Ergens in maart en ergens in België. Veel meer is er blijkbaar niet geweten over de volgende bijeenkomst van de zogenaamde Remote Forensic Software User Group. Net zoals het ook raden is naar wie nu precies de deelnemers zijn en wat er exact op de agenda staat. Wel weten we dat “een Belgische veiligheidsdienst” deel uitmaakt van deze bijeenkomst voor overheden die gebruik maken van spyware.
De oorspronkelijke naam van de RFS User Group maakt de reden voor dit stiekem gedrag duidelijk. Toen er in 2008 voor de eerste keer vergaderd werd, was dat nog onder de naam DigiTask User Group. En als de naam DigiTask in België niet direct een belletje doet rinkelen, dan in Duitsland des te meer. DigiTask is het bedrijf dat verantwoordelijk is voor het ontwikkelen van de spionagesoftware die door de Duitse overheid stiekem gebruikt werd en onder de naam Bundestrojaner bij een breder publiek bekend en berucht werd.
De Bundestrojaner
De Bundestrojaner, officieel R2D2 of 0Zapftis genaamd, is een overheidsspionagetool dat door beveiligingsinstanties werd ingezet om computers van verdachten op afstand heimelijk te monitoren. De spyware bevatte onder andere ook een keylogger, de mogelijkheid om screenshots te maken en een Skype-afluisteroptie. De Bundestrojaner werd in opdracht van de overheid ontworpen, maar de Chaos Computer Club toonde aan dat de geboden functionaliteiten veel verder gaan dan wat in Duitsland wettelijk toegelaten is. Met andere woorden, de Duitse overheid maakte in het geheim gebruik van software die illegaal was. De hackersclub onthulde daarnaast ook dat de software slordig geschreven was en vol beveiligingsgaten zat.
Later werd bekend dat DigiTask haar spyware ook had geëxporteerd naar Zwitserland, Oostenrijk en Nederland. In Nederland bleek uit parlementaire vragen dat de Unit Landelijke Interceptie van het Korps Landelijke Politiediensten gebruik maakt van de spyware van DigiTask.
Maakt ook België gebruik van de Bundestrojaner?
De DigiTask User Group werd in het leven geroepen door de Bundeskriminalamt, de Duitse federale recherche, met de bedoeling het gebruik van de spyware op Europees niveau te coordineren. Van de gebruikersgroep maken Duitse, Zwitserse, Nederlandse en ook Belgische veiligheidsdiensten deel uit. Over welke Belgische dienst het precies gaat, is niet duidelijk.
Het is evenmin duidelijk of de spyware van DigiTask ook effectief aan België verkocht werd, maar de Belgische aanwezigheid – naar verluidt op vraag van Nederland – doet sterk vermoeden dat er op zijn minst met de spyware getest wordt. De Remote Forensic Software User Group is niet voor niets een “user group”, die officieel het uitwisselen van kennis en ervaringen tot doel heeft. Maar – we vallen in herhaling – het is onduidelijk hoe ver die samenwerking van de verschillende veiligheidsdiensten gaat.
Onduidelijkheid en geheimzinnigheid troef, het kan misschien logisch klinken als we het over spionagesoftware hebben. Maar het is evenzeer bedenkelijk dat een Belgische veiligheidsdienst (of misschien meerdere diensten) gebruik kan maken van spyware die in een ander land felle controverse uitgelokt heeft. In Duitsland werden de grenzen overschreden van wat wettelijk toegelaten is. En in België? Niemand die het weet en dat vinden wij dan weer zeer verontrustend.