Maandag pakte De Tijd uit met het bericht dat de Belgische inlichtingendiensten gedurende decennia niet op de hoogte waren van een grote spionageoperatie van de eigen bondgenoten. Die viseerde ook België. Het Vast Comité van Toezicht op de Inlichtingen- en Veiligheidsdiensten, beter bekend onder de naam Comité I, heeft nu een ontluisterend rapport gepubliceerd.

Crypto AG

Maar eerst wat achtergrond. Het Zwitserse Crypto AG, marktleider op het gebied van hoogtechnologische versleutelapparatuur, staat centraal in het spionageschandaal. In 1970 kwam deze producent van cryptografische machines in het grootste geheim in handen van de Amerikaanse en Duitse inlichtingendiensten CIA en BND. Vanuit die interessante positie zetten beide spionagediensten vanaf 1973 operatie Rubicon op poten: ze leveren gecompromitteerde versleutelmachines aan bepaalde landen. Hierdoor kunnen ze makkelijk de geëncrypteerde communicatie onderscheppen.

Crypto AG beschikt lang over een quasi-monopolie op het vlak van cryptografie in de niet-communistische wereld. De Zwitsers leveren cryptografische technologie aan 120 landen en aan verschillende internationale organisaties, waaronder de NAVO. Ook België is klant en krijgt gecompromitteerde apparatuur geleverd.

Maximator

In 1976 komt er een geheime alliantie tot stand in West-Europa. Dit gebeurt op initiatief van Denemarken. Oorspronkelijk bestaat de alliantie uit drie landen: Denemarken, Zweden en Duitsland. Vanaf 1978 treedt Nederland toe, gevolgd door Frankrijk in 1985. De geheime spionagering krijgt in 1979 de naam Maximator, naar het lokale Beierse bier dat tijdens een overleg over de naamgeving werd gedronken.

Via de Duitse connectie met Crypto AG krijgen de leden van Maximator toegang tot operatie Rubicon. Hierdoor kunnen ze versleutelde communicatie van landen met gecompromitteerde apparatuur ontcijferen. België behoort tot die landen. Naast de leden van Maximator krijgen ook de leden van de zogenaamde Five Eyes, de inlichtingenalliantie tussen de VS, het Verenigd Koninkrijk, Canada, Australië en Nieuw Zeeland, toegang tot het Rubiconprogramma. De versleutelde communicatie van de Belgische diplomatieke diensten staat dus decennialang open voor zowel de leden van Maximator als de Five Eyes. Onze buurlanden – met uitzondering van Luxemburg – hebben ons dus jarenlang bespioneerd.

Conclusies Comité I

Het Comité I stelde een onderzoek in naar de impact van dit spionageverhaal op de Belgische inlichtingendiensten VSSE (staatsveiligheid) en ADIV (militaire inlichtingendienst). Zij wilden eveneens de impact onderzoeken op de diensten van Buitenlandse Zaken, maar kregen geen antwoorden uit die hoek.

Op basis van de antwoorden die ze kregen van de VSSE en de ADIV concludeert het Comité I dat de mogelijke compromittering van de door de diensten gebruikte apparatuur respectievelijk miniem en uiterst miniem is. Ze merken wel fijntjes op dat het eigenlijk onmogelijk is om nog een degelijk onderzoek uit te voeren. De toestellen van Crypto AG zijn namelijk niet meer beschikbaar voor onderzoek. Men kan met andere woorden niet meer onderzoeken of en in welke mate die toestellen gecompromitteerd waren.

Ondanks deze op het eerste zicht geruststellende inschatting stelt het comité in haar eindconclusie dat de kans groot is ‘dat België het voorwerp heeft uitgemaakt van interceptie-activiteiten van haar gecrypteerde (sic) berichten door het SIGINT-netwerk Maximator.’ (SIGINT staat voor Signals Intelligence, nvdr.).

Ook is het duidelijk dat beide inlichtingendiensten pas op de hoogte waren van het bestaan van Maximator, operatie Rubicon en de problemen met materiaal van Crypto AG nadat de verhalen in de pers verschenen. Het Comité I concludeert misnoegd dat België opzettelijk buiten Maximator werd gehouden.

SIGINT-kneusje België

In april 2020 verscheen in het gerenommeerde vakblad Intelligence and National Security een artikel van de Nederlandse Bart Jacobs. Jacobs is als hoogleraar verbonden aan de Nijmeegse Radboud Universiteit. Hij houdt er zich bezig met digitale veiligheid en privacy.

In het artikel met als titel Maximator: European signals intelligence cooperation, from a Dutch perspective staan een aantal opmerkingen die een beter licht werpen op het waarom van het uitsluiten van België uit Maximator. Het Comité I haalt Jacobs’ artikel zelf aan in haar rapport en citeert ook de relevante passages. ‘Bepaalde landen werden met opzet uitgesloten (van het netwerk) omdat ze binnen de Maximator-alliantie werden beschouwd als zijnde landen met een gebrek aan relevante (Signal/crypto) ervaring en/of expertise. (…) België is de opvallende uitzondering in Noordwest Europa; het werd niet uitgenodigd om lid te worden van Maximator door haar gebrek aan SIGINT- (en COMSEC-) capaciteiten’.

Verder verwijst het comité naar een verduidelijking van Jacobs in een voetnoot: ‘Als gevolg hiervan werd België niet beschermd door de activiteiten van Maximator-leden en kocht het (minder beveiligde) CRYPTO AG-apparatuur, wat ook blijkt uit de gelekte BND- en CIA-documenten. Op die manier werd haar communicatie die verliep over AG CRYPTO-toestellen afgeluisterd door zowel het FIVE EYES-verband als door het Maximator-samenwerkingsverband.’

Maar de echte verklaring voor het uitsluiten van België staat in het vervolg van de voetnoot, dat door het comité niet wordt meegegeven: ‘België gebruikte Aroflex zowel voor NATO- als interne communicatie. (…) België’s cryptografische gedrag en discipline waren problematisch. Zo compromitteerden de Belgen hun eigen communicatie minstens in één geval door een basisfout in het key-management. Daarenboven vervingen ze op eigen initiatief (het veilige) Aroflex door (het onveilige) Beroflex voor de eigen diplomatieke communicatie. (…) Er bestaat een sterk contrast met de Belgische academische crypto-gemeenschap (vooral aan de KU Leuven) die volgens de hoogste internationale standaarden opereert en de globale encryptie- en hashingstandaarden AES en SHA-3 produceert.’

Aroflex en Beroflex zijn door het Nederlandse Philips geproduceerde versleutelingsmachines. Terwijl het oorspronkelijke Aroflex veilig was en door de NAVO goedgekeurd, was dat niet geval voor het commerciële Beroflex voor civiel gebruik. De eenzijdige overschakeling van de Belgische diensten naar Beroflex werd door de leden van Maximator als onvergeeflijk beschouwd. Eigenlijk worden de Belgische inlichtingen- en veiligheidsdiensten hier weggezet als de kneusjes in het inlichtingenmilieu.

Diplomatieke discretie

Volgens inlichtingen- en veiligheidsexpert Kenneth Lasoen, auteur van Geheim België, klopt de gegeven verklaring voor het uitsluiten van België maar ten dele. ‘De oorspronkelijk leden van Maximator hebben destijds overwogen om ook België bij de alliantie te betrekken. Uiteindelijk heeft men om twee redenen gekozen dit niet te doen. Ten eerste – zoals al aangehaald in het rapport – omdat er serieuze twijfels bestonden over de cryptografische discipline van de Belgen om de communicatie veilig te houden. De tweede reden blijft onvermeld: België was al het gastland voor zowel het NAVO-hoofdkwartier als de Europese instellingen die aan belang aan het winnen waren. Dat diplomatieke verkeer verliep via België. Vanuit een intelligence-perspectief was het dus nuttiger om België te bespioneren in plaats van het bij Maximator te betrekken.’

‘Daar komt bovenop dat door haar specifieke positie de kans dat de Belgische regering zou weigeren om mee te stappen in dit verhaal te groot was. Dat is ook begrijpelijk. Als dit verhaal ooit zou uitkomen – wat nu ook gebeurd is – zou België elke diplomatieke geloofwaardigheid als gastland verliezen. Ik denk dat die inschatting correct was en dat een Belgische regering dit risico nooit zou hebben aanvaard.’

Lasoen verduidelijkt het wantrouwen over het gebrek aan cryptografische discipline. ‘Dat is zowel gebaseerd op de Belgische mentaliteit als op een gebrek aan middelen. Dat laatste is de rode draad in de geschiedenis van de Belgische inlichtingendiensten. Al hebben de Amerikanen bij de keuze voor België als gastland voor de NAVO hoge eisen gesteld op het gebied van contraspionage en beveiliging. België heeft daaraan voldaan, maar de Britten en de Amerikanen hebben een groot deel van de factuur opgepikt. Een deel van de salarissen van de mensen van de Staatsveiligheid werd destijds – dit is al lang verleden tijd – door de Amerikanen betaald. Wat betekende dat die meer voor de Amerikanen dan voor de Belgen werkten. Met alle gevolgen van dien.’