Sleutels inleveren

Het wordt steeds duidelijker hoe Europa de oren laat hangen naar Big Brother Amerika. De Britten tappen hun Europese bondgenoten af, Zwitserse softwarebedrijven geven de beveiligingssleutels van hun klanten af bij de Amerikanen. Gaat Nederland dat dadelijk ook doen? ..LE SINDS KORT is het officieel: Europa wordt net als de rest van de wereld door de Amerikanen en Britten bespioneerd via het Echelon-afluistersysteem. Zoals De Groene vorige week berichtte, roept het betreffende rapport van de Europese Stoa-werkgroep heel wat vragen op, ook over de Nederlandse situatie. In NRC Handelsblad werd geãnsinueerd dat de passage slechts op een paar bronnen berust, maar er is wel degelijk een veelvoud aan bewijzen voor het bestaan van Echelon, waaronder offici‰le documenten van het NSA, verklaringen tijdens hearings in het Amerikaanse Congres, EU-documenten, wetenschappelijke literatuur en de getuigenissen van voormalig Echelon-personeel in Groot-Brittanni‰, de Verenigde Staten, Canada en Nieuw-Zeeland.

Het rapport stelt dat Echelon onder auspici‰n van de Amerikaanse elektronische spionagedienst, de National Security Agency (NSA), praktisch al het elektronische berichtenverkeer in de wereld afluistert en derhalve fungeert als een ‘wereldwijde bewakingsmachinerie’. Wat betekent dit voor de verhoudingen binnen de Navo en voor de positie van Groot-Brittanni‰ als lidstaat van de Europese Unie? Hoe willen de afgeluisterde naties, waaronder Nederland, zich in de toekomst beschermen tegen een dergelijke inbreuk op hun offici‰le geheimhouding, hun economische belangen en de privacy van hun burgers? Of streven de EU-lidstaten naar een vergelijk met de Verenigde Staten en Groot-Brittanni‰ om gezamenlijk zowel hun eigen burgers als de rest van de wereld af te kunnen luisteren, zoals de Britse watchdog-organisatie Statewatch vreest? Zo ja, werken ook onze ministers van Binnenlandse Zaken en Justitie hieraan mee?
Diverse fracties in het Europees parlement dringen aan op antwoorden. Om te beginnen moet worden vastgesteld welke organen de bevoegdheid hebben om over verschillende aspecten (nationale veiligheid, concurrentievervalsing, afluisterwetgeving) uitspraken te doen. Tijdens de eerste schermutselingen onder het Britse voorzitterschap bleek dat het Grote Afschuiven van verantwoordelijkheden tussen de lidstaten en Europese organen al was begonnen. De Britse onderminister Henderson antwoordde afwijzend op vragen van Nel van Dijk (GroenLinks) en haar Griekse collega Papayannakis. Van Dijk verwees naar het Stoa-rapport en naar de in januari uitgezonden BBC-documentaire How to be Foreign Secretary, waarin de voormalige Britse minister van Buitenlandse Zaken Lord Owen en de ex-topambtenaar Lord Renwick toegaven dat de buitenlandse inlichtingendienst MI6 de Europese bondgenoten bespioneert.
'Het zou een vorm van plichtsverzuim zijn als we niet probeerden zoveel mogelijk informatie te verzamelen over degenen met wie we onderhandelen, maar onze bedoelingen zijn doorgaans honorabel’, zegt Renwick in die documentaire. Henderson beperkte zich tot de constatering dat inlichtingenzaken uitsluitend onder de bevoegdheid van de nationale overheden vallen. Toen Van Dijk en Papayannakis vroegen of hij tenminste kon bevestigen dat Echelon bestaat, zei Henderson: 'Het ligt niet op de weg van de Raad om te speculeren over een nieuw bondgenootschap tussen het Verenigd Koninkrijk en de Verenigde Staten.’ Niettemin is de commissie Openbare Vrijheden onder voorzitterschap van Hedy d'Ancona van plan om zelfstandig over de zaak te rapporteren. En als het aan diverse Europese fracties ligt, zal Hendersons baas Robin Cook, de minister van Buitenlandse Zaken van de regering-Blair, in de plenaire vergadering van maart alvast een aantal pijnlijke vragen over Britse politieke en economische spionage op het vasteland moeten beantwoorden.
DAT OOK NEDERLANDSE bedrijven, overheidsorganen en burgers slachtoffer zijn van de afluisterpraktijken ligt voor de hand, al zal in voorkomende gevallen het aandeel van Echelon nauwelijks te achterhalen zijn. In elk geval maakt het bedrijfsleven nog maar spaarzaam gebruik van (hoogwaardige) encryptietechnieken die tegen de codebreakers van het NSA bestand zijn. Particuliere e-mailgebruikers plukken tegenwoordig steeds sterke encryptieprogramma’s (versleutelingsprogramma’s) van het Internet, maar verreweg de meeste e-mail wordt nog ongecodeerd verzonden, ook bij grote niet-gouvernementele pressiegroepen en mensenrechtenorganisaties als Greenpeace en Amnesty die in het Stoa-rapport als afluisterdoelen worden genoemd.
In een eerste reactie zegt woordvoerster Kelly Rigg van Greenpeace dat de organisatie voorzover bekend alleen op amateuristische wijze wordt afgeluisterd: 'Toen we nog in Londen zaten, nam een collega eens de telefoon op en hoorde een opname van zijn vorige gesprek. Maar van elektronische spionage hebben wij nooit iets gemerkt. Echelon heeft ons niet belet om de Brent Spar of Rockall te bezetten, noch om de radioactieve uitstoot bij La Hague te meten.’
De Nederlandse overheid verlaat zich officieel op encryptietechniek van eigen bodem, geleverd door Philips Crypto BV. Dit bedrijf behoorde oorspronkelijk tot Hollandse Signaalapparatuur (HSA), maar werd in 1990 verzelfstandigd toen HSA aan het Franse Thomson-CSF werd verkocht. Zodoende beschikt Nederland nog altijd over een eigen cryptobedrijf. Het is moeilijk vast te stellen of de Staat der Nederlanden inderdaad alle encryptietechniek bij Philips Crypto koopt. Twee anonieme diplomatieke bronnen vertelden dat ook andere, uit het buitenland betrokken programma’s worden gebruikt - maar aan anonieme bronnen is in spionagekwesties helaas geen gebrek. Het is een heikele kwestie, omdat de afgelopen jaren herhaaldelijk is gebleken dat het NSA langs slinkse wegen de beschikking heeft gekregen over de sleutel van tal van overheidscodes.
Zo is onlangs uitgekomen dat het 'neutrale’ en 'betrouwbare’ Zwitserse bedrijf Crypto AG, dat versleutelingsprogramma’s leverde aan overheden en bedrijven in honderdtwintig landen, gedurende tientallen jaren de sleutels op een presenteerblaadje aanbood aan het NSA. In november vorig jaar kwamen Zweedse parlementari‰rs en bedrijfsleiders tot de ontdekking dat ook hun beveiligde berichten door het NSA werden gelezen. De sleutels van hun Amerikaanse programma Lotus Notes waren bij de Amerikaanse overheid bekend omdat het bedrijf anders zijn software niet mocht exporteren. 'Ik had geen idee dat onze Notes-sleutel in handen was van de Amerikanen’, aldus de chef databeveiliging van het Zweedse ministerie van Defensie.
Hij leek oprecht verbaasd, hoewel het afluisteren toch echt geschiedde met medeweten van zijn ministerie. Heeft het Nederlandse ministerie een soortgelijke deal met de Amerikanen?
AAN RUILMIDDELEN heeft ons land waarschijnlijk geen gebrek. Weliswaar vallen onze afluistermiddelen in het niet bij die van het NSA, schrijft inlichtingenexpert Frans Kluiters, maar de crypto- en verkeersanalyses van de Militaire Inlichtingendienst (MID) behoren tot de 'kroonjuwelen’ onder de Nederlandse geheimen. Volgens de voormalige Haagse dumphandelaar en schrijver van het alom erkende handboek De Nederlandse inlichtingen- en veiligheidsdiensten (1995) vindt er op incidentele basis uitwisseling van elektronische spionagegegevens met de Amerikanen plaats. Het 'grote oor’ van de Nederlandse inlichtingendiensten, zoals onderzoeksbureau Jansen & Janssen het omschrijft, staat op het marinecomplex Kattenburg in Amsterdam. Het aldaar gehuisveste Technisch Informatieverwerkingscentrum (TIVC) van de Marine Inlichtingendienst ontvangt en decodeert satellietverbindingsverkeer dat wordt opgevangen door diverse grondstations. Het bekendste is het grondstation van Zoutkamp, waarvan de functie zo geheim is dat het enkele jaren geleden tijdens een opschoning van de MID-archieven van Haagse bemoeienis werd uitgezonderd.
Het TIVC gaat op dezelfde wijze te werk als de veel grotere installaties van het NSA, zo bleek uit een publicatie van interne stukken en onthullingen van inlichtingenmensen in 1985 in de Haagsche Courant. Gesprekken via satellietverbindingen worden op band opgenomen en met behulp van trefwoorden geselecteerd voor nader onderzoek. Tot de opheffing van de Inlichtingendienst Buitenland (IDB) in 1994 gingen de door het TIVC vergaarde inlichtingen naar deze dienst voor bewerking en distributie. Sindsdien is de elektronische spionage vanuit Nederland een louter militaire aangelegenheid geworden.
Kluiters: 'Alle zogenaamde verbindingsinlichtingen zijn sinds de jongste reorganisaties vrijwel geheel in handen van de MID. De nieuwe wet op de inlichtingen- en veiligheidsdiensten van het paarse kabinet bevat de bepaling dat alle berichtenverkeer van en naar ons land ongericht mag worden afgeluisterd. Alleen in bijzondere gevallen mag gericht worden afgeluisterd, maar de grens tussen gericht en ongericht vervaagt in de praktijk natuurlijk snel.’
Ook op andere fronten sluit de Nederlandse praktijk steeds meer aan bij de 'mondiale onderscheppingsnorm’ die De Groene vorige week beschreef. Maurice Wessling, woordvoerder van Internet-provider XS4all ziet de nieuwe wetgeving van het paarse kabinet met grote zorg tegemoet. Wessling: 'Er is zonder twijfel een samenwerking tussen de inlichtingendiensten om de verbreiding van sterke encryptie te voorkomen. De Telecomwet van Sorgdrager, die de mogelijkheid tot aftappen wil vastleggen, ligt in het verlengde van de Europese besluitvorming. Dat geldt ook voor recente wetsvoorstellen in Duitsland en het verwachte voorstel van de Britse regering, dat waarschijnlijk ook key escrow (het beschikbaar stellen van ontcijfersleutels aan de overheid - ab) verplicht stelt. Zo zullen we ook in de toekomst aftapbaar blijven.’
'De parlementaire controle zal me jeuken’
'Het klinkt misschien verwaand, maar voor mij is Echelon niets nieuws’, zegt Rop Gonggrijp (30), medeoprichter van Internet-provider XS4all en voormalig hoofdredacteur van Hack-Tic, het legendarische huisorgaan voor 'techno-anarchisten’ dat in 1994 ter ziele ging. Toen Hack-Tic in 1989 van start ging, zwermden er rond de redactie een aantal hackers die wel eens inbraken in een computer van het Pentagon. Dat leverde soms interessante gegevens op over Amerikaanse inlichtingendiensten, inclusief het National Security Agency.
Gonggrijp: 'Om het beeld aan te vullen lazen we de vakliteratuur over inlichtingendiensten. Dankzij Bamfords boek Puzzle Palace (1982), waarin hij een poging deed om het computernetwerk van het NSA in kaart te brengen, wisten we van het bestaan van een mondiaal afluistersysteem, inclusief de mogelijkheid tot scannen van het internationale telefoonverkeer op sleutelwoorden. Als we in die tijd intercontinentaal belden, sloten we het gesprek vaak af met kreten als “Khadafi, bomb, White House, president, assassination!” zodat ze bij het NSA weer wat te doen hadden.’
Hij is verheugd dat het bestaan van het afluisternetwerk nu officieel is erkend in een Europees rapport. Gonggrijp: 'Vroeger kon je er met buitenstaanders moeilijk over praten. Journalisten die nu schrijven dat er weinig nieuws in het rapport staat, keken je destijds glazig aan als je erover begon. Dan vroegen ze of je in vliegende schotels geloofde. Het was onvoorstelbaar dat een wereldwijd afluistersysteem technisch en financieel haalbaar was. Het gebrek aan voorstellingsvermogen is nog steeds een barriŠre voor een goede gedachtenwisseling. Het NSA heeft een netwerk van decoderingscomputers waar de wereld geen benul van heeft. Volgens schattingen zijn rond tachtigduizend man fulltime werkzaam bij het NSA. Bamford heeft getracht de rekencapaciteit van het NSA te bepalen door de serienummers van de Cray-supercomputers van IBM na te trekken. In bijna de helft van de gevallen was de koper niet te achterhalen. Aangezien alleen de Amerikaanse overheid beschikte over het budget en de gebruiksmogelijkheden, lag het voor de hand waar de meeste ontbrekende nummers zich bevonden.’
Over de Nederlandse afluisterpraktijk maakt hij zich geen illusies. Gonggrijp: 'De parlementaire controle is een farce, omdat de Kamer die overlaat aan een paar overbelaste fractievoorzitters. Twee jaar geleden was ik op een Infowar-congres en daar zei een BVD'er openlijk: “De parlementaire controle zal me jeuken.” De BVD zou erg ineffici‰nt zijn als ze niet al tien jaar beschikte over alle verkeersgegevens van het Nederlandse telefoonnet, dat wil zeggen alle nummers van bellers, gebelde personen en de duur van hun gesprekken. EÇn modemverbinding met de PTT volstaat. De verkeersgegevens van een heel jaar passen in een aktekoffertje.
Met behulp van computerprogramma’s kun je vervolgens patronen in het telefoonverkeer ontdekken. Je zoekt een datum waarop iets belangrijks gebeurde - pakweg een lek in een kerncentrale - en je kijkt wie op die dag met wie belde. Dan zoek je uit wie dat waren, en wanneer ze nog meer met elkaar hebben gebeld. Zo'n verkeersanalyse is een machtig wapen. Je kunt het als amateur zelfs toepassen op semafonie. Alles wat je nodig hebt is een computerprogramma en een paar oude semafoons. Door alle contacten gedurende een jaar vast te leggen, kun je verbanden tussen personen en organisaties ontdekken.
Momenteel is men bij Justitie en de BVD bezig om het tappen te digitaliseren en centraliseren, zodat er bij de PTT geen mensenhanden meer aan te pas komen. De schaal waarop getapt wordt, zal zich dan aan elke vorm van controle onttrekken. Door het gebruik van digitale opslagmedia kunnen meer gesprekken tegelijkertijd getapt worden en kunnen gesprekken ook jaren later sneller teruggevonden worden.