Het ministerie van Binnenlandse Zaken heeft stilzwijgend belangrijke veiligheidsmaatregelen rond de verkiezingen teruggedraaid. Dat blijkt uit onderzoek van RTL Nieuws. De uitslag is daardoor niet veilig, volgens IT-experts.

Het gaat om maatregelen die vorig jaar werden genomen, nadat uit onderzoek van RTL Nieuws was gebleken dat de software waarmee stemmen worden opgeteld vol lekken zat. Hackers hebben door de onveilige software de mogelijkheid om de verkiezingsuitslag te beïnvloeden.

Teruggedraaid

Toenmalig minister van Binnenlandse Zaken Ronald Plasterk kwam in actie. Alles wat gebeurde rond het tellen van stemmen moest voortaan in aanwezigheid van minimaal twee personen en alle stemmen werden niet alleen met de computer, maar ook handmatig opgeteld. Die maatregelen draait huidig minister Kajsa Ollongren nu terug.

De gedachte achter die beslissing is dat de nieuwe versie van de software volgens haar voldoende beveiligd is tegen hackers en dat altijd twee mensen betrokken zijn bij de invoer van aantallen stemmen. Bovendien mag de computer met de telsoftware niet meer op het internet aangesloten zijn, wat tijdens het Oekraïne-referendum in 2016 nog wel mocht.

Software niet veilig

Experts die de vernieuwde software op verzoek van RTL Nieuws onderzochten zeggen dat van veiligheid geen sprake is. "Het is nog steeds slecht beveiligde software," zegt onafhankelijk expert en ethisch hacker Sijmen Ruwhof. Hij vond meer dan 50 veiligheidsproblemen, waarvan een 'kritiek' en tien met een 'hoog risico'.

Ruwhof vindt het ongelooflijk dat kwaadwillenden in de database van de software stemmenaantallen kunnen invullen. "De software gelooft alles. Er zit geen integriteitscontrole in, geen fraudedetectie en geen inbraakdetectie: de verkiezingssoftware vindt alles prima."

Zo zit het in elkaar:

Onderzoeksverslaggever Koen de Regt legt uit wat er mis met de stemsoftware.

Onvoldoende gedaan

"Er is wel wat vooruitgang geboekt ten opzichte van vorig jaar", zegt ethisch hacker Ger Schinkel. "Maar er had meer kunnen gebeuren, het valt tegen. Het programma gebruikt verouderde Java-software, terwijl van Java bekend is dat als het een gatenkaas is, als je het niet up to date houdt." Volgens Schinkel zijn de aanbevelingen van Fox-IT onvoldoende opgevolgd.

​Nederlands bekendste hacker en oprichter van XS4all Rop Gonggrijp vindt het ‘schokkend’ dat weer op onveilige software wordt vertrouwd. “10 jaar geleden hebben we al aangetoond dat je niet kunt vertrouwen op stemcomputers. 10 jaar later gebeurt het weer. De fouten zijn nog steeds niet gefixed. Het heeft geen urgentie. Dat gaat me echt aan het hart,” zegt Gonggrijp.

En dat computers met de software niet aangesloten mogen zijn op internet, maakt voor het gevaar niet uit, zegt veiligheidsexpert Arjen Kamphuis. "Dat wij op de 21ste verkiezingen hebben, is al een halfjaar bekend. Een slimme aanvaller kan natuurlijk ook alle gemeentecomputers een maand van tevoren hacken, als ze nog wel op internet zijn."

Risico's beperkt

Een woordvoerder van het ministerie van Binnenlandse Zaken zegt in een aanvullende reactie het niet eens te zijn met de experts en benadrukt dat 'de verkiezingsuitslag wel degelijk veilig is'.

De Kiesraad erkent de kwetsbaarheden, maar is er nog steeds van overtuigd dat de huidige software en maatregelen voldoende zijn om veilige en betrouwbare verkiezingen te organiseren. "We moeten het nu eenmaal met deze software doen en als gemeenten zich aan de richtlijnen houden zijn de risico's beperkt," zegt secretaris-directeur Melle Bakker van de Kiesraad in een reactie (.doc).

Bovendien is gemeenten gevraagd om alle uitslagen online te publiceren. "Oplettende burgers of kandidaten kunnen na de verkiezingen alsnog aan de bel trekken", zegt Bakker. Hij heeft begrip voor het schrappen van het handmatig berekenen van de uitslag. "Dat verliep dramatisch tijdens de vorige verkiezingen. Het moest soms wel vier keer opnieuw, omdat er steeds foutjes werden gemaakt."

Controle achteraf

Bij handmatig tellen worden veel fouten gemaakt. Daarom zorgt de overheid dat er achteraf gecontroleerd kan worden. Mensen die de uitslag willen controleren, krijgen de mogelijkheid om documenten en bestanden na afloop van de verkiezingen op te vragen. Bij het invoeren van de aantallen zijn nog steeds minstens twee personen aanwezig.

Fox-IT wil geen oordeel geven over de genomen maatregelen. "We hebben vorig jaar aanbevelingen gedaan en het is aan de klant wat die er mee doet", zegt een woordvoerder.

