dollar door voor apparatuur van Huawei te kiezen.

Ook KPN maakt graag gebruik van de technologie van Huawei. Het voormalige staatsbedrijf is in 2009 de absolute koploper op de markt voor mobiele telefonie. KPN bezit meer dan de helft van de markt en laat concurrenten Vodafone (25 procent) en T-Mobile (24 procent) ver achter zich. KPN heeft in 2009 6,5 miljoen mobiele abonnees die gebruikmaken van het 3G-netwerk. De telefoontjes, sms’jes en mailtjes van miljoenen Nederlanders gaan dankzij Chinese apparatuur door het KPN-netwerk.

Om de kosten nog meer te drukken – KPN heeft in 2009 net zoals praktisch alle grote bedrijven last van de financiële crisis – heeft KPN het plan opgevat om het management van de Chinese apparatuur volledig in handen te leggen van technici van Huawei. KPN vraagt daarom in het najaar van 2009 consultancybedrijf Capgemini een risicoanalyse te maken, ter voorbereiding op deze stap.

De specialisten van Capgemini onderzoeken welke risico’s kleven aan Huawei en hoe het Chinese bedrijf zich gedraagt binnen KPN. De conclusies van dat rapport zijn zo alarmerend dat de bevindingen geheim worden verklaard. Tien jaar later is het rapport in handen van de Volkskrant en wordt duidelijk waarom het geheim moest blijven.

Betrouwbare partner

In de definitieve versie van het rapport staat het onomwonden: Huawei-personeel is zowel binnen KPN-gebouwen als vanuit China in staat om ongeautoriseerd, ongecontroleerd en ongelimiteerd mobiele nummers van KPN af te luisteren. Huawei weet welke nummers worden afgetapt en het bedrijf verschaft zich vanuit China ongeautoriseerd toegang tot het hart van het mobiele netwerk. Het bedrijf schendt daarmee de afspraken met KPN.

Er wordt gevreesd voor het voortbestaan van de mobiele tak van KPN als het rapport uitlekt. ‘Indien de door de onderzoekers geconstateerde gebreken publiekelijk bekend worden (...) moet rekening gehouden worden met de mogelijkheid dat overheden en het bedrijfsleven massaal overstappen op een andere provider. De business van KPN Mobiel, met uitstraling naar KPN als geheel, komt dan ernstig in gevaar.’

Op het hoofdkantoor van KPN, direct naast de A12 bij Den Haag, hebben Chinese technici van Huawei in 2009 een eigen ruimte. Zes Chinezen lopen er in en uit en doen het beheer van de apparatuur in de kern van het mobiele netwerk. Huawei levert onder meer switches aan KPN, apparaten die KPN-nummers aan elkaar koppelen. Als persoon A met persoon B belt, gaat de gegevensstroom via een switch van Huawei. Naast de zes medewerkers wordt een deel van het beheer van deze apparatuur vanuit China verzorgd. KPN ziet Huawei kennelijk als een betrouwbare partner, stellen de onderzoekers van Capgemini vast.

Toch bestaan er zorgen over die betrouwbaarheid. De AIVD heeft in 2008 en in 2009 gesprekken gehad met KPN en verteld over digitale aanvallen vanuit China. Ook heeft de dienst erop gewezen dat de ‘directie van Huawei nauwe banden met de Chinese overheid’ heeft. Concrete informatie over de onbetrouwbaarheid van Huawei kon de AIVD in die gesprekken met KPN niet geven. Het blijkt ingewikkeld om de precieze werking van de apparaten van Huawei te achterhalen.

Capgemini vindt die concrete informatie wel.

De onderzoekers bekijken de mogelijkheden van Huawei om in het hart van het netwerk te kijken. Daar gaan de datastromen onversleuteld doorheen en zijn waardevolle call detail records (CDR) te zien. De procedures voor Huawei om vanuit China toegang te krijgen tot dit gevoelige deel van het netwerk zijn daarom strikt. Als Huawei erbij wil, moet het bedrijf bij het Netwerk Operations Center van KPN een veiligheidscode aanvragen. Daarna bereiden technici van KPN de toegang voor. Alleen dan kan Huawei in het hart van het netwerk. Een KPN-bron: ‘Het veiligheidsbewustzijn was in 2009 al goed voor elkaar. Er werd serieus over nagedacht.’

Maar het gaat toch verkeerd. Huawei blijkt zich buiten de procedure om vanuit China toegang tot de kern van het netwerk te verschaffen. Veiligheidsmensen van KPN weten dat dit gebeurt, maar doen niets. ‘Ongecontroleerde en ongeautoriseerde toegang vanuit China heeft na 28 oktober 2009 daadwerkelijk plaatsgevonden’, vermeldt het rapport in april 2010.

Capgemini vindt meer.

KPN heeft een systeem om telefoonnummers af te tappen, Lawful Intercept. Als de provider een tapbevel krijgt, wordt een kopie van het gesprek naar KPN in Groningen gestuurd. Een overzicht van afgetapte nummers wordt bijgehouden in een versleutelde database. Die staat op een server van Huawei. De onderzoekers vragen het Chinese bedrijf daarom wie bij de gegevens kan en hoe de versleuteling is geregeld. ‘Pas na lang aandringen’ is Huawei bereid ‘duidelijkheid te verschaffen’. Huawei blijkt een uiterst zwakke versleuteling toe te passen en zelf het sleutelbeheer te doen. Capgemini: ‘Daarmee zijn nummers die onder de tap staan bekend bij Huawei’.

De zes Chinese medewerkers van het bedrijf kunnen eveneens bij de gespreksinformatie, de inhoud, van de gesprekken die worden getapt. Dat is in strijd met de Telecommunicatiewet. Een voormalig veiligheidsmanager van KPN: ‘Dit verbaast mij zeer. Lawful Intercept behoort tot de hoogste veiligheidscategorie, alles zit daar dichtgetimmerd. Ik begrijp niet hoe dit kon gebeuren.’

Huawei geeft volgens het rapport nauwelijks openheid van zaken en spreekt de bevindingen van de onderzoekers tegen. Het bedrijf stelt dat er nergens een indicatie wordt gegeven als een nummer wordt getapt en dat medewerkers dus niet kunnen zien wie wordt afgeluisterd.

Maar dat is onjuist. Die notificatie is er wel en Huawei heeft er zicht op. Capgemini: ‘Huawei is in detail op de hoogte hoe KPN zijn taps realiseert, beheert de apparatuur waarover deze call detail record verzonden wordt en heeft toegang tot de database met nummers die onder de tap staan.’

De onderzoekers vinden dat Huawei de afspraken met KPN schendt. ‘Huawei gedraagt zich in relatie tot KPN niet als een betrouwbare partner.’

En ze doen nog een ernstige ontdekking. De zes Chinese medewerkers werken met een programma dat hen in staat stelt om elk telefoongesprek dat via KPN gaat mee te luisteren. Ook dat is in strijd met afspraken. Deze mogelijkheid houdt in dat Huawei-medewerkers waar ook ter wereld KPN-nummers kunnen meeluisteren. Dat betekent dat ze delen van het gesprek of het hele gesprek kunnen volgen zonder dat de bellers of iemand bij KPN op de hoogte is.

Huawei heeft contractueel de mogelijkheid om voor kwaliteitsdoeleinden een gesprek kortstondig – enkele seconden – te volgen, dat heet inluisteren. Het hele gesprek volgen – meeluisteren – is verboden. Een bron: ‘Ze konden nummers tappen, ze konden overal ter wereld meeluisteren, KPN had geen idee wat Huawei op het netwerk deed.’

Dan dringen ook de verdere implicaties door. Als Huawei ongecontroleerd en ongelimiteerd bij KPN-nummers kan, kan het ook de communicatie van de Nederlandse regering afluisteren. Bronnen vertellen dat deze mogelijkheid binnen KPN is besproken. Een voormalig KPN-manager digitale veiligheid: ‘Ongelooflijk. Ik had deze bevindingen willen zien, maar heb ze nooit gekregen.’

De ministersploeg, inclusief minister Ter Horst, minister van Defensie Eimert van Middelkoop en minister-president Jan Peter Balkenende, belt via KPN. De extra beveiligde telefoons van ministers maken gebruik van het KPN-netwerk. Een bron: ‘De conclusie van het Capgemini-rapport hield feitelijk in dat Huawei de regering of Chinese dissidenten kon afluisteren en dat niemand dat in de gaten zou hebben.’

Omdat de beveiligde telefoons van de ministers zijn voorzien van extra versleuteling die lastig te kraken is, betekende dat wel dat dit verkeer eerst ontsleuteld moest worden, wat een tijdrovende kwestie kan zijn. Kabinetsleden die in het buitenland via roaming belden of die in Nederland, of het buitenland, een gesprek hadden met een ander KPN-nummer, konden in theorie ook worden afgeluisterd zonder dat ontsleuteling nodig was, zeggen twee KPN-ingewijden. Ook had Huawei de mogelijkheid om ‘verkeersgegevens’ in te zien, zeggen bronnen. Die verkeersgegevens laten zien wie met wie belt en zijn bijzonder waardevol voor inlichtingendiensten.

De onderzoekers kunnen niet verifiëren of en hoe vaak Huawei een gesprek meeluistert. De reden: als Huawei meeluistert, wordt dat niet geregistreerd en het programma dat het bedrijf gebruikt is in het Chinees. ‘Omdat de interface gebruikmaakt van Chinese tekens is het onbekend welke handelingen daadwerkelijk worden uitgevoerd.’

De onderzoekers merken op dat Huawei aardig wat macht heeft over het KPN-netwerk. Als Huawei wil, kan het bedrijf KPN en de maatschappij grote schade toebrengen. ‘De Nederlandse samenleving loopt een risico, omdat het mobiele netwerk van KPN door Huawei (potentieel) kan worden uitgeschakeld.’

De conclusies van Capgemini plaatsen de onderzoekers en KPN voor een dilemma. Het bedrijf heeft al flink geïnvesteerd in apparatuur van het Chinese bedrijf. Stoppen kan niet meer. ‘De onderzoekers realiseren zich terdege dat de keuze voor Huawei, die een aantal jaren geleden door de raad van bestuur is gemaakt, niet is terug te draaien. Een aanbeveling om af te zien van het gebruik van Huawei apparatuur en/of het onderhoud aan Huawei-apparatuur door Chinezen is daarom niet realistisch.’

De onderzoekers adviseren daarom om ‘verregaande beheers- en controlemaatregelen’ te nemen om de toegang van Huawei in te perken en deze af te stemmen met de overheidsorganisatie Agentschap Telecom. KPN start een vervolgonderzoek bij zusterbedrijf E-Plus in Duitsland dat gebruikmaakt van technologie van het Chinese ZTE. De conclusies zijn volgens ingewijden even verontrustend.

Bronnen vertellen de Volkskrant dat Eric Kuisch, manager Network Services bij KPN, in het voorjaar van 2010 een gesprek heeft met de directeur van Huawei Nederland. Doel van dat gesprek is om tot duidelijker afspraken te komen. Als Huawei zich daar niet aan houdt, wil KPN hoge boetes kunnen opleggen, zoals bijvoorbeeld BT dat ook doet. Of Huawei daarmee akkoord is gegaan, is onbekend. Kuisch, inmiddels weg bij KPN, wil geen vragen over het gesprek beantwoorden. ‘Ik reageer niet op vragen over oud-werkgevers, die kunnen dat heel goed zelf.’

KPN zegt dat op basis van de risicoanalyse in 2010 een verbeterplan is opgesteld en uitgevoerd. Daarover is volgens een woordvoerder ook overleg geweest met het Agentschap Telecom. ‘Mede op basis van het rapport is destijds besloten niet over te gaan tot uitbesteding (aan Huawei, red.). KPN doet – tot op de dag van vandaag – het onderhoud van zijn mobiele kernnetwerk zelf, met ondersteuning van deskundigen van meerdere partijen.’

China is een black box

Wat is er verder gebeurd met de bevindingen uit het rapport? Bronnen zeggen dat de conclusies uit het Capgemini-rapport zijn gedeeld met de AIVD. De dienst wil niet ingaan op specifieke vragen over de situatie in 2010. Ook niet of de dienst de regering heeft gewaarschuwd. Verschillende oud-ministers van het kabinet-Balkenende IV zeggen niet geïnformeerd te zijn. Minister Ter Horst, destijds verantwoordelijk voor de AIVD, reageerde niet op een verzoek om commentaar.

China krijgt vanaf 2010 een steeds prominentere plek in de jaarverslagen van de inlichtingendienst.

‘De cybercapaciteit, -kennis en -expertise van China is dermate groot dat de slagingskans ook groot is dat ze ergens digitaal kunnen binnendringen’, schrijven AIVD, MIVD en NCTV begin dit jaar in een gezamenlijke publicatie. Maar of China daarbij gebruikmaakt van de toegang van Huawei is niet bekend.

De inlichtingenpositie van de AIVD is in de jaren vanaf 2010 niet sterk. De dienst ziet wel een toenemend aantal Nederlandse slachtoffers van China’s digitale spionage, maar het lukt maar niet om een goede positie in China zelf op te bouwen. Dat komt mede door de personele bezetting, vertellen bronnen. Hooguit drie AIVD’ers houden zich bij Digitale Spionage met China bezig. Waar het eenzelfde team met minimale middelen nog weleens lukt om diep door te dringen in Russische netwerken en spionagegroepen, is dat bij China een stuk complexer. China is een black box.

Vanaf 2015 wordt het zicht iets beter. De AIVD slaagt er weleens in een command and control-server van een Chinese spionagegroep te hacken. Ook vindt de AIVD klantenbestanden van KPN bij een Chinese hackgroep. En de AIVD en MIVD krijgen zicht op het gedrag van Chinese groepen in Azië. Een bron: ‘Chinese spionagegroepen gaan daar massaal achter telecombedrijven aan.’ Die zijn om verschillende redenen aantrekkelijk. Eenmaal binnen is het mogelijk om tweestapsverificatie bij een doelwit te omzeilen, een netwerk af te tappen of de communicatie te onderscheppen en om de exacte gps-locaties van slachtoffers te achterhalen. In India werd een grote telecomprovider door China gehackt. De MIVD schat in 2015 dat China meer dan 100 duizend hackers inzet om het Westen te bespioneren.

Vooral Huawei lijkt de prijs te betalen voor de Chinese expansiedrift. Het bedrijf wordt van alle kanten beschuldigd van spionage en warme banden met de Chinese overheid. De Nederlandse regering heeft mede op advies van de AIVD besloten om Huawei te weren uit de kern van het nieuwe 5G-netwerk.

Terug naar 2009. De vijfdaagse werkreis van Ter Horst naar China verloopt goed. Het gezelschap vliegt eerst naar Beijing, heeft meerdere afspraken met Chinese delegaties en tekent uiteindelijk het verdrag voor politiesamenwerking. In Shanghai brengen Ter Horst en Schoof een bezoek aan het Nederlandse paviljoen voor de World Expo, die later in 2010 zal plaatsvinden. Premier Balkenende zal dan afreizen naar Shanghai en een ontmoeting hebben met de Chinese president Hu Jintao. ‘Wat heel opvallend was’, memoreert Jean Fransman, ‘is dat we overal werden begeleid door veiligheidsfunctionarissen. Ze stonden zelfs te posten voor mijn hoteldeur, terwijl ik meeging als simpele woordvoerder.’

Na afloop levert Ter Horst haar telefoon weer in bij de AIVD. In diezelfde periode ontdekken onderzoekers van Capgemini dat Chinese medewerkers van Huawei alle KPN-nummers kunnen afluisteren. Ook het nummer van de minister voor Binnenlandse Zaken.