ECLI:NL:RBAMS:2014:4888

Uitspraak

vonnis

RECHTBANK AMSTERDAM

Afdeling privaatrecht

zaaknummer / rolnummer: C/13/532324 / HA ZA 12-1508

Vonnis van 30 juli 2014

in de zaak van

1. de besloten vennootschap met beperkte aansprakelijkheid

RATONIGID HOLDING B.V.,

gevestigd te Beverwijk,

2. de besloten vennootschap met beperkte aansprakelijkheid

D.B.A. TEN BURG HOLDING B.V.,

gevestigd te Beverwijk,

3. de besloten vennootschap met beperkte aansprakelijkheid

BOSCO HOLDING B.V.,

gevestigd te Woerden,

eiseressen in conventie,

verweersters in reconventie,

advocaat mr. J.P.P. Latour te Amsterdam,

tegen

de rechtspersoon naar buitenlands recht

VASCO DATA SECURITY INTERNATIONAL GMBH,

gevestigd te Glattbrugg (Zwitserland),

gedaagde in conventie,

eiseres in reconventie,

advocaat mr. Chr.F. Kroes te Amsterdam.

Partijen zullen hierna Ratonigid, DBA en Bosco (en tezamen Ratonigid c.s.), respectievelijk Vasco worden genoemd.

1.De procedure

1.1.

Het verloop van de procedure blijkt uit:

- de dagvaarding van 5 oktober 2012;

- de akte overlegging producties van 19 december 2012 met producties;

- de conclusie van antwoord in conventie en van eis in reconventie met producties;

- het tussenvonnis van 5 juni 2013 waarbij een comparitie van partijen is bepaald;

- het proces-verbaal van comparitie van 8 oktober 2013 met de daarin genoemde stukken

- de akte van na comparitie van Vasco met producties;

- de antwoordakte na comparitie van Ratonigid c.s. met producties;

- de akte uitlating producties van Vasco.

1.2.

Ten slotte is vonnis bepaald.

2.De feiten

2.1.

Vanaf 17 augustus 1999 tot 10 januari 2011 was Ratonigid (toen: DigiNotar Holding B.V.) enig aandeelhouder van DigiNotar B.V. en DigiNotar Notariaat B.V. (hierna: DigiNotar, respectievelijk DigiNotar Notariaat).

2.2.

DigiNotar leverde digitale certificaten om elektronisch gegevensverkeer te beveiligen. DigiNotar ontstond in 1997 op initiatief van de Koninklijke Notariële Beroepsorganisatie en de notaris[naam 1] (hierna: [naam 1]). Een groot deel van de activiteiten van DigiNotar werd verricht ten behoeve van de overheid; de overheid was de belangrijkste opdrachtgever van DigiNotar.

2.3.

[naam 1] en [naam 2] (hierna: [naam 2]) waren (via hun vennootschappen Diba Iure B.V. en Bosco) bestuurder van DigiNotar en DigiNotar Notariaat. [naam 1] en [naam 2] waren (via hun vennootschappen DBA en Bosco) aandeelhouder van DigiNotar.

2.4.

Vasco is een bedrijf dat gespecialiseerd is in het beveiligen van data door middel van het gebruik van digitale handtekeningen. Vasco is onderdeel van Vasco Data Security International Inc.

2.5. Op 10 januari 2011 zijn alle aandelen in DigiNotar door DigiNotar Holding B.V. (thans Ratonigid) verkocht en overgedragen aan Vasco, waarbij de effectieve datum van overdracht is vastgesteld op 1 januari 2011. De koopprijs voor de aandelen bedroeg € 3.700.000. Een deel van de koopprijs was afhankelijk van het in 2011 door DigiNotar te behalen resultaat (EBIT).

2.6.

Op dezelfde datum heeft Vasco van DigiNotar Technologie B.V. intellectuele eigendomsrechten gekocht. Deze overdracht is vastgelegd in een separate overeenkomst.

2.7.

In de Share Purchase Agreement die Vasco (als Purchaser) en Ratonigid (als Seller) op 10 januari 2011 hebben getekend en waarbij de aandelen in DigiNotar (de Company) aan Vasco zijn verkocht (hierna: de SPA of de overeenkomst) zijn, voor zover van belang, de volgende bepalingen opgenomen:

“(…)

2.2

Effective Date. The purchase and sale of the Shares is effective as of January 1, 2011 at which date (i) the business of the Company is deemed to have been conducted for the risk and account of the Purchaser since such date. (…)”

(…)

ARTICLE 3 –CONSIDERATION

3.1

Consideration. Subject to Article 3.2, the aggregate consideration for theShares to be paid by the Purchaser to the Seller is an amount of EUR 3,700,000(the “Total Consideration”).

The Total Consideration is divided into an amount of EUR 1,450,000 minusthe amount as set out in Article 3.2.2(a)(ii), payable by the Purchaser to theSeller on the Closing Date (the “Initial Consideration”) and an amount ofEUR 2,250,000, which will be held in escrow and paid out in accordance withthe Escrow Agreement (the “Escrow Amount”).”

(…)

3.5

Adjustment of the Total Consideration. The Total Consideration may beadjusted pursuant to the following calculations.

Estimated EBIT FY 2011. The Seller has estimated that the EBIT of the Companies for the financial year 2011 will be an amount of EUR 813,000 ("Estimated EBIT FY 2011").

Actual EBIT FY 2011. The Purchaser shall prepare and deliver to the Seller the accounts for the financial year 2011 ("Accounts FY 2011") as soon as practicable following the close of the financial year 2011. The Accounts FY 2011 shall be prepared in accordance with Dutch GAAP on a basis generally consistent with that applied for financial years prior to the Closing Date. Upon the Parties having agreed on the Accounts FY 2011, the actual EBIT for the financial year 2011 will be established by the Parties ("Actual EBIT FY 2011”).

The Seller shall have twenty (20) Business Days from receipt of the Accounts FY 2011 (the "2011 Review Period") to review the Accounts FY 2011 and any further information reasonably necessary to determine the accuracy of the Accounts FY 2011. If Seller objects to the Accounts FY 2011, Seller shall issue a written notice of dispute ("Notice of Dispute 2011") to the other Purchaser before the end of the 2011 Review Period, specifying in reasonable detail the nature of the asserted objections or challenges to the Accounts FY 2011 (the "Disputed Matters 2011"). If Seller fails to submit a Notice of Dispute 2011 during such 2011 Review Period, Seller shall be deemed to have no objections to Accounts FY 2011 and such Accounts FY 2011 shall be final and binding upon the Parties. In the event of a dispute, the Parties may engage a mutually acceptable Independent Accountant, with the cost of such Independent Accountant being shared equally by the Parties, to resolve such Disputed Matters 2011 and remit the final and binding Accounts FY 2011 to Seller and Purchaser.

Calculation.

- In the event that the Actual EBIT FY 2011 is higher than the Estimated EBIT FY 2011 the Total Consideration will not be amended and the total Escrow Adjustment Amount will be released from the Escrow Account to the Seller pursuant to the terms and conditions of the Escrow Agreement.

- In the event that the Actual EBIT FY 2011 is lower than the Estimated EBIT FY 2011 the Total Consideration will be decreased based on the following formula:

Estimated EBIT FY 2011 minus Actual EBIT FY 2011 =Deviation

Deviation multiplied by the Multiplier = the amount deducted from the Escrow Adjustment Amount ("Deduction Amount")

The Deduction Amount will be deducted from the Escrow Adjustment Amount and such amount will be released from the Escrow Account to the Purchaser pursuant to the terms and conditions of the Escrow Agreement. Any amount of the Escrow Adjustment Amount remaining on the Escrow Account following the deduction of the Deduction Amount will be released from the Escrow Account to the Seller.

Escrow Adjustment Amount. Based on the provisions of this Agreement, the adjustment of the Total Consideration can be decreased by a maximum amount of EUR 1,000,000 ("Escrow Adjustment Amount"). Parties have agreed that this Escrow Adjustment Amount will be held in escrow on the Escrow Account.

The Purchaser and persons who are currently Related Parties of the Seller, who may continue to work following Closing for the benefit of the Purchaser, each represent and warrant that they will operate the business in the ordinary course and not take any actions directly intended to either accelerate income from future periods so that it is included in Actual EBIT FY 2011 or delay income that should have been included in Actual EBIT FY 2011 to future periods.

(…)

ARTICLE 7 – REPRESENTATIONS AND WARRANTIES

7.1

Warranties. The Seller represents, warrants and undertakes (“verklaart, staat er voor in en garandeert”) to the Purchaser that each of the representations and warranties set forth inSchedule 7.1(a)(the”Warranties”) is at the date of this Agreement and at the Closing Date true, accurate and not misleading, save to the extent fully and fairly disclosed against in the Disclosure Letter (…).

(…)

7.4

Remedies. In the event of a breach of any of the Warranties or the Seller Warranties, the Seller shall reimburse and hold harmless either the Purchaser or the Companies (at the option of the Purchaser) for all the Damages suffered by the Purchaser or the Companies as a result of each breach, without prejudice to other statutory rights of the Purchaser, although subject to the provisions of Article 9.”

In Schedule 7.1(a) is, voor zover van belang, de volgende garantie opgenomen:

“7 INFORMATION TECHNOLOGY

(…) the Seller represents and warrants to the Purchaser that:

(…)

(h) The Company has for its current business in place fully tested, current and otherwise appropriate disaster recovery plans and procedures for its IT Systems and Software in order to prevent the loss and facilitate the recovery of data lost through system failure, physical destruction or otherwise and has taken all reasonable steps and implemented all reasonable procedures to safeguard its IT Systems and Software and prevent unauthorised access thereto.”,

waarbij
Softwareen
IT Systemsals volgt zijn gedefinieerd:

“Software” means computer software, whether in source or object code, including but not limited to systems software, operational software, application software, interfaces and/or firmware, and all updates, upgrades and/or new versions thereto, whatsoever named, that is owned, under development or used by the Company, including Separable Custom-made Software.

(…)

“IT System” shall mean computer hardware including but not limited to the Software installed thereon, and the interfaces pertaining thereto.”

In artikel 9 van de SPA is een regeling opgenomen voor het indienen van (garantie)claims. Artikel 9 luidt, voor zover van belang, als volgt:

“ARTICLE 9 - CLAIM PROCEDURE

9.1

Claim Notice. For any individual claim or group of individual claims, which in the aggregate, exceed EUR 25,000, the Purchaser shall give the Seller written notice (the “Claim Notice”) of any facts and the circumstances giving rise to a claim or claims pursuant to this Agreement within thirty (30) days of the Purchaser becoming aware of the facts and circumstances giving rise to such claim. Such notice shall specify in reasonable detail the matter giving rise to the claim, the nature of the claim, the amount claimed and the section of the Agreement on which the claim is based. Any failure or delay on the part of the Purchaser to so notify the Seller shall not prejudice the Purchaser’s right to make a claim against the Seller, but shall reduce the Damages by the amount of the Damages attributable to such failure or delay.

(…)

9.3

Non-Third Party Claim. If the claim does not relate to a claim or the commencement of an action or proceeding by a Third Party, the Seller shall have sixty (60) days after receipt of the Claim Notice to object to the subject matter and the amount of the claim set forth in the Claim Notice by delivering written notice thereof to the Purchaser. If the Seller does not object within such sixty (60) day period, it shall be deemed to have conclusively agreed to indemnify the Purchaser for the matters set forth in the Claim Notice. If the Seller sends notice to the Purchaser objecting to the matters set forth in the Claim Notice, the Seller and the Purchaser shall use their best efforts to settle the claim. If the Seller and the Purchaser are unable to settle the claim, the matter shall be resolved in the manner set forth in Article 16 of this Agreement.

9.4

Payment of Claims. Any valid Claim determined under this Article 9 will be paid from the EscrowAmount in accordance with the terms of the Escrow Agreement until such funds in Escrow are fully distributed after which valid Claims will be paid by the Seller.

(…)”.

In (Schedule 1.1 bij) de SPA is ten slotte de volgende definitie van schade opgenomen:

“Damages” Has the meaning defined in Articles 6:95 and 6:96 of the DCC, including in the event of a breach of the Warranties, the cash amount necessary to put the Purchaser (or at the option of the Purchaser, the Company) in a position similar to the position the Purchaser (…) would have been in without the relevant breach”.

2.8.

Ter betaling van de (restant) koopprijs van de aandelen is tussen Ratonigid, DigiNotar Technologie B.V., Vasco en de notaris [de notaris] (hierna: de notaris) een escrow overeenkomst gesloten (escrow overeenkomst I). Vervolgens is er nog een escrow overeenkomst gesloten en wel tussen DBA, Bosco en Vasco en de notaris (escrow overeenkomst II). Op grond van beide escrow overeenkomsten staat thans nog een bedrag van € 1.400.000 van de koopprijs op de
escrow accountbij de notaris.

2.9.

Ten aanzien van de onderneming en de activiteiten van DigiNotar is verder het volgende van belang.

Een digitaal certificaat is een elektronisch document dat voor verschillende beveiligingsdoeleinden kan worden afgegeven. DigiNotar verstrekte digitale certificaten waarmee de identiteit werd bevestigd van de persoon of instelling die een publieke sleutel beschikbaar stelt voor het versleutelen van elektronisch gegevensverkeer. Een certificaat heeft een beperkte geldigheidsduur.

Een certificatiedienstverlener (
certificate service provider) zoals DigiNotar is een (rechts)persoon die zich bezighoudt met het leveren van digitale certificaten en diensten die daarmee verband houden.

In 2003, kort na de inwerkingtreding van de Wet op de elektronische handtekeningen, liet DigiNotar zich registeren bij de OPTA (de toenmalige Onafhankelijke [naam 3] en Telecommunicatie Autoriteit, thans opgegaan in de Autoriteit Consument en Markt) als leverancier van gekwalificeerde certificaten. Het leveren, beschikbaar stellen en gebruiken van digitale certificaten vindt plaats in een stelsel van afspraken, partijen en technologieën dat wordt aangeduid als een
public key infrastructure(ook: PKI). DigiNotar trad in 2004 toe tot PKIoverheid en sindsdien leverde het bedrijf ook PKIoverheid-certificaten. Dit zijn de certificaten bestemd voor het beschermen van het elektronisch gegevensverkeer met en tussen overheidsorganisaties. De Staat der Nederlanden staat voor de betrouwbaarheid van deze certificaten in.

De Belastingdienst Advanced Program Integration (“BAPI”) is de basis voor de digitale communicatie met de Belastingdienst om als ondernemer of belastingconsulent belastingaangifte te kunnen doen. Met BAPI kunnen gegevens veilig worden verstuurd en ontvangen. BAPI maakt voor de versleuteling en ondertekening gebruik van certificaten.

2.10.

De European Telecommunications Standards Institute (ook: ETSI) is een door de Europese Unie erkend standaardisatie-instituut voor de telecommunicatiebranche. Dit instituut heeft een tweetal normen opgesteld waaraan certificaatdienstverleners hun processen kunnen toetsen. Deze normen beschrijven de voorwaarden waaraan certificatiedienstverleners bij de inrichting van hun ICT-systemen en hun werkprocessen moeten voldoen. De norm ETSI TS 101 456 heeft betrekking op het leveren van certificaatdiensten met betrekking tot gekwalificeerde certificaten in de zin van de Europese richtlijn 1999/93/EC inzake de elektronische handtekening.

2.11.

De infrastructuur van (de IT-systemen van) DigiNotar was gelaagd. In de gelaagde infrastructuur waren in ieder geval de volgende segmenten te onderscheiden:

het internet;
Net-DMZ-ext;
Office-net;
Secure-net.

Daarnaast bestond nog het Management-net.

Al deze segmenten waren van elkaar gescheiden door middel van
fire walls. Het is (in beginsel) niet de bedoeling dat vanuit een (hiervoor weergegeven) “hoger” segment een “lager” segment kan worden bereikt. Dit betekent dat bijvoorbeeld iemand die toegang had tot het Net-DMZ-ext segment, geen toegang had tot het volgende segment, het
Office-net. Het Net-DMZ-ext segment was de
“demilitarized zone”(DMZ) van het DigiNotar netwerk. Dit segment stond in rechtstreekse verbinding met het internet en was de buffer tussen het internet en het interne netwerk van DigiNotar. In het Net-DMZ-ext segment waren verschillende servers actief, waaronder de DocProof servers. De servers in dit segment waren voor het grootste deel webservers. De IP-adressen die werden gebruikt in dit segment begonnen allemaal met 10.10.20.

Het Management-net was bedoeld voor de administrators van het DigiNotar netwerk. In dit segment bevonden zich bijvoorbeeld the workstations van de administrators, de back-up servers en een firewall management station. De IP-adressen die werden gebruikt in het Management-net begonnen allemaal met 10.10.210.

In het
Office-netbevonden zich workstations, database servers, een exchange server en fileservers voor de medewerkers. De IP-adressen gebruikt in het
Office-netbegonnen steeds met 172.17.20.

De certificaten werden gemaakt in het
Secure-net. In dit segment bevonden zich de belangrijkste servers van het DigiNotar netwerk (de computers waarmee de certificaten worden gemaakt (Certificaten Authenticatie), de CA-servers). Dit
Secure-netmocht niet voor onbevoegden toegankelijk zijn. In het
Secure-netbegonnen alle IP-adressen met 172.18.20.

Bij het Belastingdienst Advanced Program Integration (“BAPI”) waren de volgende systemen van DigiNotar betrokken: WINSVR101 (de main webserver die zich in het Net-DMZ-ext segment bevond), WINSVR007 (de BAPI-DB server in het
Office-net), DIGIWS146 (het BAPI workstation ) en WINSVR056 (Public-CA in het
Secure-net).

2.12.

Bij DigiNotar waren in 2011, voor zover van belang, naast [naam 2] (na de overname in dienstverband als
Director Business Development) en [naam 1] (na de overname als consultant), de volgende personen werkzaam:

- [naam 3], ICT-manager (hierna: [naam 3]);

- [naam 4], Manager Sales & Consultancy (hierna: [naam 4]);

- [naam 5], System Administrator (hierna: [naam 5]);

- [naam 6], Systems Administrator (hierna: [naam 6]);

- [naam 7] (hierna: [naam 7]).

2.13.

In de maanden juni en juli 2011 drong een inbreker (
hacker) via het internet door tot de computersystemen van DigiNotar. Via computersystemen (servers) van het bedrijf die in verbinding stonden met het internet verschafte de
hackerzich toegang tot afgeschermde gedeelten van het netwerk, het
Secure-net, waaronder ook verscheidene CA-servers waarop zich de processen voor certificaatdienstverlening plaatsvonden. De
hackerslaagde erin beheersrechten voor deze servers te verkrijgen en vervalste digitale certificaten te genereren. Nadat bij DigiNotar bekend was geworden dat een
hackerzich toegang had weten te verschaffen tot haar systemen, heeft zij een onderzoeksbureau, ITSec Security Services B.V. (hierna: IT-Sec), ingeschakeld.

2.14.

Op 27 juli 2011 heeft IT-Sec haar onderzoeksrapport uitgebracht (hierna: het IT-Sec rapport 2011). Daarin komt IT-Sec tot de conclusie dat de eerste activiteiten van de
hacker(‘the attacker’) plaatsvonden op 17 juni 2011. Verder heeft zij vastgesteld dat de oorzaak van de veiligheidsinbreuk het gevolg is van een kwetsbaarheid in het door DigiNotar gebruikte zogenaamde DotNetNuke systeem. In het IT-Sec rapport 2011 staat op pagina 1 vermeld:

“(…) The attacker compromised a webserver of Diginotar due to a security vulnerability that is present within the DotNetNuke software.

DotNetNuke version 4.8.2.0 is installed on host winsrv119. This version is affected by a file upload vulnerability. (…)”.

In het IT-Sec rapport staat verder onder meer het volgende:

“(…) The attacker compromised the host winsrv119. (…) Due to the weak security of Windows passwords, it must be assumed that the attacker was able to compromise the passwords (for example with rainbow tables) of the accounts found on the system. (…)

The attacker was able to traverse the infrastructure and obtain access to at least two CA’s that were used to generate certificates. After investigating the firewall rule set and several systems, it is still unclear how the attacker was able to obtain access to the CAs from the external DMZ as the firewall rule set does not permit direct access to the CAs (…).

Known compromised systems

Winsrv101 (Webserver)

Winsrv118 (Docproof)

Winsrv119 (Docproof)

Winsrv108 (TIM)

Winsrv055 (Relaties CA)

Winsrv056 (Public CA)

(…)”

2.15.

Van het incident is op dat moment geen melding gemaakt buiten DigiNotar/Vasco.

2.16.

Eind augustus 2011 is Govcert.nl (het Cyber Security Incident & Response Team van de Nederlandse overheid, een onderdeel van het ministerie van Veiligheid en Justitie, thans National Cyber Security Centre geheten), door Cert-Bund (de Duitse evenknie van Govcert.nl) geïnformeerd over mogelijke problemen met (de betrouwbaarheid van) de certificaten van DigiNotar. Vervolgens heeft Gocert.nl DigiNotar benaderd. Op 30 augustus 2011 heeft DigiNotar Fox-IT B.V. (een ICT beveiligingsbedrijf, hierna: Fox-IT) opdracht gegeven een (nader) onderzoek te doen naar de hack.

2.17.

Tijdens een persconferentie in de nacht van 2 op 3 september 2011 heeft de minister van Binnenlandse Zaken en Koninkrijksrelaties bekend gemaakt dat een digitale inbraak was gepleegd bij DigiNotar en dat hierdoor vervalste certificaten in omloop waren gekomen. De overheid heeft bij die gelegenheid het vertrouwen in DigiNotar opgezegd. In navolging van de overheid hebben nadien ook private partijen hun opdrachten aan DigiNotar beëindigd.

2.18.

Op 5 september 2011 heeft de overheid het interim-rapport van Fox-IT (genaamd “DigiNotar Certificate Authority breach “Operation Black Tulip”) gepubliceerd (hierna: het Fox-IT interim-rapport). In dit rapport stond onder meer het volgende vermeld ten aanzien van de infrastructuur van DigiNotar:

“(…)

4.4

Current network infrastructure at DigiNotar

The successful hack implies that the current network setup and / or procedures at DigiNotar are not sufficiently secure to prevent this kind of attack.

The most critical servers contain malicious software that can normally be detected by anti-virus software. The separation of critical components was not functioning or was not in place. We have strong indications that the CA-servers, although physically very securely placed in a tempest proof environment, were accessible over the network from the management LAN.

The network has been severely breached. All CA servers were members of one Windows domain, which made it possible to access them all using one obtained user/password combination. The password was not very strong and could easily be brute-forced. The software installed on the public web servers was outdated and not patched.

No antivirus protection was present on the investigated servers.

An intrusion prevention system is operational. It is not clear at the moment why it didn’t block some of the outside web server attacks. No secure central network logging is in place.

(…)”

2.19.

Op 7 september 2011 heeft OPTA aangekondigd voornemens de registratie van DigiNotar als certificatiedienstverlener in te trekken.

2.20.

Op 8 september 2011 heeft Vasco aan [naam 8] Bedrijfsrecherche B.V. (hierna: [naam 8]) opdracht gegeven een second opinion uit te voeren op het Fox-IT rapport.

2.21.

Op 13 september 2011 heeft OPTA de registratie van DigiNotar als certificatiedienstverlener ingetrokken.

2.22.

Op 19 september 2011 heeft DigiNotar haar eigen faillissement aangevraagd en op 20 september 2011 is DigiNotar failliet verklaard.

2.23.

Op 5 oktober 2011 heeft Vasco een brief gestuurd aan Ratonigid waarin zij verwijst naar de SPA en het Fox-IT interim-rapport. In de brief schrijft zij onder meer het volgende:

“(…)

The Interim Report shows shortcomings in the IT security of the Company. (…)

The Interim Report only contains provisional results and we understand that the Seller and the Companies do not agree to the content of the Interim Report. (…) We are currently investigating the incident ourselves. Clearly, we must await the outcome of our investigation before we can conclude that there actually has been a breach of the Warranties. Nonetheless, we cannot exclude the possibility that there has been a breach of the warranties (…). In that event, the findings of the Interim Report may be regarded as facts and circumstances giving rise to a claim as mentioned in Article 9.1 of the SPA. In order to protect our rights under the SPA, we should send a Claim Notice within 30 days after receipt of the Interim Report by Vasco. As soon as we received the outcome of our investigation, we will advise you whether we will actually pursue a claim. Therefore we propose that the period of 60 days mentioned in Article 9.3 of the SPA will commence as soon as we confirmed in writing the findings of our investigation. (…).”

2.24.

Bij brief van 29 november 2011 heeft Ratonigid betwist dat sprake is van een garantieschending.

2.25.

Op 18 april 2012 heeft Fox-IT een aangepaste versie van haar rapport uitgebracht (nadat [naam 2], [naam 4] en [naam 3] een reactie op het interim-rapport hadden gegeven) (hierna: het Fox-IT rapport van 18 april 2012).

2.26.

In juni 2012 heeft de Onderzoeksraad voor Veiligheid zijn rapport (“Het DigiNotarincident – Waarom digitale veiligheid de bestuurstafel te weinig bereikt”) gepubliceerd (hierna: het rapport van de Onderzoeksraad). De Onderzoeksraad voor Veiligheid heeft geen eigen technisch onderzoek gedaan naar de hack bij DigiNotar, maar heeft wel gebruik gemaakt van technisch onderzoek waartoe DigiNotar zelf opdracht heeft gegeven, om een globaal beeld te krijgen van het verloop van de hack.

2.27.

Op 23 maart 2012 heeft de curator aan Vasco een kopie van het rapport van IT-Sec van 31 augustus 2009 toegestuurd (hierna: het IT-Sec rapport 2009).

2.28.

Op 16 november 2012 heeft [naam 8] haar rapport (genaamd “Second opinion of the DigiNotar Certificate Authority breach”) opgeleverd (hierna: het [naam 8] rapport). In het [naam 8] rapport staan op pagina 36 de volgende conclusies vermeld:

“To gain access to the Secure-net network of DigiNotar, three critical misconfigurations were abused by the intruder:

The security of the webservers was not up to standards and they contained vital information, such as user credentials, which were exploited by the intruder.

The firewall explicitly allowed access from the WINSVR101 server to the BAPI-DB. This situation existed because of an architectural flaw in the DigiNotar network.

The DigiWs146 was dualhomed in both the Office-net and the Secure-net, rendering the firewall useless and allowing the intruder access from the Office-net to the Secure-net.

(…)

Apart from the above mentioned flaws in several network components, files containing sensitive information and credentials were found. The credentials of a BAPI-DB MS SQL user were stored in plain text on the main webserver WINSVR101, allowing the intruder direct access to the Office-net network. Other files included the passphrases of the private keys of the DigiNotar CMP RSA servers in plain text. The unsafe usage of these credentials played an important role in the breach and ultimately the creation of the rogue certificates.”

2.29.

Bij brief van 3 december 2012 heeft Vasco Ratonigid aansprakelijk gesteld op grond van schending van de garantie in de SPA en vergoeding van de schade ten bedrage van € 11.126.849 en USD 1.223.500,60 gevorderd. Tevens heeft Vasco in deze brief vrijgave gevorderd van het gedeelte van de koopsom dat in
escrowwordt gehouden in verband met eventuele schadeclaims als gevolg van garantieschendingen (op grond van artikel 9.4 van de SPA).

2.30.

Op 12 augustus 2013 heeft de overheid het definitieve rapport van Fox-IT gepubliceerd op http://www.rijksoverheid.nl/documenten-en-publicaties/rapporten/2012/08/13/black-tulip-update.html (hierna: het definitieve Fox-IT rapport).

2.31.

Bij brief van 28 november 2012 heeft [naam 8] op verzoek van (de advocaat van) Vasco een aanvullend rapport uitgebracht.

2.32.

In het kader van deze procedure heeft [naam 8] een Erratum op haar rapport van 16 november 2012 uitgebracht, gedateerd 4 oktober 2013 (hierna: het [naam 8] Erratum).

3.Het geschil

in conventie

3.1.

Ratonigid c.s. vordert, na wijziging van eis, verkort weergegeven, dat de rechtbank bij vonnis, voor zover mogelijk uitvoerbaar bij voorraad,

primair

I. Vasco veroordeelt tot integrale nakoming van haar verbintenissen voortvloeiende uit de SPA en de beide escrow overeenkomsten, waaronder (in ieder geval): het verrichten van alle noodzakelijke uitvoeringshandelingen teneinde tot vrijgave te komen van de in escrow gehouden bedragen en aldus (feitelijk) door ondertekening namens Vasco van de Joint Escrow Notice, in die zin dat het bedrag als genoemd sub 2.3 (ii) van de escrow overeenkomst I en sub 2.2 van de escrow overeenkomst II, aldus in totaal een bedrag van € 2.150.000,00, wordt vrijgegeven ten behoeve van, c.q. wordt betaald aan Ratonigid c.s., waarbij een bedrag van € 1.750.000 dient te worden vrijgegeven, c.q. betaald aan Ratonigid, een bedrag van € 300.000,00 aan DBA en een bedrag van € 100.000,00 aan Bosco, steeds te vermeerderen met de wettelijke rente,
althans Vasco veroordeelt tot het verrichten van alle uitvoeringshandelingen waardoor het in escrow gehouden bedrag voor de koopprijs wordt vrijgegeven aan Ratonigid c.s.,

althans een zodanige veroordeling uitspreekt als de rechtbank in goede justitie vermoge te bepalen,

subsidiair

II. Vasco veroordeelt tot integrale nakoming van haar verbintenissen voortvloeiende uit de SPA en de beide escrow overeenkomsten, waaronder: nakoming van het bepaalde in artikel 3.5 van de SPA, aldus door afgifte van Vasco aan Ratonigid van het daadwerkelijk behaalde courante resultaat over 2011 van DigiNotar (“Actual EBIT FY 2011”), dit door afgifte van verifieerbare bescheiden waaruit “Actual EBIT FY 2011” als omschreven in artikel 3.5 van de overeenkomst volgt,

zowel primair als subsidiair

III. Vasco veroordeelt tot betaling van een dwangsom van € 50.000,00 per dag, of gedeelte daarvan, dat zij in gebreke zal zijn in de voldoening aan enige veroordeling ingevolge het sub I en II gevorderde,

IV. Vasco veroordeelt tot betaling van een bedrag van € 6.442,00 aan buitengerechtelijke kosten van Ratonigid, te vermeerderen met wettelijke rente,

een en ander met veroordeling van Vasco in de proceskosten, te vermeerderen met wettelijke rente.

3.2.

Ratonigid legt aan haar primaire vorderingen ten grondslag dat uit de beschikbare gegevens kan worden afgeleid dat de in de SPA geschatte EBIT over 2011 zou zijn gehaald als DigiNotar niet zou zijn gefailleerd, althans dat dit zelfs het geval is in de huidige situatie na faillissement, althans dat de geschatte EBIT over 2011 geacht moet worden te zijn gehaald gelet op de omstandigheden van het geval en de uitleg van de SPA.

3.3.

Vasco voert verweer.

3.4.

Op de stellingen van partijen wordt hierna, voor zover van belang, nader ingegaan.

in reconventie

3.5.

Vasco vordert – samengevat – dat de rechtbank bij vonnis, voor zover mogelijk uitvoerbaar bij voorraad,

I. voor recht verklaart dat de koopsom voor de aandelen ten bedrage van € 3.700.000,00 met een bedrag van € 1.400.000,00 naar beneden toe wordt bijgesteld naar € 2.300.000,00 en de bedragen in escrow ad € 1.400.000,00 aan Vasco toekomen,

II. Ratonigid veroordeelt tot betaling aan Vasco van een bedrag van € 1.400.000,00 te vermeerderen met wettelijke rente,

III. Ratonigid veroordeelt, voor zover zij niet (volledig) aan de veroordeling sub II voldoet, om - binnen zeven dagen nadat bij gerechtelijke uitspraak onherroepelijk is beslist dat Vasco recht heeft op het in escrow gehouden bedrag van € 1.000.000,00 - haar onvoorwaardelijke medewerking te verlenen aan de vrijgave van dat bedrag aan Vasco, op straffe van een dwangsom,

IV. DBA en Bosco veroordeelt, voor zover Ratonigid niet (volledig) aan de veroordeling sub II voldoet, om - binnen zeven dagen nadat bij gerechtelijke uitspraak onherroepelijk is beslist dat Vasco recht heeft op het in escrow gehouden bedrag van € 400.000,00 - hun onvoorwaardelijke medewerking te verlenen aan vrijgave van dat bedrag, op straffe van een dwangsom,

V. bepaalt dat, indien de bedragen niet zijn vrijgegeven binnen de daarvoor gestelde termijn, het vonnis in de plaats treedt van de betreffende Joint Escrow Notice,

en voorts Ratonigid veroordeelt tot betaling aan Vasco van

a. een bedrag van € 3.700.000,00

b. een bedrag van € 693.000,00

c. een bedrag van € 1.175.000,00

d. een bedrag van € 1.867.961,10,

e. een bedrag van € 3.061.551,40,

steeds te vermeerderen met wettelijke rente,

f. een vergoeding van de schade, nader op te maken bij staat, die Vasco lijdt in verband met winstderving over de periode na 2014,

g. een bedrag van € 1.223.500,60, te vermeerderen met wettelijke rente,

h. een bedrag van € 386.859,00 te vermeerderen met wettelijke rente,

een en ander met veroordeling van Ratonigid c.s. in de proceskosten en de nakosten, te vermeerderen met wettelijke rente.

3.6.

Vasco legt aan haar vorderingen, kort gezegd, het volgende ten grondslag. Uit de jaarstukken volgt dat het werkelijke resultaat van DigiNotar (beduidend) minder is dan € 436.000,00 hetgeen betekent dat de koopsom met het maximale bedrag van € 1,4 miljoen naar beneden moet worden bijgesteld en het in escrow gehouden bedrag aan Vasco moet worden uitgekeerd. Voorts heeft Ratonigid de garantie die zij heeft afgegeven ten aanzien van de beveiliging van de IT-systemen van DigiNotar geschonden. Ratonigid heeft niet alle redelijke stappen gezet en alle redelijke procedures geïmplementeerd om de systemen van DigiNotar te beveiligen ten einde toegang daartoe door onbevoegden te voorkomen. De beveiliging van DigiNotar schoot ernstig tekort en dat was bekend bij Ratonigid (als verkoper en bestuurder van DigiNotar tot de overname door Vasco). Ondanks het feit dat zij al in 2009 door IT-Sec op tekortkomingen in de beveiliging van haar netwerk was gewezen, heeft zij nagelaten verbeteringen door te voeren. Vasco heeft hierdoor schade geleden. Haar schade bestaat uit de koopsom ten bedrage van € 3.700.000,00 (de aandelen zijn thans immers waardeloos) en derving van toekomstige winsten. Vasco berekent de gederfde winst tot en met 2014 (op basis van de door DigiNotar, althans Ratonigid, voor het bepalen van de koopsom afgegeven winstverwachting) op € 7.040.00000. De gederfde winst over 2011 bedraagt € 693.000,00 en over 2012 € 1.175.000,00 De gekapitaliseerde winst over 2013 en 2014 bedraagt respectievelijk € 1.867.961,10 en € 3.061.551,40. Daarnaast vordert Vasco een bedrag van € 386.859,00 voor de kosten van het onderzoek door [naam 8] en een bedrag van € 1.223.500,60 aan kosten voor juridische bijstand.

3.7.

Ratonigid c.s. voert verweer. Haar verweer komt kort gezegd op het volgende neer. Ratonigid heeft tot 1 januari 2011 alle redelijke maatregelen genomen om een hack te voorkomen. Dit wordt ook bevestigd door de Onderzoeksraad voor de veiligheid in zijn rapport. De Onderzoeksraad heeft geconcludeerd dat DigiNotar alles heeft gedaan om haar dienstverlening “zo veilig mogelijk” te maken.

DigiNotar had een toereikend en passend beveiligingsbeleid (opgesteld door Ernst & Young), uitgebreide maatregelen en procedures op het gebied van beveiliging en ten behoeve van de beveiliging een gesegmenteerde (vijf segmenten) infrastructuur. De opzet en implementatie werden jaarlijks gecertificeerd (eerst door KPMG en later) door PwC. DigiNotar heeft altijd voldaan aan certificering op basis van de ETSI-normen en aan de richtlijn voor elektronische handtekening (1999/93/EG). DigiNotar liet zich jaarlijks controleren door IT-Sec en de uitkomsten van deze jaarlijkse vrijwillige onderzoeken werden geïmplementeerd in het beleid en/of de systemen. DigiNotar was voorafgaand aan de overname ook planmatig zeer intensief bezig met de kwaliteit van haar producten en de beveiliging. Dit blijkt onder meer uit het Security management-Beveiligingsbeleid DigiNotar, het Kwaliteitsplan DigiNotar en de “Voorlopige planning voor de uit te voeren tests in 2010” (waarin de planning stond van de uit te voeren testen op de systemen voor het hele jaar). Ten slotte had DigiNotar vanaf 2009 een interne Audit Committee die eens per zes weken bijeen kwam.

3.8.

Verder wijst Ratonigid erop dat de hack zo complex is geweest dat geen van de deskundigen heeft kunnen vaststellen hoe deze heeft plaatsgevonden. Geen van de deskundigen heeft – zoals later is gebleken – geconstateerd dat de Amerikaanse veiligheidsdienst (de NSA) erbij betrokken blijkt te zijn geweest.

3.9.

Ten slotte voert Ratonigid nog een aantal andere (meer formele) verweren.

3.10.

Op de stellingen van partijen wordt hierna, voor zover van belang, nader ingegaan.

4.De beoordeling

4.1.

De rechtbank ziet aanleiding eerst de vorderingen van Vasco in reconventie te beoordelen die zijn gebaseerd op de schending van de garantie in de SPA.

in reconventie

Geen Claim Notice / Claim Notice te laat?

4.2.

Het meest verstrekkende verweer van Ratonigid is dat Vasco geen Claim Notice heeft gestuurd als bedoeld in artikel 9.1 van de SPA en dat daarom haar recht om een vordering op grond van (een schending van de garanties in) de SPA in te dienen is vervallen. Dit verweer faalt. In het midden kan blijven of de brief van Vasco van 5 oktober 2011 is aan te merken als een Claim Notice (waarover partijen van mening verschillen), aangezien in artikel 9.1 van de SPA is overeengekomen dat de daar genoemde termijn geen fatale termijn is. Voor zover Ratonigid voorts betoogt dat Vasco te laat heeft geklaagd in de zin van artikel 6:89 van het Burgerlijk Wetboek (BW), moet ook dit betoog falen. Allereerst omdat partijen in de SPA een afwijkende regeling zijn overeengekomen ten aanzien van de klachtplicht, maar ook omdat de brief van 5 oktober 2011 in ieder geval voldoende is om aan de verplichtingen van artikel 6:89 BW te voldoen. Het geschil zal dan ook inhoudelijk worden beoordeeld.

Schending van een garantie uit Schedule 7.1 (A)?

4.3.

Beoordeeld moet derhalve worden of Ratonigid alle redelijke stappen heeft gezet en alle redelijke procedures heeft geïmplementeerd om de systemen van DigiNotar te beveiligen ten einde een hack als zich in de zomer van 2011 heeft voorgedaan te voorkomen (in de woorden van de garantie:
“has taken all reasonable steps and implemented all reasonable procedures tot safeguard its IT Systems and Software and prevent authorised access thereto.”). Volgens Vasco is dit niet het geval. Zij heeft daartoe in het bijzonder gewezen op de drie volgende veiligheidsgebreken waarvan de
hackergebruik heeft gemaakt:

( i) op de webservers WINSVR118 EN WINSRV119 draaide een verouderde versie van
DotNetNuke (versie 4.8.2.0)waarvan bekend was dat de beveiliging kwetsbaar was;

(ii) de
credentialsen wachtwoorden waren onversleuteld opgeslagen op WINSRV101;

(iii) het werkstation DIGIWS146 bevatte twee netwerkkaarten en stond derhalve zowel in verbinding met het
Office-netals het
Secure-net.

(i) verouderde versie van DotNetNuke op de webservers WINSVR118 EN WINSRV119

4.4.

Ter onderbouwing van haar stelling dat op een aantal webservers verouderde versies van
DotNetNukewaren geïnstalleerd, dat deze versies kwetsbaarheden vertoonden en dat dit Ratonigid bekend was, wijst Vasco op het volgende.

( a) [naam 8] heeft geconstateerd dat de
hackergebruik heeft gemaakt van een bekende kwetsbaarheid van
DotNetNuke(Erratum [naam 8] rapport van 4 oktober 2013, p.2:
“On 17 June 2011 the intruder exploits a wellknown DotNetNuke vulnerability on the docproof webservers WINSVR118 and WINSVR119.”). De bevindingen van [naam 8] ten aanzien van WINSVR119 staan op pagina 78 en verder van haar rapport, waar het volgende wordt beschreven. Uit de logfiles van de server volgt dat de
hackerop 17 juni 2011vanaf 02:29:20 uur verschillende pogingen doet om toegang tot het systeem te verkrijgen. Waar zijn eerste pogingen falen, lukt het de
hackerom 02:33:17 uur om een bepaald programma op de server te uploaden (17.asp;.gif). Door vervolgens van dit programma gebruik te maken, krijgt de
hackerverder voet aan de grond. Het lukt de
hackerom een aantal standaard hackerbestanden te installeren ([naam 8] rapport, p. 80). Het gaat onder andere om AspxSpy:
"a webshell often used by intruders that provide numerous access functionalities on a compromised server". [naam 8] stelt verder vast dat de
hackerook gebruik heeft gemaakt van deze door hem geïnstalleerde bestanden.

Het door de
hackerkunnen uploaden van het bestand 17.asp;.gif is volgens [naam 8] in de eerste plaats het gevolg van het benutten van een kwetsbaarheid van DotNetNuke die algemeen bekend was.

Het bestand 17.asp;.gif is een
executable file, aldus een bestand dat een hacker in staat stelt opdrachten te geven die het gehackte systeem vervolgens uitvoert.

De kwetsbaarheid van DotNetNuke (ook wel "
file upload vulnerability" genoemd) was al bekend vanaf 5 mei 2008.

Op WINSVR118 en WINSVR119 was versie 4.8.2.0 geïnstalleerd ([naam 8] brief 28 november 2012, p. 6).

( b) Ook IT-Sec had dit al geconstateerd (IT-Sec rapport 2011, p. 1:
“The attacker compromised a webserver of DigiNotar due to a security vulnerability that is present within the DotNetNuke software. DotNetNuke version 4.8.2.0 is installed on host winsvr119. This version is affected by a file upload vulnerability.”)

( c) Ten slotte was Fox-IT tijdens haar onderzoek in 2012 ook al tot dezelfde conclusie gekomen (Fox-IT rapport, p. 57:
“The web servers in the outskirts of DigiNotar’s network (DMZ-ext-net) served as the first point of entry for the intruder. Both the Main-web and the Docproof2 web server were running an outdated version of DotNetNuke that suffered from known security vulnerabilities (…)”.)

( d) Deze kwetsbaarheid van
DotNetNukewas bekend. Hiertoe wijst Vasco onder meer op het volgende. Op 21 mei 2008 heeft
DotNetNukezelf in een door haar gepubliceerde
“Security Notice”melding gemaakt van:
“a security vulnerability which allowed an unauthorized user to upload a file into DotNetNuke site”.Vervolgens heeft
DotNetNukeop 28 mei 2008 een nieuwe
general releasebeschikbaar gesteld, versie 4.8.3, waarbij
DotNetNukeopmerkte dat deze release
“fully addresses each of the reported items. You can get it now from the Downloads page on our site”.

( e) Ook IT-Sec had DigiNotar in haar rapporten van 2008, 2009 en 2010 al gewezen op het feit dat DigiNotar tekort schoot in het
“patchen”van haar systemen, dat wil zeggen het niet doorvoeren van beveiligingsupdates die door softwareleveranciers en op internet steeds worden gepubliceerd om ontwerpfouten te verbeteren. De aanbeveling van IT-Sec luidde steeds als volgt:
“Alle webservers, applicatieservers en andere voor de diensten van DigiNotar essentiële systemen dienen te allen tijde volledig gepatched te zijn en gepatched te blijven middels een adequaat patch-beleid”.In haar rapport van 2008 merkt ITsec op (p. 2) op:
"Van een aantal systemen is geconstateerd dat een groot aantal security patches ontbreken”. De aanbeveling luidt dat het patchbeleid van DigiNotar moet worden herzien en:
“Waarborg dat patches regelmatig en binnen een acceptabele periode worden doorgevoerd”.In 2006 had IT-Sec al opgemerkt dat de door haar onderzochte Windows systemen "
zeer onveilig zijn ingericht" en concludeert zij: "
het patch-level van de systemen is ver onder de maat". Van belang is op te merken dat het onderwerp van onderzoek toen onder meer het systeem 172.17.20.25 (va het
Office-net)betrof, een systeem dat blijkens de reconstructie van de hack op pagina 35 van het [naam 8] Rapport een cruciale rol in de hack vervulde.

( f) Uit het logboek van [naam 4] volgt dat eerst na de hack DotNetNuke is ge-update (hij noteert dat dit is gedaan op 27 en 28 juli 2011). Ook blijkt uit het logboek dat ook hij van mening was dat het anders moest. Hij noteert op dit punt:
“Patch management van DNN en alle andere servers verbeteren. Wekelijks patchen (Betekent achter de loadbalancer). Doen dus.”.

4.5.

Ratonigid betwist op niet dat op een aantal servers (waaronder de servers WINSVR118 en WINSVR119) verouderde versies van
DotNetNukewaren geïnstalleerd. Zij betoogt evenwel dat haar systemen (voor zover nodig) desondanks waren voorzien van een
“state of the art”versie van
DotNetNuke. Naar de rechtbank begrijpt, komt haar betoog erop neer dat zij wel heeft gereageerd op aangeboden updates die door DotNetNuke (en IT-Sec) als “critical” werden bestempeld (en dan ook heeft ge-update), maar niet als het ging om updates waarvan het belang als “medium” of “low” werd bestempeld. Bovendien lijkt zij onderscheid te hebben gemaakt tussen servers in de verschillende segmenten (waarbij van belang was of een server wel of niet in contact stond met de buitenwereld). [naam 2] heeft op de comparitie op dit punt het volgende verklaard:
“De acceptatieomgeving die verbonden was met het internet, waar klanten daadwerkelijk toegang hadden, was netjes gepatcht”.Zo draaide in ieder geval op de publieke webserver WINSVR101 een recentere versie van DotNetNuke (versie 4.9.4.17). Volgens [naam 9],
lead developervan DocProof bij DigiNotar, draaide eind 2010 de “Acceptatieomgeving” (dat wil zeggen de servers waartoe de gebruikers toegang hadden) zelfs op versie 5.6.0 van DotNetNuke. Alleen bij versies 4.9.2 en “oudere” versies bestonden zwakheden. Dus was de webserver WINSVR101 niet kwetsbaar voor deze zwakheid en volgens [naam 8] was WINSVR101 de toegangspoort voor de
hackeren niet WINSVR118 en WINSVR119. WINSVR118 en WINSVR119 hadden geen functie ten behoeve van de buitenwereld; dit waren de DocProof servers. DocProof was een online archief om documenten op te slaan. Ratonigid erkent wel dat de DocProof servers zijn misbruikt door de
hacker, maar pas nadat de WINSVR101 van binnenuit konden worden bereikt. Ten slotte wijst Ratonigid erop dat de specifieke kwetsbaarheid in DotNetNuke die op de publieke website vermoedelijk de mogelijkheid heeft gegeven om in de buitenste laag van het systeem binnen te dringen, pas op 19 januari 2011 door DotNetNuke zelf aan de gebruikersgemeenschap bekend is gemaakt, waarbij tegelijkertijd een oplossing beschikbaar is gesteld, te weten de “critical” upgrade naar versie 5.6.1. Vasco heeft zelf nagelaten deze upgrade uit te voeren. Als Vasco deze upgrade wel had uitgevoerd, was de hack naar alle waarschijnlijkheid niet geslaagd. De upgrade waar [naam 4] het over heeft in zijn logboek, is de update naar 5.6.1 die pas op 19 januari 2011 (dus na de overname) was uitgekomen, aldus steeds Ratonigid.

4.6.

De verweren van Ratonigid ten aanzien van de vraag of de
hackergebruik heeft gemaakt van het feit dat een verouderde versie van DotNetNuke werd gebruikt worden hierna aan de orde komen bij de beoordeling of dit een garantieschending oplevert, die aan Ratonigid kan worden toegerekend en of die in causaal verband staat met de hack. Hier kan worden volstaan met de vaststelling dat tussen partijen niet in geschil is dat op (ten minste) twee servers, WINSVR118 en WINSVR119, een verouderde versie van DotNetNuke was geïnstalleerd en dat bij deze versie van DotNetNuke bekende kwetsbaarheden in de beveiliging bestonden.

(ii) Onversleutelde credentials en wachtwoorden

4.7.

Ter onderbouwing van haar stelling dat de wachtwoorden en
credentialsonversleuteld waren opgeslagen op WINSVR101 heeft Vasco gewezen op het volgende. De wachtwoorden en
credentialswaren opgeslagen in
plain tekstbestanden (zij waren toegankelijk in bestanden (files) opgeslagen in de map web.config). In het IT-Sec rapport 2011 wordt de
“weak security of Windows password”al genoemd (zie hiervoor rov. 2.14). Ook Fox-IT heeft deze problematiek gesignaleerd. In het rapport van Fox-IT van 18 april 2012 (p. 51) staat vermeld:

"
Additionally, on the Main-web server a file was identified that contained a string with credentials to access the database on BAPI-db (…)

This led to the conclusion that the intruder connected to the Microsoft SQL service running on the BAPIdb server from the Main-web using a found password and executed programs on the BAPI-db.".

Ook [naam 8] heeft dit geconstateerd (zie bijvoorbeeld rapport [naam 8], p. 23 en p. 32):

“(…) On the main DigiNotar webserver (WINSVR101) 112 Web.config files (including backup files) were present containing database credentials for database servers throughout the DigiNotar network. The database servers, for which credentials were stored, are listed below. Note that this list also includes the BAPI-DB (172.17.20.4/WINSVR007). (…)

The BAPI credentials were found in the file “Websites\Bapiviewer\BapiViewer\web.config” and “Websites\Bapiviewer\Kopie van BapiViewer\web.config. (…)”.

Uit een in opdracht van DigiNotar opgesteld IT-Sec rapport blijkt dat de omstandigheid dat wachtwoorden en
credentialsonversleuteld waren opgeslagen als in 2009 als een groot veiligheidsrisico werd gesignaleerd (IT-Sec rapport 2009, par. 3.5.1):

“(…) Insecure storage of credentials can lead to full compromise.

The DocProof application uses SQL authentication. This means that the web.config contains the clear-tekst database username and password connection string.

The configuration file also stores clear-tekst credentials for web services used by DocProof (…).Impact: high.

An attacker can use the credentials to gain unauthorised access to the database and webservices. Worst-case, this vulnerability can lead to full compromise of the DMZ networks. Compromised external DMZ servers (database and web server) can be used as a stepping stone to attack internal file servers.(…)”).

Vasco heeft na de hack nog IT-Sec rapporten uit 2006, 2007 en 2008 in handen gekregen waaruit is gebleken dat DigiNotar al in 2006 (en in 2008) was geattendeerd op het feit dat het onversleuteld opslaan van wachtwoorden en
credentialseen risico opleverde, aldus steeds Vasco.

4.8.

Ratonigid stelt samengevat dat de aanbevelingen uit het IT-Sec rapport 2009 allemaal zijn opgevolgd. DigiNotar heeft naar aanleiding van het IT-Sec rapport 2009 een nieuwe module (de “AppMan”) laten ontwikkelen om alle relevante gegevens inclusief wachtwoorden te versleutelen. DigiNotar had geen onzorgvuldig beleid dat er toe leidde dat wachtwoorden en credentials onversleuteld waren opgeslagen. Integendeel, de
hackerheeft - zo volgt uit het [naam 8] rapport en uit het FOX-IT rapport - uitgebreide tools (
brute force) gebruikt om wachtwoorden te achterhalen. Voor zover al wachtwoorden en credentials onversleuteld waren opgeslagen, betwist Ratonigid dat dit op 10 januari 2011 het geval was. Na 10 januari 2011, diende de door Ratonigid ontwikkelde tool onder verantwoordelijkheid van Vasco te worden gebruikt, aldus Ratonigid.

4.9.

Anders dan Ratonigid heeft aangevoerd, is de rechtbank van oordeel dat uit de rapporten van IT-Sec (2011), Fox-IT en [naam 8], genoegzaam blijkt dat ten tijde van de hack wachtwoorden en
credentialsonversleuteld waren opgeslagen. Dat dit het geval was, blijkt ook uit het incidenten logboek dat [naam 4] na de hack heeft bijgehouden. Op de tweede pagina van dit logboek staat (bij 26 juli 2011):
“(…) Afgesproken wordt de wachtwoorden voor toegang (plain in config files) alle te wijzigen.(…).”Dit wordt herhaald op zijn actielijst waar (pagina 6 van het logboek) als actie staat vermeld:
“(…) Data bases wachtwoorden in plaintext vervangen door encrypted. (…).”

Dat Ratonigid niet met zekerheid kan zeggen dat AppMan volledig was uitgerold in januari 2011 blijkt uit de e-mail van [naam 10] (voormalig ontwikkelaar bij DigiNotar) die zij bij haar antwoordakte na comparitie heeft overgelegd. In deze e-mail antwoordt [naam 10] immers op de vraag of de AppMan tool al operationeel/geïmplementeerd was:
“(…) AppMan was inderdaad al operationeel. In ieder geval de verschillende ‘batch’ applicaties (…) en een aantal webapplicaties (…)”.

Voor zover Ratonigid betoogt dat zij – met gebruik van de AppMan vóór de overname alle wachtwoorden en
credentialshad versleuteld en dat – kennelijk – onder het management van Vasco (opnieuw) wachtwoorden en
credentialsin
plain tekstzijn opgeslagen, wordt dit verweer dan ook als onvoldoende onderbouwd gepasseerd. Het verweer van Ratonigid dat uit de diverse rapporten volgt dat de
hackergebruik heeft gemaakt van speciale programma’s om de wachtwoorden en
credentialste achterhalen en kraken (en dat in die rapporten gesproken wordt van
brute force)en dat dit niet nodig was geweest als de wachtwoorden en
credentialsonversleuteld waren opgeslagen, doet aan dit alles niet af. Dit betekent immers niet dat – anders dan hiervoor is vastgesteld – de wachtwoorden en
credentialswél versleuteld waren opgeslagen.

(iii) werkstation DIGIWS146

4.10.

Ter onderbouwing van haar stelling dat het werkstation DIGIWS146 twee netwerkkaarten bevatte en derhalve zowel in verbinding stond met het
Office-netals het
Secure-net,heeft Vasco gewezen op het volgende.

( a) [naam 8] heeft geconstateerd dat het werkstation DIGIWS146 twee netwerkkaarten bevatte, waardoor dit station - hoewel het zich bevond in het
Secure-net -ten tijde van de hack ook in verbinding stond met het
Office-net([naam 8] rapport, p. 33:
“(…) Although the DigiWs146 was situated in the Secure-net, examination of this workstation showed that it also had an active network interface in the Office-net network segment during the time of the incident.(…)”). Dit volgt volgens [naam 8] uit een zogenaamde "pagefile.sys" (computergeheugen), waarin netwerkinformatie is aangetroffen. Uit het tweede blok op pagina 95 van het [naam 8] rapport volgt welke twee netwerkkaarten er blijkens het systeem waren:

"(…) Network info:

No.0:"RSA"00-10-b5-de-82-7f "SMC EZ Card 10/100 PCI (SMS1211TX)"172.18.20.230

No.1"KA""Intel® PRO/100 VM Network Connection"172.17.20.59. (…)".

Het gaat om de vetgedrukte nummers. Kaart No.0 heeft als IP-adres 172.18.20.230. Dat behoort bij
Secure-net; alle systemen in
Secure-netbegonnen met 172.18.20 (zie hiervoor rov. 2.11). Dit betreft een insteekkaart. Kaart No.1, "KA", heeft als IP-adres: 172.17.20.59. Dat is een adres dat hoort bij het
Office-net(zie hiervoor onder 2.11). Deze kaart is de zogenaamde
"onboard"-netwerkkaart (dat wil zeggen: ingebouwd in de computer).

( b) Ook Fox-IT heeft het feit dat het
Secure-netonvoldoende was gescheiden van het
Office-netals een van de omstandigheden geïdentificeerd die ertoe hebben bijgedragen dat de hack kon plaatsvinden (rapport van de Onderzoeksraad, p. 39:
“(…) Ten derde waren de veiligheidskritische gedeelten van het bedrijfsnetwerk waarop de processen voor certificaatuitgifte zich afspeelden niet zodanig afgescheiden van de servers die in verbinding stonden met het internet dat een inbraak voorkomen kon worden. Het onderzoek heeft uitgewezen dat de inbreker erin slaagde verbindingen (zogenaamde tunnels) tussen de verschillende segmenten in het netwerk te leggen, omdat de centrale veiligheidsvoorziening in het netwerk (de interne firewall
) dataverkeer tussen deze segmenten toestond). (…)”)

( c) Naast het hiervoor vermelde technisch bewijs, is gebleken dat in ieder geval [naam 2] zich bewust was van de opzet van de infrastructuur en van het gebruik van het werkstation DIGIWS146 op de grens van het
Secure-neten het
Office-net.Dat blijkt uit e-mailcorrespondentie uit 2008 die [naam 8] heeft onderzocht. [naam 8] wijst in haar rapport (op pagina 184) op een e-mail van [naam 7] aan onder meer [naam 2] van 30 oktober 2008. Het onderwerp van deze e-mail is “BAPI aanbevelingen Versie 01”. Aan de e-mail is een bijlage gehecht genaamd “Verbetermogelijkheden BAPI tools” (Appendix 15 bij het [naam 8] rapport). In deze bijlage staat een analyse van [naam 7] van de BAPI infrastructuur en daarin geeft hij ook aanbevelingen ten aanzien van de locatie van de BAPI server in het netwerk van DigiNotar. Als bevinding 14 op pagina 7 van de bijlage staat vermeld:
“(…) Bapi draait in de kantoor SQL database omgeving. Er is een uitspraak nodig of BAPI daar zou moeten blijven of dat dit naar de secure omgeving zou moeten gaan. (…)”.Op dezelfde pagina staat als aanbeveling 16 vermeld:
“(…) Management moet uitspraken doen over de volgende issues:

a. moet BAPI in de kantooromgeving blijven of overgaan naar de secure omgeving?

(…)”.

Ook wijst Vasco nog op een e-mail van 28 november 2008 van een adviseur aan [naam 3] waarin de adviseur schrijft:
“(…) Gisteren heeft het Audit Committee bij elkaar gezeten en heb ik [naam 2][[naam 2], rb]
gesproken over onder meer Bapi en uitwijk. (…) en wat eventueel aanvullend gedaan moet worden, zodat Bapi kan blijven draaien waar het nu draait (kantoor). E.e.a. ter voorkoming van hoge kosten. (…)”(Appendix 16 bij het [naam 8] rapport).

Ten slotte is aan het [naam 8] rapport een tekening gehecht van de “Bapi infrastructuur” van 23 maart 2009 waarin de DIGIWS146 is getekend op de grens van (en in verbinding met) het
Office-neten het
Secure-net.(Appendix 18 bij het [naam 8] rapport).

( d) Verder wijst Vasco op het bestaan van een handleiding binnen DigiNotar (“Handleiding uitvoeren Bapirun”). Deze handleiding is als bijlage gehecht aan een e-mail van 21 juli 2009 van [naam 6] aan een andere medewerker van DigiNotar (Appendix 17 bij het rapport van [naam 8]). Ook deze handleiding bevestigt dat het werkstation in verbinding stond met zowel het
Secure-netals het
Office-net, onder meer omdat de shortcuts waarnaar de handleiding verwijst allemaal zijn geïnstalleerd op de DIGIWS146 en [naam 8] heeft geconstateerd dat DIGIWS146 contact had en gegevens uitwisselde met de WINSVR056 (een server in de het
Secure-net). ([naam 8] rapport, p. 99-102:
“(…) A usermanual called ‘Handleiding Bapirun.doc’, created by DigiNotar, describing the workflow of generating new certificates, supports the finding of the dual network interface in the DigiWs146. The manual describes how employees are supposed to generate certificates using several applications on the DigiWs146. The manual describes how these applications need to be started in a specific order, and contains screenshots of shortcuts on the desktop to these applications. The screenshots show several shortcuts which names are prefixed with a number, specifying the order in which the shortcuts (thus, applications) need to be executed. Investigation of the DigiWs146 confirms that the desktop of “All Users” indeed contains these shortcuts.

(…)

From the above it is clear that the “BAPIrun” procedure, which had been in place according to the manual and traces consistent on (..) both the WINSVR056 and DigiWs146, has been altered after the incident, thereby obscuring potential evidence of the “dual homedness” of the DigiWs146.

According to the manual, this process was started every day at 10:00 AM.(…).”

Vervolgens wijst Vasco erop dat, nu alleen in het
Secure-netde benodigde certificaten konden worden gemaakt, maar de
firewall logop dit punt geen verkeer laat zien, de certificaatgeneratie dus op een andere wijze gestalte moet hebben gekregen:

“(…) If the DigiWs146 did not have a dual network interface, traces of the procedure would have been found in the firewall log.(…)”

Volgens Vasco is de enige goede verklaring hiervoor dat deze is gelopen via DIGIWS146.

( e) Ten slotte heeft Vasco foto's van het DIGIWS146 werkstation in het geding gebracht waarop is te zien dat op dat werkstation de sticker “BAPI RSA” was geplakt. Deze naam wordt in de handleiding ook gebruikt voor DIGIWS146.

( f) Ratonigid was van deze situatie op de hoogte. Vasco wijst hiertoe onder meer op het IT-Sec rapport van 2008 waarin staat (op pagina 5) dat er “onvoldoende segmentatie tussen de informatie systemen” is. In het rapport staat vervolgens:
“(…) Webservers zijn actief in het externe DMZ netwerksegment, database servers (waar de content huist) zijn actief in het interne DMZ netwerksegment. Hosts actief binnen een netwerksegment kunnen zonder restrictie met elkaar communiceren. Webservers kunnen dus zonder restricties onderling met elkaar communiceren en voor database-servers geldt dezelfde bevinding.

Dat betekent dat de verschillende informatiesystemen, die vaak niet aan elkaar gerelateerd zijn, een dreiging voor elkaar vormen. Als een van de hosts van een dienst wordt gecompromitteerd, zal deze host gebruikt kunnen worden als stepping-stone om alle andere systemen in hetzelfde netwerksegement aan te vallen. (…)”, aldus steeds Vasco.

4.11.

Ratonigid stelt hier het volgende tegenover. Er is geen enkel bewijs dat sprake was van twee netwerkkaarten in het werkstation DIGIWS146. Noch Fox-IT, noch IT-Sec, noch PwC hebben dit geconstateerd. Ook [naam 8] heeft in het werkstation geen twee netwerkkaarten aangetroffen. Het kan bovendien nooit meer worden vastgesteld wat de situatie was op het moment van de hack, omdat geen forensische kopie is gemaakt van het werkstation en het inmiddels is vernietigd. Na de overdracht op 10 januari 2011 kunnen ook nog wijzigingen zijn aangebracht in de infrastructuur die betrekking hebben op de DIGIWS146. [naam 8] heeft zich gebaseerd op een oude tekening (de tekening van 22 maart 2009), terwijl in Appendix 18 bij het [naam 8] rapport ook een tekening is gevoegd van 22 maart 2010 die de “nieuwe omgeving” weergeeft waarin het werkstation DIGIWS146 niet zorgde voor communicatie tussen het
Office-neten het
Secure-net.Alle bevindingen van [naam 8] dateren van (ver) na de overname (op 10 januari 2011) en er kan dus slechts worden vastgesteld dat na die datum sprake was van twee IP-adressen. Dit zegt niets over de situatie ten tijde van de overname. De e-mailberichten uit 2008 heeft [naam 8] verkeerd geïnterpreteerd: deze gingen niet over een veilige configuratie van het BAPI-systeem, maar over het wel of niet verplaatsen van het BAPI-systeem ten behoeve van een eventuele uitwijkmogelijkheid en een verbetering van interne processen. In de e-mails wordt aan het management van DigiNotar alleen gevraagd om te bepalen waar de BAPI server moet komen, in het
Office-netof het
Secure-net. Uit de e-mailcorrespondentie kan niet de conclusie worden getrokken dat er een verbinding bestond tussen het
Office-neten het
Secure-net.In haar akte na comparitie heeft Ratonigid nog het volgende aangevoerd. De “Handleiding uitvoeren Bapirun” kan niet de conclusie rechtvaardigen dat sprake is geweest van een dubbele netwerkkaart. Het is verder op zich zelf juist dat het BAPI station (DIGIWS146) op het ene moment contact moest hebben met het segment waar de aanvragen binnenkwamen en een ander (kort) moment met het segment waar de certificaten werden vervaardigd om de aanvragen aan de CA-servers door te geven. [naam 8] gaat er echter ten onrechte vanuit dat dit door een dubbele netwerkkaart werd gerealiseerd. Dat is niet noodzakelijk. Alvorens de BAPI run te realiseren kan ook de netwerkkabel, die meestentijds verbinding maakt met het segment van de aanvragen, handmatig gewisseld worden om contact te maken met het segment van de CA-servers. Ook dan is er de mogelijkheid om zowel in het ene segment actief te zijn als in het andere segment, maar nooit tegelijkertijd. In die situatie, die zich heel goed zou hebben kunnen voorgedaan vóór 10 januari 2011, is er geen sprake van een dubbele netwerkkaart of een risicovolle verbinding, aldus steeds Ratonigid.

4.12.

Tegenover de uitvoerig gemotiveerde en met de hiervoor genoemde stukken onderbouwde stelling van Vasco dat het werkstation DIGIWS146 (al voor 10 januari 2011) in verbinding stond met zowel het
Secure-netals het
Office-net,had van Ratonigid – nu zij deze stelling betwist - mogen worden verwacht dat zij een gemotiveerde en gedocumenteerde verklaring had gegeven waarom daarvan geen sprake was. Daarvoor kan niet worden volstaan met het opwerpen van de enkele suggestie dat de bevindingen van [naam 8] ten aanzien van de dubbele netwerkkaarten niet zouden kunnen worden teruggeleid naar een datum voor 10 januari 2011 omdat DIGIWS146 na 10 januari 2011 nog is gebruikt. Ratonigid kan, vertegenwoordigd door de twee (voormalig) bestuurders van DigiNotar, ter verklaring van het feit dat de firewall log geen verkeer laat zien evenmin volstaan met de niet nader onderbouwde bewering dat de BAPI-run
mogelijkplaatsvond door een netwerkkabel handmatig te wisselen. Ratonigid moet in staat geacht worden te kunnen reproduceren op welke wijze de productie van certificaten daadwerkelijk voor 10 januari 2011 plaatsvond en hoe daarbij de verbinding tussen het
Office-neten het
Secure-nettot stand werd gebracht. Dit brengt mee dat het op haar weg had gelegen om tegenover de gemotiveerde bevindingen van Hoffman concreet toe te lichten dat en hoe daarbij geen gebruik werd gemaakt van een verbinding middels een tweede netwerkkaart in het werkstation DIGIWS146, zoals Vasco – ondersteund met stukken en rapporten van verschillende deskundigen – heeft geconcludeerd. Ratonigid heeft dit echter niet gedaan maar in plaats daarvan volstaan met het schetsen van een situatie “die zich heel goed zou hebben kunnen voorgedaan vóór 10 januari 2011”). Aldus heeft zij de stellingen van Vasco op dit punt onvoldoende gemotiveerd betwist, zodat de rechtbank als vaststaand zal aannemen dat het werkstation DIGIWS146 door middel van twee netwerkkaarten in verbinding stond met zowel het
Secure-netals het
Office-net.

Garantieschending

4.13.

Dat het feit dat het werkstation DIGIWS146 in verbinding stond met zowel het
Secure-netals het
Office-neteen schending oplevert van de garantie, leidt geen twijfel. Gelet op de hiervoor besproken risico’s die met deze dubbele verbinding gepaard gaan, kan een dergelijke verbinding niet worden aangemerkt als het nemen van alle redelijke stappen en het implementeren van alle redelijke procedures om toegang door onbevoegden te voorkomen, zoals de garantie vereist. Ook [naam 2] heeft zelf ter comparitie verklaard dat het niet de bedoeling was dat een werkstation contact kon maken met het
Office-neten het
Secure-neten dat het in dat kader niet toelaatbaar was, als er inderdaad twee netwerkkaarten in het werkstation zaten.

Hetzelfde geldt voor het onversleuteld opslaan van wachtwoorden en
credentials. Ook in de eigen stellingen van Ratonigid ligt besloten dat dit geen veilige situatie was; zij heeft immers een module ontwikkeld om de paswoorden te versleutelen en het was de bedoeling deze op alle verbindingen te installeren, zoals [naam 2] op de comparitie heeft verklaard.

Ten aanzien van het niet upgraden van DotNetNuke op een aantal servers (waaronder WINSVR118 en WINSVR119) wordt eveneens geoordeeld dat dit – anders dan Ratonigid lijkt te menen – een garantieschending oplevert. Van DigiNotar mag worden verwacht dat zij niet enkel aanslaat op beveiligingsgebreken die door DotNetNuke als
“critical”worden bestempeld, maar dat zij tevens de als “
medium”en
“low”gekarakteriseerde updates uitvoert. Ratonigid heeft onvoldoende toegelicht waarom zij kon volstaan met het doorvoeren van enkel de
“critical”updates en waarom de andere updates niet ook konden worden doorgevoerd. In dit verband wordt veel gewicht toegekend aan het feit dat DigiNotar een certificatiedienstverlener was zodat van haar, gelet op haar ondernemingsactiviteiten (beveiliging van internetverkeer) mocht worden verwacht dat zij wat betreft de beveiliging van haar eigen systemen de grootst mogelijke zorgvuldigheid zou betrachten en daartoe dus alle mogelijke maatregelen zou nemen.

Toerekenbaarheid

4.14.

De garantieschendingen kunnen ook aan Ratonigid worden toegerekend. Uit het voorgaande volgt dat zij lang voor 2011 meermaals door IT-Sec was gewaarschuwd voor het onversleuteld opslaan van wachtwoorden en
credentialsen de kwetsbaarheden in de oudere versies van DotNetNuke. Ook volgt uit de door Vasco in het geding gebrachte e-mailcorrespondentie uit 2008 en de tekening van de infrastructuur van 22 maart 2009 (steeds als aangehecht aan het [naam 8] rapport) dat Ratonigid ervan op de hoogte was dat (in ieder geval op enig moment) het werkstation DIGIWS146 in verbinding heeft gestaan met zowel het
Office-netals het
Secure-net. Nu zij deze veiligheidsrisico’s heeft laten voortbestaan, kan niet worden gezegd dat zij alle redelijke stappen heeft gezet en alle redelijke procedures heeft geïmplementeerd om de systemen van DigiNotar te beveiligen ten einde een hack zoals zich in de zomer van 2011 heeft voorgedaan te voorkomen.

Causaal verband

4.15.

De rechtbank stelt voorop dat elk van de drie hiervoor vastgestelde beveiligingsgebreken een garantieschending oplevert (zie hiervoor onder 4.13). Als onvoldoende gemotiveerd betwist staat vast dat het faillissement van DigiNotar het gevolg is geweest van het feit dat de overheid naar aanleiding van de hack publiekelijk het vertrouwen in DigiNotar heeft opgezegd en OPTA de registratie als certificatiedienstverlener heeft ingetrokken. Voor de vraag of de schade die Vasco heeft geleden is toe te rekenen aan een garantieschending (als bedoeld in artikel 7.4 van de SPA) is dan van belang of er een causaal verband bestaat tussen één of meer van de garantieschendingen en het slagen van de hack. Dat is naar het oordeel van de rechtbank voor elk van de garantieschendingen het geval.

Allereerst is de Onderzoeksraad voor Veiligheid op grond van hem ter beschikking staande informatie tot de conclusie gekomen dat alle garantieschendingen een rol hebben gespeeld om de hack succesvol te laten zijn. In het rapport van de Onderzoeksraad (p. 38-39) staat over de omstandigheden die ertoe hebben bijgedragen dat de hack kon plaatsvinden, voor zover hier van belang, het volgende vermeld:

“(…)

Ten tweede bleek de inbreker in staat om allerlei voorbereidende handelingen uit te voeren op enkele servers in het netwerk van DigiNotar, die hem uiteindelijk in staat stelden dieper in het netwerk door te dringen. Hiertoe heeft hij zwakheden benut in verouderde software op deze servers, wat mogelijk was omdat updates op twee servers ontbraken of niet tijdig waren uitgevoerd.

Ten derde waren de veiligheidskritische gedeelten van het bedrijfsnetwerk waarop de processen voor certificaatuitgifte zich afspeelden niet zodanig afgescheiden van de servers die in verbinding stonden met het internet dat een inbraak voorkomen kon worden. (…)

Ten vierde lukte het de inbreker om een beheerderswachtwoord te achterhalen waarmee hij beheerderstoegang kreeg tot de servers waarop de software voor certificaatdienstverlening draaide. In dit wachtwoord kwamen bestaande woorden voor, waardoor het middels een zogenaamdedictionary attack
kon worden achterhaald.(…)”

IT-Sec, Fox-IT en [naam 8] hebben alle gewezen op de aanwezigheid van de verouderde versie van DotNetNuke (op de servers WINSVR118 en WINSVR119) en het onversleuteld opslaan van wachtwoorden en
credentialsals redenen waarom de hack kon slagen. In het IT-Sec rapport 2011 staat:

“The attacker compromised a webserver of Diginotar due to a security vulnerability that is present within the DotNetNuke software.

(…)

Due to the weak security of Windows passwords, it must be assumed that the attacker was able to compromise the passwords (for example with rainbow tables) of the accounts found on the system. (…)”

(zie hiervoor onder 2.14).

Ook Fox-IT heeft dit geconstateerd:

“The password was not very strong and could easily be brute-forced. The software installed on the public web servers was outdated and not patched.”

(zie hiervoor onder 2.18) en uit het Fox-IT rapport van 18 april 2012 (p. 51) volgt dat de onversleuteld opgeslagen
credentialsdoor de
hackerook daadwerkelijk zijn gebruikt. (zie hiervoor 4.6):

"
Additionally, on the Main-web server the file web.config was identified that contained a string with credentials to access the database on BAPI-db (…)

This led to the conclusion that the intruder connected to the Microsoft SQL service running on the BAPIdb server from the Main-web using a found password and executed programs on the BAPI-db."

[naam 8] heeft het volgende geconstateerd (zie het Hoffman Erratum, p. 2):

"
On 17 June 2011 the intruder exploits a wellknown DotNetNuke vulnerability on the docproof webservers WINSVR118 and WINSVR119."

De conclusie van [naam 8] in haar brief van 28 november 2012 (p. 8) is:

“(…) We have to point out that the unencrypted web.config files which were relevant to the attacker were located on WINSVR101. (…)

This means that if DigiNotar had upgraded their DotNetNuke framework to version 5.1.2 (…), they would not have been vulnerable to the attack as carried out by the intruder. (…) if DigiNotar had implemented ITsec’s recommendations[in het IT-Sec rapport 2009, rb]
, the intruder would not have been able to successfuly execute his attack, using the vulnerabilities and routes as he did”.

4.16.

Het verweer dat de specifieke kwetsbaarheid in DotNetNuke die op de publieke website vermoedelijk de mogelijkheid heeft gegeven om in de buitenste laag van het systeem binnen te dringen, pas op 19 januari 2011 door DotNetNuke zelf aan gebruikersgemeenschap bekend is gemaakt, en dat Vasco zelf heeft nagelaten de “critical” upgrade naar versie 5.6.1 uit te voeren, kan Ratonigid niet baten. Allereerst is uit geen van de rapporten gebleken dat de
hackergebruik heeft gemaakt van een kwetsbaarheid die alleen door versie 5.6.1 kon worden verholpen. In de rapporten staat juist steeds dat het ging om een kwetsbaarheid die voorkwam in de versies ouder dan 4.8.3. DotNetNuke heeft hierover bovendien op 17 maart 2010 op haar website al informatie over bovendien zelf het volgende gepubliceerd.:

"
Please note, if you're running 4.8.3 or higher (…) this is not a concern from a DotNetNuke perspective. As 4.8.3 has been out for nearly 2 years (released May 23rd 2008), and we've had 20 releases since then we believe theres only a small amount of people on versionsthatold, but we thought it would be good to let people know just in case they are running very old versions.”

In het [naam 8] rapport (p. 78-79) staat beschreven dat de
hackerwaarschijnlijk door het benutten van een kwetsbaarheid in DotNetNuke het bestand 17.1sp;.gif op WINSVR119 heeft kunnen uploaden (zie hiervoor rov. 4.4). Vervolgens heeft de
hacker, voor zover van belang, het bekende standaard
hackerbestand AspxSpy geïnstalleerd: “a webshell often used by intruders that provides numerous access functionalities on a compromised server” ([naam 8] rapport, p. 80).

Op pagina 31-33 van het [naam 8] rapport is te lezen dat de
hackermet het programma AspxSpy web.config kon doorzoeken. Op de WINSVR101 stonden 112 web.config bestanden, waaronder die met de
credentialsvan de servers in de DigiNotar. infrastructuur:

“With this backdoor[Aspx.Spy, rb]
the intruder was able to manage the compromised servers. With the AspxSpy backdoor in place, the intruder was able to read files on the compromised server. The Aspx.Spy backdoor provides a functionality to search for interesting files like the “Web.config” files usually stored on the webserver containing sensitive information. In this file the credentials of the database users were stored. On the main DigiNotar web server (WINSVR101) 112 Web.config files (including backup files) were present containing database credentials for database servers throughout the DigiNotar network.”).

4.17.

Het verweer van Ratonigid dat – nu [naam 8] in haar Erratum heeft moeten toegeven dat op WINSVR101 niet een verouderde versie van DotNetNuke draaide (die zwakheden vertoonde) – het geen problem was dat op enkele andere servers wel een verouderde versie van DotNetNuke draaide, omdat de
hackervolgens [naam 8] via WINSVR101 is binnengekomen, faalt omdat het feitelijk onjuist is. In het [naam 8] rapport staat immers (bijvoorbeeld) op pagina 21:

“(…) On 17 June 2011 the intruder(s) gained access to the DigiNotar external ‘ext-dem-net’ network, by placing multiple AspxSpy backdoors om the Docproof webservers (WINSVR118, WINSVR119) and the main DigiNotar webserver WINSVR101 (…)”.

Ook overigens blijkt uit het rapport van [naam 8], zoals hiervoor is overwogen, dat de
hackergebruik heeft gemaakt van de servers WINSVR118 en WINSV119 om verder door te dringen in het netwerk van DigiNotar door op WINSVR119 het bestand 17.1sp;.gif te installeren.

4.18.

Hetzelfde lot treft het verweer dat nu uit de rapporten van Fox-IT en [naam 8] blijkt dat de
hackerspeciale programma’s heeft gebruikt om wachtwoorden te kraken (
“brute forcing”),de wachtwoorden kennelijk niet onversleuteld waren opgeslagen. Uit het rapport van [naam 8] blijkt immers, zoals hiervoor is overwogen, dat in ieder geval ook gebruik is gemaakt van de
credentialsdie waren opgeslagen in web.config bestanden.

4.19.

Het onderzoek van [naam 8] heeft tevens uitgewezen dat de
hackervanaf 1 juli 2011 via het werkstation DIGIWS146 het
Secure-netheeft bereikt ([naam 8] rapport, p. 22:
“(…) we have established that the compromised BAPI-production workstation (DigiWs146) had a dual network interface both to Secure-net and Office-net. The intruder detected this flaw and exploited it starting from 1 July 2011.(…)”).

[naam 8] heeft vastgesteld dat het niet anders kon zijn dan dat toegang tot het werkstation DIGIWS146 is verkregen doordat in dit werkstation twee netwerkkaarten zaten; zie (bijvoorbeeld) het [naam 8] rapport (p. 33):

“(…) Although the DIGIWS146 was situated in the Secure-net, examination of this workstation showed that it also had an active network interface in the Office-net network segment during the time of the incident.

Because of this situation, traffic from the BAPI-DB to the DigiWs146 was not blocked by the firewall since they both resided on the same network segment. Once the intruder had access to the DIGIWS146, he “automatically” gained a foothold in the Secure-net due to the dual network interface.(…)”.

Deze bevindingen van [naam 8] heeft Ratonigid niet bestreden anders dan met haar (reeds verworpen) verweer dat geen sprake hoeft te zijn van twee netwerkkaarten in DIGIWS146, althans dat Vasco dat niet kon aantonen.

Dat het (via een dubbele netwerkkaart) mogelijk was om vanuit andere segmenten toegang te krijgen tot het
secure-netlijkt ook te volgen uit het rapport van Fox-IT, waarin staat:
“The separation of critical components was not functioning or was not in place. We have strong indications that the CA-servers, although physically very securely placed in a tempest proof environment, were accessible over the network from the management LAN.”

4.20.

Dat de deskundigen niet precies hebben kunnen achterhalen hoe de hack heeft plaatsgevonden, doet aan het voorgaande niet aan af. De deskundigen hebben in voldoende mate vastgesteld dat de drie garantieschendingen (of één of twee ervan) bepalend zijn geweest voor het slagen van de hack.

4.21.

Nu hiervoor is vastgesteld dat Ratonigid op specifieke punten toerekenbaar tekort is geschoten waar het de beveiliging van de computersystemen van DigiNotar betreft, kan haar verweer dat zij – in het algemeen – een zorgvuldig beveiligingsbeleid voerde (zoals hiervoor weergegeven bij rov. 3.6) haar niet baten. Dit geldt ook voor het door haar gevoerde verweer dat DigiNotar op het moment van de overname recent was gecertificeerd door PwC en (dus) aan de ETSI-normen voldeed. Dit geldt temeer omdat, zoals ook in het rapport van de Onderzoeksraad staat vermeld, de ETSI-normen voor een belangrijk deel als open normen zijn geformuleerd en dus door de certificatiedienstverleners zelf moeten worden ingevuld. Er is slechts sprake van generiek geformuleerde eisen ten aanzien van gekwalificeerde certificaten en certificatiedienstverleners die deze certificaten afgeven. De ETSI-normen zijn op te vatten als een operationalisatie van deze eisen, maar deze specificeren uitdrukkelijk niet hoe naleving ervan kan of moet worden getoetst. De ETSI-normen bevatten bijvoorbeeld geen concrete voorschriften ten aanzien van de te hanteren technologieën of werkvoorschriften, maar geven slechts randvoorwaarden waaraan deze moeten voldoen.

4.22.

De volgende vraag die moet worden beantwoord is of er causaal verband is tussen de hack en het faillissement van DigiNotar. De schade die Vasco stelt te lijden is immers het gevolg van het faillissement van DigiNotar. Ratonigid betwist dit. Zij stelt zich op het standpunt dat het faillissement van DigiNotar het gevolg is van het feit dat de overheid het vertrouwen in (de directie van) DigiNotar had verloren, omdat zij in juni/juli 2011 de hack aanvankelijk niet had gemeld. Ratonigid wordt hierin niet gevolgd. Uit alles blijkt dat de overheid het vertrouwen in DigiNotar heeft opgezegd, omdat DigiNotar de veiligheid van de digitale certificaten niet langer kon garanderen. In zijn brief van aan de Tweede Kamer van 5 september 2011 heeft de minister het als volgt geformuleerd:

"(…)
Nadat nadere informatie hierover was verkregen en ook met het bedrijf was gesproken is het Kabinet tot de conclusie gekomen dat de betrouwbaarheid van de certificaten en diensten van DigiNotar niet langer zonder meer gegarandeerd was en dat mitsdien het vertrouwen in het bedrijf DigiNotar moest worden opgezegd.(…)"

Nergens in deze brief wordt het opzeggen van het vertrouwen in verband gebracht met het feit dat DigiNotar niet zelf het incident heeft gemeld. Dit valt ook niet af te leiden uit het rapport van de Onderzoeksraad, zoals Ratonigid stelt. In het rapport staat weliswaar (op pagina 44) dat het – achteraf, met de inmiddels bestaande kennis over de ernst en impact van de inbraak en de situatie waartoe deze heeft geleid – beter was geweest als DigiNotar het incident wel meteen had gemeld, maar niet dat dit de reden was voor het intrekken van de registratie. Op pagina 47 van het rapport staat vermeld dat de conclusie dat niet met zekerheid kon worden vastgesteld dat de systemen voor het verstrekken van PKIoverheid-certificaten niet waren gecompromitteerd, met zich bracht dat de overheid (de dienst digitale overheid van het ministerie van binnenlandse zaken en koninkrijksrelaties, Logius) het vertrouwen in DigiNotar als certificatiedienstverlener had verloren. Daarom heeft Logius op 2 september 2011 besloten om DigiNotar te verwijderen uit PKIoverheid (rapport Onderzoeksraad, p. 7). In het midden kan dan ook blijven of de directie van Vasco al dan niet op advies van [naam 2] en [naam 1] heeft besloten het incident niet te melden (waarover partijen van mening verschillen). Dat DigiNotar ook bestaansrecht had gehad buiten haar functie als certificatiedienstverlener en daarom haar faillissement niet had hoeven aanvragen, zoals Ratonigid heeft betoogd, behoeft ook geen bespreking. Als dat al het geval was geweest, was immers een geheel ander bedrijf ontstaan dan het bedrijf dat Vasco van Ratonigid had overgenomen.

Bezwaren Ratonigid tegen [naam 8] rapport

4.23.

Ratonigid heeft nog diverse bezwaren geuit tegen (de totstandkoming van) het [naam 8] rapport. Zij wijst op het volgende. Ratonigid c.s. is niet bij het onderzoek betrokken, waardoor zij in haar verdediging is geschaad, en er heeft geen hoor en wederhoor plaatsgevonden. Het onderzoek, dat oorspronkelijk was opgestart op advies van [naam 2], is omstreeks november 2011 (om onverklaarbare redenen) stopgezet en pas maanden later opnieuw opgestart en van de interviews met de betrokkenen in september 2011 zijn (mede daardoor) geen geautoriseerde verslagen gemaakt (en Ratonigid is het met de weergave van die interviews op belangrijke punten niet eens). Opmerkelijk is ook dat Vasco, hoewel zij het bestuur van DigiNotar vormde op het moment van de hack, niet is gehoord. Het rapport gaat niet uit van een gewaarmerkte, verifieerbare situatie, zo is het BAPI-werkstation niet veiliggesteld, maar na de hack nog een jaar gebruikt. Dit betekent dat niet kan worden geoordeeld over de daadwerkelijke actuele situatie ten tijde van de hack, aldus steeds Ratonigid.

4.24.

De rechtbank is van oordeel dat deze bezwaren er niet aan in de weg staan om – op de wijze als hiervoor is gedaan – waarde toe te kennen aan het [naam 8] rapport. De gespreksverslagen hebben bij de beoordeling geen rol gespeeld en voor het overige geldt dat, zoals hiervoor ook al is overwogen, niet is gebleken of voldoende aannemelijk is gemaakt dat de drie beveiligingsaspecten die niet in orde zijn gebleken, kunnen zijn veroorzaakt door wijzigingen die zijn aangebracht na de hack. De informatie die [naam 8] in haar rapport heeft gebruikt (en waarop de rechtbank haar oordeel heeft gebaseerd) is steeds verifieerbaar en wordt in ieder geval op onderdelen ondersteund door de andere rapporten. Ten slotte heeft Ratonigid in deze procedure uitgebreid de gelegenheid gehad op de bevindingen van [naam 8] te reageren, zodat van schending van het beginsel van hoor en wederhoor geen sprake is.

Due diligence – onderzoeksplicht

4.25.

Vasco heeft onbetwist gesteld dat zij voorafgaand aan de overname geen eigen onderzoek heeft gedaan naar de beveiliging van de IT-systemen van DigiNotar en dat zij derhalve in haar
due diligence onderzoekuitsluitend documenten heeft onderzocht die aan haar ter beschikking zijn gesteld. Evenmin is in geschil dat zij voorafgaand aan de overname geen inzage heeft gehad in de rapporten van IT-Sec uit 2006, 2008 en 2009. Dat in een van de documenten die in het kader van de
due diligenceaan Vasco zijn verstrekt staat vermeld dat DigiNotar regelmatig de veiligheid van haar software en infrastructuur liet toetsen door IT-Sec, hoefde voor Vasco – gelet op de afgegeven garanties - geen reden te zijn om de rapporten van IT-Sec op te vragen. Zij mocht er vanuit gaan dat indien er rapporten waren die belangrijke informatie over (gebreken in ) de beveiliging van de software en de IT-systemen van DigiNotar bevatten, deze aan haar ter beschikking zouden zijn gesteld. Dit betekent ook dat in het midden kan blijven of de rapporten van IT-Sec aan PwC zijn verstrekt (zoals Ratonigid stelt en Vasco betwist).

Schade

4.26.

Op grond van artikel 7.4 van de SPA zal Ratonigid aan Vasco alle schade moeten vergoeden die Vasco ten gevolge van de inbreuk(en) op de garantie heeft geleden, waarbij voor de definitie van schade (“Damages”) in de SPA aansluiting wordt gezocht bij de artikelen 6:95 en 6:96 BW met de aanvulling dat in geval van een schending van de garanties, Ratonigid aan Vasco een bedrag moet betalen waardoor Vasco in de positie komt waarin zij had verkeerd als de garantieschending niet had plaatsgevonden. Aangezien als gevolg van de garantieschending(en) – waardoor de hack heeft kunnen plaatsvinden en ten gevolge waarvan DigiNotar failliet is gegaan – de aandelen in DigiNotar waardeloos zijn geworden, zal Ratonigid aan Vasco in ieder geval de (gehele) verkoopprijs voor de aandelen terug moeten betalen. Dit komt erop neer dat Ratonigid het door Vasco daadwerkelijk aan haar betaalde bedrag van € 2.300.000 zal moeten terugbetalen en dat de thans nog in escrow gehouden bedragen aan Vasco moeten worden uitbetaald. De vorderingen van Vasco zijn in zoverre toewijsbaar. De gevorderde wettelijke rente vanaf 10 januari 2011 is als onbetwist eveneens toewijsbaar.

4.27.

De gevorderde kosten van de door [naam 8] opgestelde rapporten moeten op de voet van artikel 6:96 lid 2 onder b BW geacht worden onderdeel te zijn van de op grond van artikel 7.4 van de SPA te vergoeden schade. Nu de rechtbank voldoende aannemelijk acht dat deze kosten daadwerkelijk zijn gemaakt en deze ook niet onredelijk hoog voorkomen zal de vordering in zoverre worden toegewezen. De gevorderde kosten van rechtsbijstand kunnen in beginsel op de voet van artikel 6:96 lid 2 onder b BW eveneens onderdeel uitmaken van de op grond van artikel 7.4 van de SPA te vergoeden schade. Nu Vasco echter tegenover de betwisting door Ratonigid heeft verzuimd deze kosten nader te specificeren en te onderbouwen kan de verschuldigdheid en de omvang daarvan op dit moment niet worden vastgesteld.

4.28.

Dat laatste geldt ook voor de door Vasco gevorderde vergoeding van gederfde winst. De rechtbank zal dan ook, naast na te noemen veroordelingen, bepalen dat de zaak voor de vaststelling van de overige schade wordt verwezen naar de schadestaat procedure.

Eigen schuld

4.29.

Het betoog van Ratonigid dat sprake is van eigen schuld van Vasco en dat dus (een deel van) de schade voor rekening van Vasco moet blijven, omdat zij vanaf 1 januari 2011 (de effectieve datum) verantwoordelijk was voor de gang van zaken binnen DigiNotar en zij vanaf dat moment niets heeft gedaan aan de beveiliging van software en IT-systemen en de aanwezige beveiliging niet heeft onderhouden, niet voldeed aan de ETSI-normen, de in januari 2011 door DotNetNuke aangekondigde update niet heeft uitgevoerd en (zoals zij voor het eerst in haar antwoordakte na comparitie heeft betoogd) meer maatregelen had moeten nemen om de schade te beperken, kan haar niet baten.

Hiervoor is immers vastgesteld dat sprake is van een schending van de in de SPA ten behoeve van de koper opgenomen garanties. Uit het bepaalde in de SPA volgt dat in dat geval de verkoper aan de koper het bedrag moet betalen dat nodig is om de koper in de positie te brengen waarin de koper had verkeerd zonder de garantieschending. Dit betekent dat de schadevergoedingsplicht berust op de tussen partijen gesloten SPA en dat ook de omvang van de in dat geval door Ratonigid te vergoeden schade is vastgelegd in de tussen partijen gesloten overeenkomst. Aldus wordt in reconventie door Vasco jegens Ratonigid niet zozeer een vordering ingesteld tot schadevergoeding wegens toerekenbare tekortkoming in de nakoming van een verbintenis, maar vordert zij eenvoudigweg nakoming van de tussen partijen gesloten overeenkomst. Daarop is het bepaalde in artikel 6:101 BW niet van toepassing.

in conventie

4.30.

Uit hetgeen in reconventie is overwogen en geoordeeld volgt dat Ratonigid c.s. geen aanspraak meer kunnen maken op enige (na)betaling uit hoofde van de SPA of de escrow overeenkomsten. De vorderingen van Ratonigid c.s. in conventie zullen dan ook worden afgewezen.

in conventie en in reconventie

4.31.

Ratonigid zal als de zowel in conventie als in reconventie in het ongelijk gestelde partij worden veroordeeld in de kosten van het geding. Er van uitgaande dat de in conventie tot verweer aangewende kosten mede zijn besteed ter onderbouwing van de vorderingen in reconventie ziet de rechtbank aanleiding de proceskosten in reconventie op halve puntenvoet toe te wijzen. De tot op heden aan de zijde van Vasco gevallen kosten worden dan in conventie begroot als op € 3.621,00 aan griffierecht en € 11.238,50 (3,5 punten x tarief € 3.211,00 ) aan salaris advocaat, in totaal € 14.859,50, en in reconventie op € 5.619,25 (3,5 punten x 0,5 x tarief € 3.211) aan salaris advocaat. De gevorderde nakosten zijn slechts één keer toewijsbaar.

5. De beslissing

De rechtbank:

in conventie

5.1.

wijst het gevorderde af;

5.2.

veroordeelt Ratonigid in de kosten van het geding aan de zijde van Vasco tot op heden begroot op € 14.859,50;

5.3.

verklaart de proceskostenveroordeling uitvoerbaar bij voorraad;

in reconventie

5.4.

verklaart voor recht dat de koopsom voor de aandelen ten bedrage van € 3.700.000,00 met een bedrag van € 1.400.000,00 naar beneden toe wordt bijgesteld naar € 2.300.000,00 en de bedragen in escrow ad € 1.400.000,00 aan Vasco toekomen;

5.5.

veroordeelt Ratonigid tot betaling aan Vasco van een bedrag van € 1.400.000,00 (een miljoen vierhonderdduizend euro) te vermeerderen met de wettelijke rente vanaf 10 januari 2011 tot aan de dag der betaling;

5.6.

veroordeelt Ratonigid, voor zover zij niet (volledig) aan de veroordeling onder 5.5 voldoet, om - binnen zeven dagen nadat bij gerechtelijke uitspraak onherroepelijk is beslist dat Vasco recht heeft op het in escrow gehouden bedrag van € 1.000.000,00 - haar onvoorwaardelijke medewerking te verlenen aan de vrijgave van dat bedrag aan Vasco;

5.7.

veroordeelt DBA en Bosco, voor zover Ratonigid niet (volledig) aan de veroordeling onder 5.5 voldoet, om - binnen zeven dagen nadat bij gerechtelijke uitspraak onherroepelijk is beslist dat Vasco recht heeft op het in escrow gehouden bedrag van € 400.000,00 - hun onvoorwaardelijke medewerking te verlenen aan vrijgave van dat bedrag;

5.8.

bepaalt dat, indien de bedragen niet zijn vrijgegeven binnen de daarvoor gestelde termijn, het vonnis in de plaats treedt van de betreffende Joint Escrow Notice;

5.9.

veroordeelt Ratonigid tot betaling aan Vasco van een bedrag van € 2.300.000,00 (twee miljoen driehonderdduizend euro) te vermeerderen met de wettelijke rente vanaf 10 januari 2011 tot aan de dag der betaling;

5.10.

veroordeelt Ratonigid tot betaling aan Vasco van een bedrag van € € 386.859,00 (driehonderdzesentachtigduizend achthonderdnegenenvijftig euro) te vermeerderen met de wettelijke rente vanaf 1 december 2012 tot aan de dag der betaling;

5.11.

veroordeelt Ratonigid tot vergoeding van de overige door Vasco als gevolg van de schending van de garantie in de SPA geleden schade, nader op te maken bij staat;

5.12.

veroordeelt Ratonigid c.s. in de kosten van het geding aan de zijde van Vasco tot op heden begroot op € 5.619,25;

5.13.

veroordeelt Ratonigid c.s. in de na dit vonnis aan de zijde van Vasco ontstane kosten, begroot op:
- € 131,00 aan salaris advocaat,

- te vermeerderen, onder de voorwaarde dat betekening van de uitspraak heeft plaatsgevonden en Ratonigid niet binnen 14 dagen na aanschrijving aan het vonnis heeft voldaan, met een bedrag van € 68,00 aan salaris advocaat en de explootkosten van betekening van de uitspraak;

5.14.

verklaart de veroordelingen onder 5.5 tot en met 5.13 uitvoerbaar bij voorraad.

Dit vonnis is gewezen door mr. A.W.H. Vink, mr. R.A. Dudok van Heel en mr. B. van Berge Henegouwen en in het openbaar uitgesproken op 30 juli 2014.

Aansprakelijkheid verkoper voor schade door garantieschending bij verkoop van DigiNotar

Uitspraak

RECHTBANK AMSTERDAM

1.De procedure

2.De feiten

3.Het geschil

in conventie

4.De beoordeling