Russische hackers ontregelden Nederlandse windparken: hoe kwetsbaar is het stroomnet?

Een Russische hack bij een Duitse windturbineproducent had in 2022 ook gevolgen voor Nederlandse windmolens. Sommige stonden maandenlang stil, waaronder die van windmolenpark Oude Maas. Een reconstructie van hoe Europa’s meest gezochte criminelen een hack uitvoerden met potentiële risico’s voor de stroomvoorziening op ons continent. Hoe zit het met de cyberveiligheid van onze kritieke infrastructuur? En wie houdt die in de gaten?

Daags na de Russische invasie van Oekraïne in februari 2022 plaatst hackersgroep Conti twee berichten op zijn website. Normaliter zijn dat zakelijke mededelingen zoals ‘wij persen bedrijvennetwerk X of Y af’, maar na de invasie zijn de digitale kattenbelletjes anders: Conti steunt het Kremlin en dreigt de kritieke infrastructuur van landen die Rusland dwarszitten aan te vallen. Daar vallen banken, drinkwater- of elektriciteitsbedrijven onder.

Conti is de enige grote kongsi binnen de Russische cybercriminele elite die politiek geëngageerd is. Het collectief is onderdeel van het grotere cybercrimineel netwerk Wizard Spider, een soort digitale matroesjka van vanuit Rusland opererende hackersgroepen met obscure benamingen als Ryuk, Emotet, IcedID en Trickbot.

Conti houdt woord: zes weken na de digitale kattenbelletjes verlamt een ransomware-aanval het computernetwerk van de Duitse windturbinebouwer Nordex. Bij een ransomware-aanval sturen cybercriminelen een op het oog normale e-mail met een link. Door op de link te klikken, wordt schadelijke software geactiveerd die de deur openzet voor de aanvallers. Ze stelen informatie, doen het netwerk op slot en vragen losgeld (ransom) om het netwerk weer toegankelijk te maken.

De computers van Nordex staan in verbinding met duizenden windturbines over de hele wereld

Nordex behoort tot de Europese top. Het miljardenbedrijf onderhoudt momenteel 12.800 windturbines met een totale capaciteit van 41 gigawatt (GW). In 2024 had het volgens cijfers van brancheorganisatie WindEurope een Europees marktaandeel van ruim 10%. Nordex levert wereldwijd in veertig landen, waarvan zestien in Europa. Ook in Nederland staan de windmolens van de turbinebouwer.

Volgens Nordex’ woordvoerder maakt 70% van de klanten gebruik van hun onderhoudsdiensten. Het bedrijf verzamelt daarvoor informatie over bijvoorbeeld koeling, trillingen, toerental en geluid. De computers bij Nordex staan dus in verbinding met duizenden windturbines over de hele wereld. Die zijn op hun beurt weer verbonden met de eigenaren; energiemaatschappijen of coöperaties.

Wat gebeurde er bij de Nordex-hack? Wat was de impact op de windparken? Wat deden betrokken instanties? Hoeveel was er bekend over Conti? Vers Beton en Small Stream Media reconstrueerden de gebeurtenis.

“Hello, we are Conti Group”

Op de ochtend van 31 maart 2022 rapporteren IT-medewerkers een onbekende activiteit op het Nordex-netwerk in de Duitse havenstad Rostock. Conti’s cybercriminelen zijn het netwerk binnengedrongen. Ze downloaden meer dan 750 GB aan gevoelige bedrijfsinformatie, vergelijkbaar met miljoenen pagina’s Word-documenten. De gestolen informatie bevat onder andere data die vallen onder Europese privacywetgeving, zoals persoonsgegevens van verschillende locaties, blijkt uit documenten van de privacywaakhond in de deelstaat Mecklenburg-Vorpommern.

Daarna versleutelt Conti het netwerk. Een achtergelaten digitaal briefje geeft instructies hoe hen te bereiken. De cybercriminelen eisen 17,5 miljoen euro om alles weer toegankelijk te maken. Een belangrijke speler in de energietransitie heeft een probleem.

De hackers eisen 17,5 miljoen euro om het netwerk weer toegankelijk te maken

Op 2 april schrijft Nordex in een persbericht dat de inbraak in een vroeg stadium werd opgemerkt. Beveiligingsexperts proberen verspreiding van de ransomware te voorkomen.  Uit voorzorg is het hele IT-netwerk afgesloten. Dezelfde dag meldt het bedrijf het incident bij de Duitse autoriteiten, waaronder cyberwaakhond Bundesamt für Sicherheit in der Informationstechnik (BSI).

Tien dagen later volgt een update. Om alle windparken die in bedrijf zijn te beschermen, schakelde Nordex preventief de externe toegang tot de IT-infrastructuur van het bedrijf uit, waaronder de systemen die vanuit Duitsland windturbines elders op de wereld monitoren. Ondanks de ingreep blijven de bestaande windparken energie opwekken. De communicatie tussen hen, netbeheerders en energiehandelaren wordt niet verbroken. De aanval raakt alleen het bedrijfsnetwerk.

Nordex weigert de 17,5 miljoen losgeld te betalen, waarna Conti de hack half april bekendmaakt. Waar de hackersgroep met naam en toenaam meldt dat het om een ransomware-aanval gaat, communiceert Nordex daar zelf nooit publiekelijk over. Zelfs niet in de jaarcijfers of andere openbare documenten voor investeerders en aandeelhouders. Het is slechts een ‘cyberincident’.

Hoeksche Waard

De gevolgen van de ransomware-aanval zijn grensoverschrijdend. Ook Nederland wordt geraakt. Onder de rook van Rotterdam ondervindt windpark Oude Maas opstartproblemen. Het spiksplinternieuwe park in de Hoeksche Waard bestaat uit vijf windturbines op de oever van de Oude Maas tegenover Barendrecht, en staan op het punt groene energie te gaan produceren voor 24.000 huishoudens. De hack bij Nordex gooit echter roet in het eten. In plaats van een danse à deux met de wind, staan de turbines stil tussen de wuivende wilgen in het polderlandschap langs het gestaag stromende water. Door de hack kan Nordex de laatste software-updates niet installeren om onder meer de koeling en het toerental af te stellen. De opening van windpark Oude Maas moet worden uitgesteld.

De gevolgen van de ransomware-aanval zijn grensoverschrijdend. Ook de regio Rotterdam wordt geraakt

Naast de softwareproblemen zijn er ook onderdelen kwijt. Nordex wist niet waar de laatste turbine-onderdelen waren, vertelt Ronald Kloet, directeur van Renewable Factory, dat samen met Eneco eigenaar is van windpark Oude Maas. Het windpark kan pas opstarten als deze problemen zijn opgelost. De schade bedraagt enkele tonnen. “Dit heeft de BV Nederland groene energie gekost,” vertelt Kloet, “en ons een centje.”

Het duurt maanden voordat alles weer in orde is. Net als bij twee andere nieuwe Nederlandse windparken: Spuisluis aan het Noordzeekanaal en Bommelerwaard A2 ten zuiden van Zaltbommel, dat medio april 2022 ook de oplevering moet uitstellen. Het leidt tot stress bij initiatiefnemer Hein de Kort: “We moesten al rente en aflossingen betalen en hadden een leveringsverplichting aan Greenchoice.” Greenchoice heeft weer verplichtingen aan haar klanten, maar doordat het windpark geen stroom kan leveren, moet het energiebedrijf stroom inkopen op de dagmarkt. De Kort: “Dat is vaak dure stroom. Uiteindelijk betaalt de consument de rekening.” Hetzelfde geldt voor windpark Oude Maas; dat heeft ook leveringsverplichtingen.

Eind juli 2022 meldt windpark Spuisluis aan het Noordzeekanaal vlakbij Tata Steel eveneens uitstel. Spuisluis is deels eigendom van Eneco, dat bevestigt dat de oplevering vertraging opliep door ‘een incident’ bij Nordex. De energieleverancier wil niet vertellen of het om een ransomware-aanval ging en of het Nordex aansprakelijk heeft gesteld voor de geleden schade. “Dat is tussen Nordex en Eneco.”

Internationale problemen

Het ‘cyberincident’ betekent dat het bedrijfsnetwerk van Nordex vervangen moet worden. Financiële cijfers zijn ontoegankelijk. Net als de duurzaamheidsgegevens. Nordex is te laat met de eerstekwartaalcijfers voor 2022, waarop de Duitse beurs het aandeel van twee technologiebeurzen schrapt tot medio september. Aandeelhouders verliezen geld, winst verdampt en Nordex vreest rode cijfers.

De productie van turbine-onderdelen in Rostock ligt weken stil. Maar ook Spaanse fabrieken in de provincie Navarra worden getroffen. En Nordex worstelt om producten vanuit Turkije naar Centraal-Europa te verzenden. Er ontstaat een tekort aan onderdelen als chips en schakelkasten. Informatie over de hinder bij Europese windparken blijft oppervlakkig. Er waren vooral opstartproblemen voor nieuwe windparken, het merendeel in Duitsland. Over Nederland zegt Nordex niks.

Soms overlappen ransomware-groepen met overheden, of ze werken samen

De Rotterdamse netbeheerder Stedin noemt cyberaanvallen een belangrijk risico voor betaalbare duurzame energie en de energietransitie. “Hackers aangestuurd door landen en cybercriminelen zijn een van de veroorzakers”, schrijft Stedin in het jaarverslag van 2022. De Algemene Inlichtingen- en Veiligheidsdienst (AIVD) waarschuwt al langer. In 2019 rapporteert de dienst een “kruisbestuiving met criminele aanvalsmiddelen waarbij landen ransomware inzetten bij digitale sabotageaanvallen.” De Nationaal Coördinator Terrorisme en Veiligheid (NCTV) vindt gijzelsoftware een risico voor de nationale veiligheid. Zonder man en paard te noemen schrijft de organisatie in 2021: “Soms overlappen ransomware-groepen met overheden. Of ze werken samen.” Het is een bron van zorg.

Toch komt de Nederlandse politiek niet direct in actie na de ransomware-aanval. Half augustus 2022 reageert toenmalig minister van Klimaat en Energie Rob Jetten geruststellend op Kamervragen van Joost Eerdmans (JA21) over de hack. Volgens Jetten was er geen vuiltje aan de lucht, omdat reeds operationele windparken energie bleven leveren. “De digitale aanval op Nordex trof de kantoorautomatisering en had geen impact op de hardware die toegang heeft tot de besturing van de windmolens”, antwoordt hij. “Nordex is slechts een toeleverancier van het windpark [Oude Maas, red.].”

Conti is een Russische hackersgroep met nauwe banden met het Kremlin

Jetten noemt alleen het windpark Oude Maas. Een overzicht van cyberaanvallen op de windenergiesector heeft hij niet. Dat is vreemd, want dan is al bekend dat meer nieuwe Nederlandse windparken met Nordex-windturbines opstartproblemen ondervinden.

Op Eerdmans vragen over wie de daders zijn van aanvallen op systemen en netwerken van Nederlandse windturbines in 2022, blijft Jetten het antwoord schuldig. Hij heeft die informatie niet. In België weet parlementariër Tom Ongena begin september 2022 wél meer. De gevolgen voor windpark Oude Maas inspireren hem tot vragen in de Senaat over de veiligheid van Belgische windturbines. Hij noemt op basis van de toenmalige actualiteit “Conti een Russische hackersgroep met nauwe banden met het Kremlin.” Blijkbaar is deze informatie onbekend bij Nederlandse instanties zoals de NCTV, het Nationaal Cyber Security Centrum (NCSC) en het Ministerie van Justitie en Veiligheid wanneer zij in juli en augustus 2022 meelezen met conceptversies van de beantwoording van de Kamervragen.

Worst case scenario

In 2021 onderkent de NCTV het gevaar van ransomware voor industriële controlesystemen: “Indien toegang tot de procesautomatisering via de kantoorautomatisering loopt, stelt dit de aanvaller in staat om ook de kritieke processen te bereiken om daar ransomware te installeren.” Met andere woorden: ransomware kan via de kantoorautomatisering de besturing van bijvoorbeeld windturbines bereiken en lamleggen. Dit staat haaks op Jettens geruststellende uitspraken op de Kamervragen medio augustus.

Omdat Nordex het computernetwerk uit voorzorg afsloot van de buitenwereld, voorkwamen ze het ergste scenario. Want als de ransomware de aansturingssoftware had bereikt en turbines waren uitgevallen, zou dit direct het Europese elektriciteitsnetwerk beïnvloeden. Het net kan de weggevallen stroom van één windpark opvangen, maar als meerdere windparken van een grote speler zoals Nordex tegelijkertijd uitvallen, is de kans op blackouts groter.

Onderzoek van cybersecurity-expert Willem Westerhof van Secura geeft een idee wat daarvoor nodig is. In 2017 onderzocht hij het effect van het plotseling uitvallen van grote hoeveelheden zonne-energie op het Europese net. Wat blijkt? Als er 3 tot 5 GW aan stroom wegvalt, ontstaat er een serieuze calamiteit, zoals een – lokale – blackout. Ter illustratie: 3 tot 5 GW staat gelijk aan 3 tot 5 grote elektriciteitscentrales die ongeveer 3 tot 5 miljoen huishoudens van stroom voorzien.

Het ov kwam tot stilstand, vliegtuigen bleven aan de grond, hulpdiensten ondervonden communicatieproblemen

Drie ‘gewone’ incidenten ondersteunen Westerhofs bevindingen. De eerste vond plaats in de winter van 2021, waarbij het Europese elektriciteitsnetwerk bijna crasht. Een verschil in vraag en aanbod van stroom van 5,8 GW dwong de Europese netbeheerder ENTSO-E tot noodmaatregelen. Tijdens het Kerstfeest zorgde de warmte op de Balkan voor een lagere elektriciteitsvraag dan gebruikelijk, terwijl een koudere periode in Noordwest- en Centraal Europa de vraag naar elektriciteit juist deed stijgen. Dit verschil in vraag en aanbod leidde tot een disbalans op het Europese netwerk. De reservecapaciteit van het elektriciteitsnetwerk was onvoldoende, en uiteindelijk werden het noordelijke en zuidelijke deel gesplitst. Een ongebruikelijke maatregel, maar zo voorkwam ENTSO-E stroomuitval in heel Europa.

Dan vorige zomer. Toen leidde een vermogensverlies van 2,2 GW op het Zuidoostelijke netwerk tot een (gedeeltelijke) black-out in Albanië, Bosnië-Herzegovina, Montenegro en Kroatië. Hoewel domino-effecten binnen Europa uitbleven, viel midden in een hittegolf van 40 graden plus massaal de airconditioning uit. Stoplichten weigerden dienst, verkeerschaos volgde. Restaurants, bars en supermarkten sloten de deuren. Pompen konden geen water meer tappen. Onder andere de stad Sarajevo zat uren volledig zonder stroom.

De gevolgen van de grootschalige stroomstoring afgelopen april op het Iberisch schiereiland zijn vergelijkbaar. Het openbaar vervoer kwam tot stilstand. Vliegtuigen bleven aan de grond. Hulpdiensten ondervonden communicatieproblemen. De chaos leek veroorzaakt door een vermogensverlies van 2,2 GW, mogelijk bij zonnepanelen. Het onderzoek loopt nog.

Eind 2021 bezit Nordex in Europa ongeveer 17 GW aan windenergie op land, vergelijkbaar met 17 grote energiecentrales die 17 miljoen huishoudens van stroom kunnen voorzien. Gezien bovenstaande voorbeelden, genoeg om voor serieuze problemen te zorgen als dit plotseling wegvalt.

Rondslingerende wachtwoorden

Westerhof durft zijn hand er niet voor in het vuur te steken dat hackers via kantoorautomatisering geen kwaad kunnen: “Je zou info kunnen vinden over de aansturing van industriële installaties. Ergens slingert bijvoorbeeld een lijstje wachtwoorden, of je stuit op info over medewerkers waardoor je gerichte phishingmails kunt sturen om later door te dringen in de operationele technologie van het bedrijf.”

Bij gestolen data is er sprake van een datalek. Zijn daarbij persoonsgegevens buitgemaakt zoals wachtwoorden of info over medewerkers, dan moeten bedrijven dit melden. Uit de melding die Nordex deed bij de privacywaakhond van de Duitse deelstaat Mecklenburg-Vorpommern, blijkt dat Conti persoonsgegevens stal van Nordex-medewerkers uit verschillende landen, waaronder kopieën van identiteitskaarten. Om welke privacygevoelige het verder gaat blijft onduidelijk, veel informatie is zwartgelakt.

In de jaren na de hack neemt Nordex aanvullende cybersecuritymaatregelen. Het isoleert de toegang tot windparken van het centrale deel van het computernetwerk dat alle IT met elkaar verbindt. Een woordvoerder stelt dat er tijdens de ransomware-aanval “op geen enkel moment een risico was voor de operationele systemen.” Volgens hem zijn de computernetwerken die windturbines monitoren en beheren opgedeeld in van elkaar geïsoleerde delen. Denk aan brandwerende deuren, die in het geval van een cyberaanval voorkomen dat de ‘brand’ uitslaat naar andere delen van het netwerk. Het aanwezige cybersecuritycertificaat (ISO 27001) onderstreept volgens de woordvoerder de cyberveiligheid van het bedrijf.

“Als ik de genomen maatregelen lees, zie ik dat ze industry best practices [algemeen geaccepteerde adequate veiligheidsstandaarden, red.] aan het implementeren zijn. Dat betekent ook dat ze vóór dat moment duidelijk hun zaken nog niet op het niveau van volwassenheid hadden wat wenselijk is”, schrijft Roland van Rijswijk-Deij in reactie op de maatregelen. De professor Internetveiligheid en wetenschappelijk directeur van het Twente University Centre for Cybersecurity Research vervolgt: “Ze hebben een flinke wake-up call gehad.”

Wirwar van toezicht

Nederland kent een wirwar aan organisaties die betrokken zijn bij cyberveiligheid. Vanuit de overheid coördineert de NCTV de digitale weerbaarheid van Nederland, onder andere met de AIVD, Militaire Inlichtingen- en Veiligheidsdienst (MIVD) en het NCSC. De Rijksdienst Digitale Infrastructuur (RDI) controleert de cybersecurity bij organisaties.

Na de hack sprak het NCSC verschillende energiemaatschappijen die er indirect last van hadden. Verder was er contact met relevante nationale en internationale partijen om dreigingsinschattingen voor Nederland te kunnen maken. De woordvoerder van NCSC − tevens de woordvoerder van de NCTV − wijst naar de Duitse autoriteiten als de verantwoordelijke instanties voor onderzoek naar de ransomware-aanval. Behalve meelezen tijdens de beantwoording van de Kamervragen heeft de NCTV geen actieve rol en verwijst ook naar onze oosterburen.

De AIVD reageert niet, omdat onze vragen gaan over de werkwijze, het kennisniveau en de samenwerkingsverbanden van de dienst. Wat de woordvoerder wel kan zeggen is dat de AIVD “activiteiten van statelijke actoren onderzoekt”, zoals Rusland en China.

De RDI is verantwoordelijk voor het toezicht op kritieke processen binnen de energiesector. De dienst controleert of bedrijven hun netwerk- en informatiesystemen goed beveiligen onder het mom: voorkomen is beter dan genezen. De RDI let daarbij onder andere op risico’s op grote maatschappelijke en economische schade, zogenoemde systeemrisico’s. Volgens de RDI is het Nordex-incident te bestempelen als een potentieel systeemrisico, omdat Nordex een van de vier grote windturbineleveranciers is in Europa. Een incident kan tot grote effecten elders leiden, bijvoorbeeld een stroomstoring die kan overslaan naar banken of betaalsystemen.

De veiligheid van Nederlandse windparken is afhankelijk van buitenlands toezicht

Maar in de beoordeling van de Nordex-hack is de verstoring van de stroomproductie leidend. Bestaande windparken bleven energie produceren, dus verder Nederlands onderzoek was onnodig. Omdat het hoofdkantoor van Nordex in Duitsland staat, is de Duitse cyberwaakhond verantwoordelijk voor de handhaving van Europese cyberwetgeving en het onderzoek. Oftewel, de BSI is verantwoordelijk voor toezicht op de cyberveiligheid van kritieke processen binnen de Duitse energiesector. Ook wanneer deze grenzen overschrijden. Dit maakt de veiligheid van Nederlandse windparken afhankelijk van buitenlands toezicht.

De Duitse cyberwaakhond BSI deelt de resultaten niet automatisch. “Nationale toezichthouders werken nog weinig samen in het toezicht op Europese bedrijven die grensoverschrijdend werken”, legt Jasper Nagtegaal uit, directeur Digitale Weerbaarheid bij de RDI.

Navraag bij de Duitse cyberwaakhond leidt tot een verrassing: “De BSI was niet nauw betrokken bij het incident, dat vrijwillig werd gemeld.” Een incident hoeft pas gemeld te worden als het onder meer leidt tot een x-aantal uren elektriciteitsuitval die een x-aantal huishoudens treft. Omdat de hack bij Nordex daar niet aan voldeed, keek niemand er verder naar. De RDI vindt dat problematisch: veel incidenten worden gemist waardoor er niks van wordt geleerd. Daarom probeert de dienst bedrijven te bewegen kleine incidenten met ze te bespreken.

De BSI laat weten: “Het slachtoffer [Nordex, red.] valt in Duitsland niet onder regelgeving over kritieke infrastructuur.” Opvallend: ondanks dat Nordex voor onderhoud een verbinding heeft met 70% van de operationele windturbines, staat het niet onder toezicht van de Duitse cyberwaakhond BSI, die naar Nordex zelf verwijst voor het waarom. Nog opvallender: Deutsche Windtechnik onderhoudt óók wereldwijd windparken, maar lijkt in tegenstelling tot Nordex wél als kritieke infrastructuur te worden aangemerkt. Vragen over welke specifieke bedrijven vitale infrastructuur zijn, beantwoordt de BSI niet om veiligheidsredenen.

Ironisch genoeg meldt Deutsche Windtechnik in juni 2024 trots op zijn website dat ze de eerste controle van de BSI overleefd hebben. Terwijl op 11 april 2022 – nog geen twee weken na de aanval bij Nordex – een ransomware-aanval het onderhoudsbedrijf trof, waardoor het twee dagen geen informatie op afstand kon uitlezen van ruim 2.000 turbines. De dader? Black Basta, een spin-off van Conti, dat zich voorjaar 2022 opsplitste in nieuwe hackersgroepen binnen het Wizard Spider netwerk.

Duister huwelijk

Een land zou in stilte werken en het netwerk niet versleutelen, zegt Tim Philip Schäfers, een Duitse cybersecurity-expert, over de Nordex-hack. Desondanks sluit hij interesse van buitenlandse inlichtingendiensten voor de gestolen informatie niet uit. Dit risico is de grote onbekende in het verhaal.

Al in 2017 wijst Alexander Klimburg, toenmalig programmadirecteur bij het Den Haag Centrum voor Strategische Studies (HCSS), op de relatie tussen de Russische Federale Veiligheidsdienst FSB en cybercriminelen. Volgens Klimburg bestaat het duistere huwelijk sinds 2007. Het is een constante in het offensieve cyberprogramma van Rusland, schrijft hij. De buitenlandse inlichtingendienst van Estland is dezelfde mening toegedaan in haar jaarrapport 2018. Ook de via Twitter gelekte chatberichten van hackersgroep Wizard Spider van eind februari 2022 wijzen op banden met het Kremlin. Informatie die ruim voor de beantwoording van de Kamervragen door Jetten bekend is.

Europol plaatste de Nordex-hackers in mei 2025 op de most wanted-lijst

Het hogere management van Wizard Spider heeft contact met de FSB, de voormalige KGB. Leden van Wizard Spider komen bij elkaar in FSB-kantoren. Onder andere de FBI wordt in oktober 2024 nog explicieter en stelt dat ene Vitaly Kovalev contact heeft met Russische inlichtingendiensten en andere beruchte cybercriminelen die werken voor het Kremlin. Kovalev is betrokken bij Trickbot en Conti, onderdelen van Wizard Spider. Voor Europol reden om Kovalev afgelopen mei op de internationale opsporingslijst te plaatsen, samen met andere Russische hackers verbonden aan Wizard Spider.

In ruil voor bescherming vormen groepen als Wizard Spider een talentenpool voor operaties van de staat, blijkt uit onderzoek van de Stanford University. Ransomware-aanvallen zijn politiek gemotiveerd. De onderzoekers concluderen: Russische groepen zoals Conti voeren voorafgaand aan verkiezingen in grote democratieën meer ransomware-aanvallen uit. Het verlammende effect op westerse bedrijven past bij Ruslands geopolitieke belangen. Ransomware bedreigt de nationale veiligheid van westerse landen, schrijven ze.

Internationale opsporingsdiensten bundelen al jaren de krachten om cybercriminaliteit tegen te gaan. Het Team High Tech Crime en het Openbaar Ministerie in Rotterdam geven geen uitsluitsel of de ransomware-aanval bij Nordex onderdeel is van onderzoek. De politie en het OM in Hamburg onderzoeken de hack wel, zeggen zij.

En het onderzoek naar Wizard Spider? Dat loopt nog. Want waar in de Hoeksche Waard het strakke staal van windmolens contrasteert met de grillige vormen van essen en schietwilgen, levert de gure oostenwind die de Oude Maas knecht en laat kolken niet alleen windenergie op. Er waaien ook cyberrisico’s uit diezelfde windstreek.

Dit artikel is een samenwerking van Small Stream Media met Vers Beton en werd mogelijk gemaakt met steun van het Fonds Bijzondere Journalistieke Projecten en het JournalismFund Europe.

 

Over dit onderzoek

Naast de genoemde personen en instanties in het artikel, stelden we vragen aan zestien andere bronnen. Vanwege de gevoeligheid van de informatie, konden of wilden veel niet of slechts in algemeenheden antwoorden. Verder spitten we stapels openbare documenten door zoals jaarverslagen, rapporten, persberichten of de beantwoording van Kamervragen. In Nederland deden we drie Woo-verzoeken die weinig opleverden vanwege de veiligheid van organisaties en systemen.

De AIVD gaf op 19 specifieke vragen een algemene reactie. De dienst wilde niet bevestigen of ontkennen dat ze met collega's van de Duitse veiligheidsdienst naar het incident gekeken hebben. Vragen daarover werden niet beantwoord. Hetzelfde geldt voor de NCSC (26 vragen) en de NCTV (25 vragen). Het Team High Tech Crime van de politie gaf geen reactie op onze 14 vragen. Eneco werd 17 vragen gesteld, waarna een algemene reactie volgde. Alle Nederlandse instanties wijzen verder naar Duitsland, omdat daar het hoofdkantoor van Nordex staat.

De Duitse cyberwaakhond BSI stelden we in eerste instantie 30 vragen. Op geen enkele kwam antwoord, op vervolgvragen werd summier gereageerd. Nordex gaf een algemene reactie op onze 47 vragen. Ons verzoek om een interview wilden zij niet inwilligen. Het Duitse Openbaar Ministerie in Hamburg was evenmin mededeelzaam. In Duitsland deden we twee Woo-verzoeken. Eén bij de BSI, maar deze werd afgewezen wegens veiligheidsredenen.

De Britse National Crime Agency gaf geen inhoudelijke reactie. Net als het Britse NCSC, de Foreign, Commonwealth & Development Office en de Amerikaanse Treasury, allen betrokken bij het Amerikaans-Britse onderzoek naar leden van Wizard Spider. Ook de onderzoekers van Stanford University wilden niet inhoudelijk reageren op onze 16 vragen over hun onderzoek.