Rijksmuseum Twenthe over miljoenendiefstal: 'Wij hebben netjes betaald'

Bij een grote aanschaf door Rijksmuseum Twenthe hebben hackers de betaling van bijna 3 miljoen euro gestolen. Het museum in Enschede beweert dat het geld gewoon is overgemaakt. "Maar het geld is niet op de juiste plek aangekomen", zegt museumdirecteur Arnoud Odding.

Rijksmuseum Twenthe kocht in de zomer van 2018 het bewuste kunstwerk van de Londense kunsthandel Dickinson. Het gaat om een eeuwenoud werk van de Britse landschapsschilder John Constable. Het schilderij was eerder tentoongesteld op de de Maastrichtse kunstbeurs Tefaf .

Een maandenlange onderhandeling volgde, waarop er een akkoord kwam over de aankoopsom van 2,4 miljoen Britse pond (2,86 miljoen euro). De grootste aankoop in jaren van het museum in Enschede.

Toegang tot e-mailserver

Toen het geld werd overgemaakt, ging het mis: het betaalde geld kwam nooit aan bij de ontvanger, zo vertelt Odding aan RTL Z. "Wij hebben het bedrag gewoon netjes overgemaakt. Alleen is het niet op de juiste plek aangekomen."

Vermoedelijk hadden hackers toegang tot de e-mailserver van de verkopende kunsthandelaar uit Londen. Zij keken in het geheim mee bij de verkoop en sloegen toe op het moment van de aanschaf. Zo'n aanval heet ook wel een man-in-the-middle attack (MITM-attack).

"Dat is althans wat de Engelse kunsthandel zegt", vertelt Odding. "Ik ben geen techneut. Maar na uitgebreid onderzoek in onze systemen blijkt dat er niks fout zit. Ons systeem is up-to-date en we werken geheel veilig. We hebben aanwijzingen dat dit bij de kunsthandel niet het geval was."

Wat is een man-in-the-middle attack?

Bij een MITM-aanval wordt communicatie tussen twee partijen digitaal onderschept. Denk naast e-mails bijvoorbeeld aan berichten tussen mobiele telefoons. Een hacker kijkt stiekem mee, doet zich daarna voor als rechtmatige verzender of ontvanger en houdt zo beide partijen voor de gek.

'Geld verdween naar Hongkong'

De zaak ligt inmiddels voor de Britse rechter. Bloomberg-verslaggever Ellen Milligan, die aanwezig was bij een zitting in Londen, meldt dat het geld zou zijn overgemaakt naar een bankrekening in Hongkong.

Volgens de Britten is het Nederlandse museum slordig geweest. De advocaat van Dickinson, Bobby Friedman, vertelde in de rechtbank dat Rijksmuseum Twenthe heeft nagelaten om de bankgegevens in een e-mail te controleren. 

"Het museum heeft, in plaats van de realiteit van de situatie te accepteren, gereageerd met een reeks hopeloze claims tegen Dickinson, in de hoop de schuld voor de misstap van het museum bij Dickinson neer te leggen", schreef Friedman in een verklaring aan de rechter.

Schilderij is in Nederland

Het Constable-schilderij is al in bezit van het Enschedese museum. Volgens de advocaat van Dickinson moet het museum het werk met de titel 'A View of Hampstead Heath: Child's Hill, Harrow in the Distance, 1824' teruggeven, omdat er niet is betaald.

Hoewel de rechtbank volgens Bloomberg de eerste schadeclaim van het museum heeft afgewezen, komt er volgens Rijksmuseum Twenthe voorlopig geen definitieve uitkomst in de rechtszaak.

Odding: "Er moet uitgezocht worden wat er precies gebeurd is. We zijn nu achttien maanden bezig met de rechterlijke procedure. Het kan nog een hele tijd duren voordat de rechter de zaak inhoudelijk behandelt."

Update 31-1-2020 (15.15 uur): 

Rijksmuseum Twenthe heeft bij de rechter tevergeefs een poging gedaan om Dickinson te vervolgen voor nalatigheid. Dat zegt een woordvoerder van de Londense kunsthandel in een schriftelijke verklaring aan RTL Z.

"Het is jammer dat het museum niet de gebruikelijke stap heeft genomen om onafhankelijk te controleren of de bankgegevens die per e-mail zijn ontvangen echt waren. Dickinson heeft de rechter uitgelegd dat het niet is gehackt. De rechter heeft pogingen van het museum om Dickinson te vervolgen voor nalatigheid verworpen", stelt het bedrijf, dat ook nog een sneer uitdeelt aan het Nederlandse museum. "Gezien het verhoogde bewustzijn in Nederland over cybercriminaliteit, zijn we verrast dat het museum - een publiek gefinancierd orgaan - niet voorzichtiger was." 

Verder zegt Dickinson-directeur Emma Ward de situatie te betreuren voor de twee kunstinstellingen. Beide zijn volgens haar slachtoffer. "Dickinson hoopt dat deze zaak zal leiden tot meer bewustzijn en voorzorgsmaatregelen bij cyberdreigingen in de kunstgemeenschap", aldus Ward.