Michiel Snoep van beveiligingsbedrijf Wildher liet afgelopen maandag in het actualiteitenprogramma Netwerk zien hoe hij met zijn laptop mee kon kijken in de stroom aan gegevens die internetbankiers naar de bank sturen. Hij demonstreerde hoe hij kon gluren in betalingen en overboekingen van klanten van ABN Amro, de Rabobank en de Postbank. „Een stap verder is dat je niet alleen meekijkt, maar een eigen transactie in die datastroom stopt, waarmee je geld overmaakt naar een geheime bankrekening, zonder dat de gebruiker het in de gaten heeft.”

De dag na de uitzending waarschuwde ABN Amro zijn klanten voor de risico’s van internetbankieren. Op zijn website stak Wildher meteen de beschuldigende vinger uit in de richting van Microsoft, bouwer van het veelgebruikte zoekprogramma Internet Explorer. Die software zorgt ervoor dat vertrouwelijke gegevens tijdens het internetbankieren zijn versleuteld tot een geheimschrift.

Juist bij gebruik van Explorer in een kantoornetwerk of een internetcafé blijkt er een lek in de beveiliging te zitten, waardoor de gegevens ook voor derden leesbaar zijn. Die derde moet zich op dat moment dan wel in hetzelfde kantoornetwerk bevinden, beheerdersbevoegdheden hebben en beschikken over een verzameling slimme trucs.

Microsoft onderzocht de kwestie meteen. De softwarereus liet dinsdag al doorschemeren dat ze waarschijnlijk de oplossing in huis hadden. Gisteren kwam het verlossende woord. „Na onderzoek en overleg met betrokkenen is gebleken dat het hier gaat om een reeds eerder opgeloste kwetsbaarheid. Microsoft heeft hiervoor begin september een patch (stukje software dat het beveiligingsgat dicht) beschikbaar gesteld. Iedereen die deze patch heeft geïnstalleerd, is ongevoelig voor deze kwetsbaarheid.”

Betekent de uitzending van Netwerk nu een storm in een glas water? Nee en ja. Nee, want internetbankieren is nooit 100 procent veilig en zal dat ook nooit worden. Evenmin als ouderwets bankieren dat ooit was. Zoals je vroeger het risico liep dat je enveloppen met bankoverschrijvingen uit de brievenbus werden gehengeld, zo kan er bij internetbankieren iemand meegluren. Banken en softwarebedrijven moeten er daarom alles aan doen om de veiligheid ver boven de 99 procent te brengen, maar 100 procent is een illusie.

Ja, het is toch een storm in een glas water, want bij bedrijven die hun zaakjes op orde hebben, is deze vorm van fraude onmogelijk. Op 4 september, een maand na de ontdekking van het probleem, heeft Microsoft een oplossing aangereikt met als opmerking: „Netwerkbeheerders moeten deze patch onmiddellijk installeren.”

Het zou kies geweest zijn als beveiligingsbedrijf Wildher vóór de Netwerk-uitzending contact had gezocht met Microsoft, want nu suggereerde het bedrijf op zijn site dat Microsoft er nog niets aan gedaan had. Nog steeds roept Wildher op om een andere browser dan Explorer te gebruiken, omdat „Microsoft werkt aan een oplossing”, terwijl die er al twee maanden is. Microsoft verzocht gisteren redacties aan wie beveiligingslekken gemeld worden, voortaan eerst contact met hen op te nemen. De hele actie lijkt nu meer op een publiciteitsstunt voor Wildher.

Daar komt bij dat in de uitzending sterk de indruk is gewekt dat de fout bij de banken ligt; toen werd met geen woord over Microsoft gerept. Inmiddels is duidelijk dat er geen sprake is van nalatigheid van de banken, en evenmin van Microsoft, maar hooguit van netwerkbeheerders. Zo’n uitzending wekt grote onrust en er is daarom op z’n zachtst gezegd sprake van misleiding; misschien niet zozeer door Wildher maar dan toch wel door Netwerk.

Ook ABN Amro vindt dat er een luchtje zit aan de uitzending. Het bedrijf geeft toe dat de getoonde fraude „in theorie” mogelijk is, maar „wij zijn echter van mening dat het in de praktijk brengen van de in Netwerk getoonde handelingen vele malen complexer is dan werd gesuggereerd.” Het bedrijf acht de kans op gefraudeerde afschrijvingen minimaal en belooft eventuele schade voor zijn rekening te nemen. Klanten kunnen voor de zekerheid na het betalen in het overzicht van bij en afschrijvingen controleren of de betalingsopdrachten aan de juiste partijen zijn overgemaakt.

Wat dé bank, Wildher en Netwerk vergeten als eenvoudige oplossing, is om weer over te gaan tot écht thuisbankieren, in plaats van internetten in de tijd van de baas. Dan kan het genoemde probleem zich ook niet voordoen.