Een duister figuur gekleed in een hoody die tot diep in de nacht achter een donker scherm in oplichtende letters allerlei ingewikkelde codes typt; deze stereotypering van een hacker wordt vaak gebruikt. In het Berlijnse kantoor van Karsten Nohl valt het licht echter langs alle kanten binnen. Zittend in een witte stoel in nette kleding zit hij ontspannen een salade te eten. Tussen de happen door vertelt hij: “Wist je dat ik in het laatste jaar van mijn studie – computer engineering – samen met wat medestudenten de ov-chipkaart heb gehackt vlak voor de officiële invoering? Het Nederlandse bedrijf East-West moest vervolgens miljoenen kaarten terugroepen.”
Nohl wijst erop dat hij als ‘hacktivist’ bedrijven bewust probeert te maken van beveiligingsgaten die een grote groep mensen onnodig in gevaar brengt. Terugblikkend op de hack van de ov-chipkaart redeneert hij: “Vergeleken met beveiligingsgaten bij andere bedrijven viel dat lek best mee. Wat was het ergste dat kon gebeuren? Dat reizigers gratis met de trein reizen? Er zijn wel ergere dingen te bedenken.”
Schade door cybercriminaliteit
Zowel in Duitsland als in Nederland is cybercriminaliteit een grote kostenpost. Hoeveel schade cyberaanvallen teweegbrengen, valt volgens Liesbeth Holterman, cybersecurity-expert bij Nederland ICT, moeilijk te bepalen. “Niemand heeft mij nog kunnen overtuigen van correcte cijfers. Veel bedrijven en overheden zijn niet open over de schade die zij lijden. Duidelijk is wel dat het een groot probleem is.”
Volgens een rapport van Deloitte zou cybercriminaliteit Nederlandse organisaties 10 miljard euro per jaar kosten. In Duitsland ligt dit bedrag officieel rond de 50 miljard euro per jaar dat betekent dat ‘cyberovervallen’ in Duitsland criminelen dagelijks 137 miljoen euro opleveren. Wereldwijd worden iedere seconde 18 mensen slachtoffer van cybercriminaliteit.
Bedrijven investeren niet in beveiliging
Over het algemeen sturen hackers dagelijks duizenden tot miljoenen phishingmails – berichten met als doel ontvangers naar een namaaksite te lokken, om zo gegevens van de ontvanger te ontfutselen. Zowel in Duitsland als in Nederland raakt cybercriminaliteit vooral de middelgrote ondernemingen. Nohl: “In tegenstelling tot kleine ondernemingen kennen zij vaak niet alle contacten persoonlijk, waardoor ze eerder op links van nep-klanten zullen klikken. Bovendien beschikken ze niet over de financiële middelen van grotere ondernemingen om zichzelf te beschermen tegen cybercriminaliteit. Er is dus een gebrek aan kennis en geld.”
Holterman is het daar niet geheel mee eens. Volgens haar beschikken de ondernemingen wel over het geld, maar geven ze het aan andere zaken uit. “Bedrijven kiezen er eerder voor om bijvoorbeeld in sales te investeren. Dat is heel naïef, want ze staan niet stil bij de gevolgen die cyberaanvallen kunnen hebben voor de continuïteit van de onderneming.”
Ziekenhuizen worden ook regelmatig getroffen door hackaanvallen. Zo werden dit jaar in Duitsland meerdere ziekenhuizen slachtoffer van een virus dat patiëntengegevens gijzelt totdat er losgeld is betaald. Zulke aanvallen kunnen ernstige gevolgen hebben. Volgens Nohl zijn ziekenhuizen eigenlijk onbedoelde slachtoffers. “Daarmee bedoel ik dat hackers het niet per se op hen hebben gemunt, maar dat de instellingen de pech hebben dat iemand van hun personeel een mail opent met zo’n virus.”
Duitsland sjokt achter trends aan
Nederland staat wereldwijd goed aangeschreven op het gebied van cyberveiligheid. De politie heeft een speciale hightechafdeling en een cyberrechercheteam dat regelmatig grensoverschrijdend opereert. “We hebben een sterke digitale infrastructuur. Nadeel hiervan is dat we ook aantrekkelijk zijn voor cybercriminelen die graag gebruik maken van onze snelle verbindingen”, aldus de Nederlandse expert.
Nohl geeft aan dat Duitsland in tegenstelling tot Nederland vaak achter de trends aan sjokt. “Nieuwe technieken worden bij ons pas ingevoerd als niemand er meer op zit te wachten. Voordeel hiervan is wel dat onze systemen bij invoer vaak beter in elkaar zitten, omdat we bij anderen hebben gezien wat er mis kan gaan.” Desondanks geeft hij aan dat hij graag zou zien dat Duitsland even ‘technologisch intelligent’ zou zijn als buurland Nederland.
Europese regelgeving
Om de ontwikkeling van cyberveiligheid te stimuleren werkt de Europese Unie aan twee nieuwe wetten. Zo moeten alle ondernemingen in de EU binnenkort aan minimale beveiligingseisen voldoen. Daarnaast wordt het verplicht om cyberinbraken te melden. In Nederland is die meldplicht op 1 januari al ingegaan. Bedrijven die incidenten niet melden krijgen een boete. “Dit is een goede maatregel. Het bewustzijn van cyberveiligheid wordt hierdoor vergroot; het stimuleert bedrijven om na te denken over een betere beveiliging van persoonsgegevens”, stelt Holterman.
Terugblikkend op de maatregelen die overheden de afgelopen tien jaar hebben genomen, vindt Nohl dat de Duitse overheid vrijwel niets heeft bereikt in haar strijd tegen cybercriminaliteit. “Het probleem is dat ze belastinggeld investeren in oplossingen die erg gebruiksonvriendelijk zijn en daardoor niet toepasbaar voor bedrijven. Consumenten gaan over het algemeen eerst af op gebruiksgemak en niet op veiligheid.”
Samenwerkingsovereenkomsten
Duitsland werkt ook buiten de EU aan manieren om de cyberveiligheid van haar land te vergroten. Met het oog op de Aziatische en Duitse investering in de digitalisering van de industrie – bekend als Industrie 4.0 oftewel China 2025 – werken ze aan een cybersecuritydeal met China. De Duitse consultant staat cynisch tegenover dit soort overeenkomsten. “Deals tussen landen om cybercriminaliteit tegen te gaan, zijn volstrekt zinloos. Het internet is geen gebied dat je kunt veiligstellen. Er zijn geen grenzen. Cybercriminelen vertrekken gewoon naar landen als Rusland waar ze andere landen kunnen aanvallen zolang ze de Russen zelf maar met rust laten.”
Holterman herkent dit probleem, maar vindt niet dat afspraken tussen landen per se zinloos zijn. Ze wijst erop dat afspraken tussen landen de uitlevering van hackers vergemakkelijken en strafprocessen bevorderen. Zo vermoedt zij dat een deal tussen Duitsland en Nederland zeker zinvol zou zijn.
Nu moet Nederland bij een strafzaak waarin cyberinformatie nodig is van een Duits bedrijf eerst aankloppen bij de Duitse politie. Die neemt vervolgens contact op met de onderneming. Dat is omslachtiger dan direct contact tussen de Nederlandse en Duitse instanties. “Bovendien kan het zonder cyberdeal tussen landen aantrekkelijk zijn om elkaars systemen te hacken en op die manier de benodigde informatie te verzamelen”, redeneert de cybersecurity-expert.
Toch ziet zij één-op-éénovereenkomsten slechts als het begin van een oplossing. “Om cybercriminaliteit écht aan te pakken is mondiale regelgeving nodig.” Holterman benadrukt dat dergelijke wereldwijde afspraken alleen succesvol kunnen zijn als letterlijk alle landen eraan deelnemen; “Criminelen moeten nergens een veilige haven kunnen vinden.”
Koude Oorlog
De mogelijke cybersecuritydeal met China wordt door Nohl bestempeld als een defensieve variant van de Koude Oorlog. “China heeft natuurlijk een heel leger aan hackers. Duitsland sluit zich daar nu bij aan. Mocht er een cyberoorlog uitbreken, dan vormt Duitsland samen met China een front. Het is als het ware een soort wedloop alleen niet in offensieve vorm, maar in defensieve vorm. De boodschap is: als iemand een cyberoorlog begint, staan wij zij-aan-zij in de verdediging.”
Volgens de hacktivist doen kleine landen die – in tegenstelling tot Nederland – weinig kennis hebben op het gebied van cybercriminaliteit er verstandig aan om dergelijke samenwerkingen aan te gaan. “Landen als Estland, Georgië en Oekraïne worden regelmatig de dupe van grote cyberaanvallen vanuit overheden, omdat ze makkelijke, weerloze slachtoffers zijn.”
Cyberspionage
Holterman heeft weinig vertrouwen in een ‘weerbaarheidsovereenkomst’. Zo denkt ze bijvoorbeeld dat het weinig nut heeft als China en Duitsland afspreken om niet bij elkaar te spioneren. Afspraak of geen afspraak, volgens de Nederlandse expert vindt spionage toch wel plaats. “Beide landen kunnen enorm profiteren van vertrouwelijke informatie over elkaars economie.”
Volgens Nohl zijn de Chinezen en Russen op dit gebied ook niet bepaald stilletjes. Als voorbeeld noemt hij de beruchte hackaanval op de Duitse Bondsdag . “Je kunt er vanuit gaan dat dagelijks spionagepraktijken plaatsvonden binnen de Bondsdag. Veel professionele hackers uit andere landen waren allang een keer binnengedrongen in het systeem. Maar hackers uit China en Rusland zijn veelal enorm luidruchtige inbrekers. Je zou kunnen stellen dat zij het hebben ‘verpest’ voor de hackers van geheime diensten uit andere landen.”
