image

Juridische vraag: Moet DigiNotar schade vergoeden?

woensdag 7 september 2011, 11:18 door Arnoud Engelfriet, 14 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"De wet op internet".

Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.

Vraag: Over de technische flater van DigiNotar is al veel geschreven. Ik had echter een andere vraag: kan ik ze aansprakelijk stellen voor alle uren die ik moet maken om nieuwe certificaten aan te vragen en in te voeren in onze organisatie?

Antwoord: De hack bij DigiNotar, waarbij honderden certificaten werden vervalst, heeft zeer grote implicaties. Het SSL-verkeer naar sites is niet meer te vertrouwen als daarbij een Diginotar-certificaat is uitgegeven, zodat er sprake kan zijn van een man-in-the-middle aanval. Dit zou in Iran ook werkelijk zijn gebeurd.

Eind jaren negentig is wetgeving ingevoerd over digitale handtekeningen en certificaten. Deze bepaalt onder meer dat een digitale handtekening rechtsgeldig is, mits deze met een "voldoende betrouwbaar middel" wordt gezet en met een vertrouwd certificaat te valideren is. Waarom die hele toestand nodig was, is me nog steeds een raadsel: (1) papieren handtekeningen mogen met onbetrouwbare balpennen worden gezet en (2) 99% van de contracten vereist geen handtekening om juridisch bindend te zijn. Maar goed.

Normaal accepteer je een certificaat als geldig en juist omdat een 'hogere' partij zegt dat dat zo is. En die hogere partij vertrouw je weer omdat een nóg hogere partij dat zegt. Dat houdt natuurlijk ergens op, en wel bij de root oftewel wortel CA (die om onverklaarbare redenen altijd bóvenaan in de boom wordt getekend). Een root CA wordt per definitie vertrouwd. En Diginotar is zo'n root CA (behalve voor DigiD).

Vertrouwen is dus het fundament waar de dienstverlening van een certificatiedienstverleners op stoelt. Dit fundament wordt juridisch beschermd doordat in de wet staat dat certificeerders die "gekwalificeerde" certificaten uitgeven, aansprakelijk zijn voor de juistheid daarvan. Ook moeten ze technische eisen zoals ETSI TS 101456 navolgen en staan ze onder toezicht van de OPTA.

Alleen: de SSL-Certificaten waar het om gaat, zijn geen gekwalificeerde certificaten. Daarmee is die bijzonder strenge aansprakelijkheidsregel niet van toepassing. En dan wordt het lastig, want dan is DigiNotar juridisch gezien gewoon een club die iets zegt met een digitale handtekening eronder, en tsja, afgaan op wat mensen zeggen is geen reden om ze aansprakelijk te stellen als ze het fout hadden. Voor aansprakelijkheid is meer nodig: je moet een wettelijke norm geschonden hebben (die in direct verband staat met de schade) of je moet maatschappelijk onzorgvuldig hebben gehandeld, oftewel “dit staat niet in de wet maar vinden we toch dusdanig onfatsoenlijk dat je alsnog schade moet vergoeden”.

Bij die onzorgvuldigheidsnorm wegen altijd de exacte omstandigheden van het geval zwaar. Zo zal bijvoorbeeld meewegen wat de oorzaak van de hack is waarmee deze certificaten gegenereerd konden worden. Was men nalatig in het sleutelbeheer? Of was dit een buitengewoon geavanceerde hack die niemand had kunnen opmerken? En, belangrijk, heeft DigiNotar na het ontdekken van de hack alles gedaan om de gevolgen tegen te gaan, of heeft ze juist zitten treuzelen?

Alles wijst erop dat Diginotar zwaar heeft zitten slapen en dat hun beveiliging niet op orde was. Dat pleit er dus voor om een claim in te dienen. En misschien kun je dat maar beter snel doen ook, want het zou me niets verbazen als het 'merk' DigiNotar binnenkort uit de markt gehaald wordt om te voorkomen dat het bedrijf onderuit gaat.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".

Reacties (14)
07-09-2011, 11:31 door anoniem lafbekje
Eigenlijk zouden gedupeerden op korte termijn gezamenlijk een claim moeten indienen.
07-09-2011, 12:26 door Anoniem
Ik vrees dat het voor velen een flink partijtje huilen wordt, dit omdat DigiNotar zeer binnenkort failliet zal gaan en er enkel waradeloos papier is te halen.
07-09-2011, 12:58 door Mozes.Kriebel
Dan moet men naar Vasco...
07-09-2011, 12:59 door Wim ten Brink
Uiteindelijk is gewoon de vraag hoe groot de uiteindelijke schuld is waardoor Diginotar failliet raakt. Faillisement zit er wel aan te komen. Vraag is alleen voor hoeveel de schuldeisers straks het schip in gaan.
Het is dan ook te hopen dat de schadeclaims zullen meevallen zodat alle gedupeerden het geld krijgen waar ze recht op hebben.
07-09-2011, 13:33 door Anoniem
Digitale handtekeningen zijn niet rechtsgeldig mits ze met een "voldoende betrouwbaar middel" gezet worden.
Als ze gezet zijn met een "voldoende betrouwbaar middel", dan is er geen verdere discussie of het rechtsgeldig is (i.e. de discussie over de vorm is niet aan de orde). Als het niet met zo'n "voldoende betrouwbaar middel" gezet is, dan is het open voor discussie.
07-09-2011, 16:25 door Anoniem
Het intrekken van CA's en vervangen van SSL-certificaten hoort een routineklus te zijn in de opzet van PKI. Dat hostingpartijen dat onderdeel van het beheer van een SSL-website hebben verwaarloosd, wil volgens mij niet zeggen dat Diginotar dat nu moet betalen.
Vooruitlopend op het oordeel dat Diginotar echt nalatig is geweest, zou ik me een zeer beperkte schadevergoeding kunnen voorstellen, gebaseerd op een schade van, pak hem beet, 2 uur werk per SSL-certificaat. "voor alle uren die ik moet maken om nieuwe certificaten aan te vragen en in te voeren."
07-09-2011, 20:00 door Anoniem
Door Anoniem: Het intrekken van CA's en vervangen van SSL-certificaten hoort een routineklus te zijn in de opzet van PKI.

PKI bestaat niet alleen maar uit SSL certificaten op de server, maar kan ook gebruikt worden om certificaten uit te geven aan klanten. Deze moeten dus opnieuw aangemaakt en gedistribueerd worden. En nee, dat gaat niet met een mailtje maar per ouderwetse post of per koerier. Dus dat kost wat meer tijd dan 2 uur per SSL certificaat.

@Arnoud: Kan je uitleggen wat je bedoeld met:
de SSL-Certificaten waar het om gaat, zijn geen gekwalificeerde certificaten.
07-09-2011, 20:01 door Anoniem
Door Anoniem: Het intrekken van CA's en vervangen van SSL-certificaten hoort een routineklus te zijn in de opzet van PKI. Dat hostingpartijen dat onderdeel van het beheer van een SSL-website hebben verwaarloosd, wil volgens mij niet zeggen dat Diginotar dat nu moet betalen."

Dat zal de verdediging ook zeggen, en ze hebben wel een punt. Maar ssl certificaten zitten soms heel diep weg, of op niet gedocumenteerde plekken. En als je er dan enkele tientallen hebt, of meer, kan het een aardige klus zijn. Gelukkig dat de meeste Server Side Java/SOA omgevingen gewoon doordraaien omdat de cerificaten gewoon blijven werken, ingetrokken of niet. Anders zou de indirecte schade gigantisch kunnen oplopen.
07-09-2011, 23:14 door Bert de Beveiliger
En wie is er schuldig aan de slachtoffers in Iran en mogelijk elders?
08-09-2011, 09:14 door Anoniem
Het management van Diginotar mag blij zijn dat ze enkel failliet gaan.
In mijn visie zouden ze strafrechtelijk vervolgt moeten worden.
Ze hebben de hele wereld kwetsbaar gemaakt voor het aftappen van encryptie.(of dit ook gebeurd is, vind ik niet uitmaken)
het feit dat ze gehacked zijn, dat kan gebeuren, echter het feit dat ze hier niet meteen melding van maakte is het grote probleem. Ik hoop dat er snel een meldplicht binnen 24 uur opgenomen wordt in de wet.
08-09-2011, 11:29 door Anoniem
Je hebt certificaten in verschillende prijsklasses. Je hebt al een SSL certificaat voor $19,99. GoDaddy en andere toko's leveren die. Het enige dat daar gecontroleerd wordt is of de eigenaar van het domein ook toegang heeft tot de webmaster en/of postmaster adressen voor dat domein. Door op een linkje te klikken en wat geld over te maken heb je een certificaat dat door 99.9% van de browsers geaccepteerd wordt. Controle op de uitgifte is een automatisch proces, maar als je dat weet te manipuleren is een *.google.com zo geregeld volgens mij. Bij gekwalificeerde certificaten zijn er (veel) meer zaken geverifieerd. Bij dergelijke certificaten is vaak ook verzekerd bedrag bij fouten (aan de CA kant) in begrepen.
Doordat ze zo goedkoop zijn, zijn de verzekerde bedragen ook nul. Stel dat dit bij een lading EV certificaten was gebeurd, dan zouden de schadevergoedingen in de tonnen per kunnen certificaat lopen.

Dergelijk goedkope certificaten worden tegenwoordig heel vaak gebruikt om foute webshops op te zetten. Die SSL verbinding wekt vertrouwen bij klanten. Voor je het weet ben je 1000 euro armer en een baksteen in een doos (als je geluk heb) rijker.
08-09-2011, 21:55 door Anoniem
je vergeet te vermelden dat een eventueel beroep op een exoneratieclausule door de rechter zeer waarschijnlijk zal worden verworpen wegens strijd met de redelijkheid en billijkheid (bij ernstige nalatigheid).
14-09-2011, 11:06 door Anoniem
natuurlijk moeten ze niet betalen, onzin. Dan zou je microsoft ook wel naar toe kunnen claimen voor alle geleden schade en gedelgde inkomsten. Lekker hypocriet dit, iedereen bovenop diginotar. Niets is waterdicht, een bedrijf wordt gerund door mensen, incompetentie is daar een factor in.

trek je dit door op andere bedrijven dan kan je lang bezig blijven (voedsel en waren? bank? etc)
21-09-2014, 16:17 door Anoniem
De rechtbank heeft onlangs (op 30-07-2014) uitspraak gedaan over of de bedrijfsvoering nalatig was <http://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBAMS:2014:4888>. De rechter oordeelde dat dit het geval was en het lijkt me dus dat het mogelijk moet zijn geld te verhalen op VASCO.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.