In januari 2011 heeft het Duitse bedrijf VASCO Data Security International GMBH de aandelen in DigiNotar overgenomen. Nog geen half jaar later werd DigiNotar na een hack failliet verklaard. De rechtbank Amsterdam oordeelde dat er sprake is van garantieschendingen op grond waarvan de verkoper van DigiNotar een schadevergoeding moet betalen aan Vasco.
In 2011 betaalde Vasco 3,7 miljoen euro voor de aandelen van DigiNotar (de aankoopprijs was deels afhankelijk van de te behalen resultaten in 2011). Vasco is een bedrijf gespecialiseerd in het beveiligen van data door middel van het gebruik van digitale handtekeningen. DigiNotar, ontstaan in 1997 op initiatief van de Koninklijke Notariële Beroepsorganisatie, leverde digitale certificaten om elektronisch gegevensverkeer te beveiligen en de afkomst van websites te garanderen. Een groot deel van de activiteiten van DigiNotar werd verricht ten behoeve van de overheid, zo waren zij onder andere verantwoordelijk voor de beveiliging van DigiD.
Hack en faillissement
In juni en juli 2011 drong een hacker via het internet door tot de computersystemen van DigiNotar. Via servers van het bedrijf die in verbinding stonden met het internet verschafte de hacker zich toegang tot afgeschermde gedeelten van het netwerk, het zogeheten Secure-net, waaronder ook verscheidene CA-servers (computers waarmee de Certificaten Authenticatie worden gemaakt). De hacker slaagde er vervolgens in beheersrechten voor deze servers te verkrijgen en vervalste digitale certificaten te genereren.
Als gevolg van deze hack heeft de Minister van Binnenlandse zaken in september zijn vertrouwen in DigiNotar opgezegd waarna ook private partijen hun opdrachten met DigiNotar hebben beëindigd. 20 september 2011 is DigiNotar vervolgens failliet verklaard.
In deze procedure waarin Ratonigid (‘Verkoper’) vrijgave van de in escrow gehouden koopsom vordert, heeft Vasco een tegenvordering ingesteld tot terugbetaling van de koopsom en betaling van schadevergoeding. Vasco stelt dat Verkoper te weinig zou hebben gedaan om de systemen te beveiligen. Hiermee zou Verkoper de in de overnameovereenkomst afgegeven garanties ten aanzien van de IT hebben geschonden. Hierin heeft Verkoper onder andere gegarandeerd dat alle redelijke stappen zijn gezet en alle redelijke procedures zijn geïmplementeerd om de systemen van DigiNotar te beveiligen. Ratonigid voert als verweer dat zij tot 1 januari 2011 alle maatregelen hebben genomen om de hack te voorkomen en dat er sprake is van eigen schuld aan de kant van Vasco.
De uitspraak
Garantieschendingen
Allereerst beoordeelt de rechter of Ratonigid alle redelijke stappen heeft gezet en alle redelijke procedures heeft geïmplementeerd om de systemen van DigiNotar te beveiligen om een hack te voorkomen zoals deze zich heeft voorgedaan in juni en juli 2011. Hierbij wordt ingegaan op drie veiligheidsgebreken. Allereerst draaide op twee van de webservers een verouderde versie van software waarvan bekend was dat de beveiliging kwetsbaar was. Daarnaast waren credentials en wachtwoorden ontversleuteld opgeslagen op een van de servers. Het derde gebrek hield in dat één van de werkstations twee netwerkkaarten bevatten en daardoor in verbinding stond met zowel het Office-net als het Secure-net, wat de hack vergemakkelijkt zou hebben. De rechter gaat in de uitspraak uitgebreid in op de veiligheidsrisico’s van deze gebreken.
De rechter oordeelt dat er genoeg bewijs is geleverd dat er sprake was van deze drie gebreken en dat er dus sprake is van garantieschendingen. De rechter kent hierbij veel gewicht toe aan het feit dat van Ratonigid, gelet op haar ondernemingsactiviteiten (beveiliging van internetverkeer), mocht worden verwacht dat zij wat betreft de beveiliging van haar eigen systemen de grootst mogelijke zorgvuldigheid zou betrachten en daartoe dus ook alle maatregelen zou nemen.
Toerekenbaarheid en causaliteit
Vervolgens oordeelt de rechter dat de garantieschendingen ook kunnen worden toegerekend aan Verkoper. Zij zou lang voor 2011 al meerdere malen zijn gewaarschuwd door het onderzoeksbureau IT-sec over de kwetsbaarheden van de verouderde software. Daarnaast blijkt uit e-mailcorrespondentie uit 2008 dat zij op de hoogte was van de twee netwerkkaarten en de onversleutelde opslag van wachtwoorden en credentials. Door niks gedaan te hebben met deze informatie heeft ze de veiligheidsrisico’s laten voortbestaan.
Dat de schade die Vasco heeft geleden is toe te rekenen aan de garantieschending is volgens de rechtbank ook het geval. Dit blijkt allereerst uit het feit dat de garantieschendingen – waardoor de hack heeft kunnen plaatsvinden – een rol hebben gespeeld om de hack succesvol te laten zijn. Vervolgens kan ook vastgesteld worden dat er een causaal verband bestaat tussen de hack en het faillissement van DigiNator. De schade die Vasco stelt te lijden is immers het gevolg van het faillissement van DigiNator, ontstaan nadat de overheid aangaf het vertrouwen te hebben verloren, omdat DigiNotar de veiligheid van de digitale certificaten niet meer kon garanderen.
Eigen schuld Vasco
De rechter maakt vervolgens korte metten met het verweer van Ratonigid dat er sprake zou zijn van eigen schuld van Vasco. Vasco zou volgens Verkoper niets hebben gedaan aan de beveiliging vanaf 1 januari 2011 en geen maatregelen hebben genomen om de schade te beperken. De rechter stelt dat, nu de schadevergoedingsplicht rust op de tussen partijen gesloten SPA (Share Purchase Agreement) en dat ook de omvang van de te vergoeden schade is vastgelegd in deze overeenkomst dit verweer niet kan baten. Er wordt door Vasco niet zozeer een vordering ingesteld tot schadevergoeding wegens een tekortkoming in de nakoming van een verbintenis, maar Vasco vordert een nakoming van de tussen partijen gesloten overeenkomst, waarop de regeling van artikel 6:101 BW (eigen schuld) niet van toepassing is.
De rechter komt dus tot het oordeel dat er sprake is van garantieschendingen en dat Verkoper de voor de aandelen ontvangen koopprijs moet terugbetalen en ook de overige schade die Vasco als gevolg van de schending lijdt, moet vergoeden. De totale omvang van de schadevergoeding is nog niet bekend en zal in een latere procedure worden vastgesteld.