Rijksmuseum Twenthe over miljoenendiefstal: 'Wij hebben netjes betaald'

by

Bij een grote aanschaf door Rijksmuseum Twenthe hebben hackers de betaling van bijna 3 miljoen euro gestolen. Het museum in Enschede beweert dat het geld gewoon is overgemaakt. "Maar het geld is niet op de juiste plek aangekomen", zegt museumdirecteur Arnoud Odding.

Rijksmuseum Twenthe kocht in de zomer van 2018 het bewuste kunstwerk van de Londense kunsthandel Dickinson. Het gaat om een eeuwenoud werk van de Britse landschapsschilder John Constable. Het schilderij was eerder tentoongesteld op de de Maastrichtse kunstbeurs Tefaf .

Een maandenlange onderhandeling volgde, waarop er een akkoord kwam over de aankoopsom van 2,4 miljoen Britse pond (2,86 miljoen euro). De grootste aankoop in jaren van het museum in Enschede.

Toegang tot e-mailserver

Toen het geld werd overgemaakt, ging het mis: het betaalde geld kwam nooit aan bij de ontvanger, zo vertelt Odding aan RTL Z. "Wij hebben het bedrag gewoon netjes overgemaakt. Alleen is het niet op de juiste plek aangekomen."

Vermoedelijk hadden hackers toegang tot de e-mailserver van de verkopende kunsthandelaar uit Londen. Zij keken in het geheim mee bij de verkoop en sloegen toe op het moment van de aanschaf. Zo'n aanval heet ook wel een man-in-the-middle attack (MITM-attack).

"Dat is althans wat de Engelse kunsthandel zegt", vertelt Odding. "Ik ben geen techneut. Maar na uitgebreid onderzoek in onze systemen blijkt dat er niks fout zit. Ons systeem is up-to-date en we werken geheel veilig. We hebben aanwijzingen dat dit bij de kunsthandel niet het geval was."

Wat is een man-in-the-middle attack?

Bij een MITM-aanval wordt communicatie tussen twee partijen digitaal onderschept. Denk naast e-mails bijvoorbeeld aan berichten tussen mobiele telefoons. Een hacker kijkt stiekem mee, doet zich daarna voor als rechtmatige verzender of ontvanger en houdt zo beide partijen voor de gek.

'Geld verdween naar Hongkong'

De zaak ligt inmiddels voor de Britse rechter. Bloomberg-verslaggever Ellen Milligan, die aanwezig was bij een zitting in Londen, meldt dat het geld zou zijn overgemaakt naar een bankrekening in Hongkong.

Volgens de Britten is het Nederlandse museum slordig geweest. De advocaat van Dickinson, Bobby Friedman, vertelde in de rechtbank dat Rijksmuseum Twenthe heeft nagelaten om de bankgegevens in een e-mail te controleren. 

"Het museum heeft, in plaats van de realiteit van de situatie te accepteren, gereageerd met een reeks hopeloze claims tegen Dickinson, in de hoop de schuld voor de misstap van het museum bij Dickinson neer te leggen", schreef Friedman in een verklaring aan de rechter.