De Nederlands-Franse simkaartfabrikant Gemalto heeft "gegronde redenen" om aan te nemen dat Amerikaanse en Britse veiligheidsdiensten het bedrijf hebben gehackt.

Dat laat Gemalto woensdag weten in een verklaring, nadat de hack vorige week naar buiten werd gebracht op basis van documenten van klokkenluider Edward Snowden.

Gemalto stelt dat alleen de buitenste laag van het netwerk gehackt is en dat het Amerikaanse NSA en Britse GCHQ geen toegang hebben gehad tot de omgeving met encryptiesleutels van simkaarten.

Volgens de documenten van Snowden zouden de veiligheidsdiensten zeven miljoen encryptiesleutels hebben buitgemaakt.

Normaal is telefoonverkeer tussen twee simkaarten beveiligd, maar met de encryptiesleutels kan het verkeer eenvoudig worden afgetapt. Daar is dan geen tussenkomst van een rechter of hulp van een provider bij nodig. 

Gemalto trekt in twijfel dat deze encryptiesleutels op zo'n grote schaal gestolen zijn. Het bedrijf produceert zo'n twee miljard simkaarten per jaar en is daarmee marktleider.

Verschillende hacks

De aanvallen van de NSA en GCHQ zouden in 2010 en 2011 hebben plaatsgevonden en hoewel Gemalto zegt regelmatig slachtoffer te zijn van cyberaanvallen, heeft het activiteiten in die periode gevonden die overeen lijken te komen met een hack door de veiligheidsdiensten.

In 2010 werd het Franse interne netwerk van Gemalto aangevallen en later dat jaar werden er e-mails naar medewerkers onderschept met malware. Tegelijkertijd werden verschillende pogingen gedaan om de pc's van Gemalto-medewerkers te kraken die regelmatig contact hadden met klanten van het bedrijf.

De organisatie of personen achter de aanvallen werden nooit gevonden, maar Gemalto heeft nu een sterk vermoeden dat de NSA en GCHQ er achter zaten.

De delen van het netwerk die gehackt zijn, bevatten echter geen encryptiesleutels van simkaarten en er zijn geen inbraken gevonden op het deel van het netwerk waar die wel zijn opgeslagen. Dat gedeelte is veel moeilijker te penetreren.

Andere fabrikanten

De Amerikaanse en Britse veiligheidsdiensten probeerden volgens Gemalto dan ook om communicatie tussen het bedrijf en zijn klanten, bijvoorbeeld providers, te onderscheppen. Die communicatie was in 2010 al beveiligd, maar Gemalto stelt dat in de simkaartmarkt niet alle fabrikanten toen al van die beveiliging gebruikmaakten.

Volgens de Nederlandse simkaartmaker zijn er dan ook meerdere fabrikanten getroffen door de hack. Zo wordt er in de documenten gesproken van klanten waar Gemalto nooit simkaarten aan heeft geleverd en wordt er verwezen naar kantoren in Japan, Colombia en Italië, waar Gemalto destijds geen afdelingen had.

Het bedrijf zal de netwerken blijven monitoren en de processen blijven verbeteren. "We hebben geen plannen om verder over deze zaak te communiceren tenzij er een significante ontwikkeling plaatsvindt."

'Alleen 2G'

Als er versleutelingsdata zijn gestolen, zouden overigens alleen zogenoemde tweedegeneratie 2G mobiele netwerken bespioneerd kunnen worden. Netwerken met 3G- en 4G-technologie zijn niet kwetsbaar voor ,,dit type hack'', zo verzekerde Gemalto.

Topman Olivier Piou van Gemalto liet in een toelichting weten dat zijn bedrijf geen juridische stappen zal zetten vanwege de hack.

Ook verwacht hij niet dat de inbraak tot politieke reacties zal leiden. Het is vrijwel uitgesloten dat er werknemers van het bedrijf bij de cyberaanval betrokken zijn geweest, aldus Gemalto.

Video: Gemalto neemt geen juridische stappen

Reacties op hack

Het Ministerie van Binnenlandse Zaken kon nog niet reageren op de conclusies van Gemalto. Minister Plasterk gaf eerder deze week wel aan dat hij het onacceptabel zou vinden als de berichtgeving over de hack blijkt te kloppen.

Zowel GroenLinks als D66 lieten eerder al weten opheldering te willen van Plasterk over de hack.

KPN heeft reeds aangegeven de zaak te onderzoeken, maar ziet vooralsnog "geen aanleiding om de samenwerking met Gemalto te veranderen", aldus een woordvoerder van KPN.