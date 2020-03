ENSCHEDE - Tientallen onsamenhangende mails die Centric-topman Gerard Sanderink stuurde aan journalisten blijken in werkelijkheid afkomstig te zijn van zijn vriendin, Rian van Rijbroek. Dat blijkt uit onderzoek van deze krant in samenwerking met vakblad Computable .

Uit het onderzoek blijkt dat de zelfverklaard cyberexpert Van Rijbroek een cruciale rol heeft in de bedrijfscommunicatie van ict-bedrijf Centric en zijn eigenaar, de Twentse ondernemer Gerard Sanderink. Dat is opmerkelijk. Het bedrijf met zo’n vierduizend man personeel en een omzet van ongeveer een half miljard euro, is verantwoordelijk voor cruciale data-stromen over personen en financiën bij Nederlandse gemeenten, banken, ziekenhuizen en andere instanties.

Onzin uitkramen

Van Rijbroek heeft geen formele functie binnen het bedrijf. Sinds Sanderink een relatie heeft met de 50-jarige Brabantse vecht hij aan de lopende band rechtszaken uit met voormalige topmensen. De rechtszaken hebben hem al miljoenen gekost en hij heeft ze allemaal verloren. Van Rijbroek werd bekend door een optreden in Nieuwsuur waar ze zich voordeed als wereldberoemde cyberhacker. Ze viel al snel door de mand omdat ze volgens echte kenners onzin uitkraamde. Het leverde haar het predicaat cybercharlatan op.

Sanderink stuurde nooit mails

De afgelopen maanden ontvingen ministers, accountants, advocaten, bedrijven en journalisten honderden mails van het mailadres van Gerard Sanderink. Ze waren ook ondertekend door ‘Ir. G.P. Sanderink, chairman of the board of directors’. Maar veel ontvangers vermoedden al langer dat de Centric-topman ze niet zelf schreef. Het Tweede Kamerlid Pieter Omtzigt stelde zelfs Kamervragen over het mailbombardement van ‘Sanderink’ aan de ministeries.

Het wantrouwen tegen de afzender was niet ongegrond. Sanderink liet in het verleden in interviews weten dat hij niet goed kon typen en daarom nooit zelf mails stuurde: dat liet hij altijd door zijn secretaresse doen. De geruchten werden steeds sterker dat eigenlijk Sanderinks nieuwe vriendin Rian van Rijbroek de afzender van de warrige mailbombardementen was.

Spelfouten

Onderzoek naar de inhoud van de mails wijst daar al op. De mails van ‘Sanderink’ vertonen qua opmaak en taalgebruik opmerkelijke overeenkomsten met oude mails, die bewezen van Van Rijbroek afkomstig zijn. Zo spelt ze in allebei vaak ‘is gebeurt’ foutief met een t en geeft ze na elke zin een harde return, waardoor alle zinnen onder elkaar in plaats van achter elkaar staan.

Deze krant ging daarom in samenwerking met ict-specialisten van vakblad Computable en een gespecialiseerd cybersecuritybedrijf op zoek naar technische aanwijzingen over de herkomst. Journalisten van verschillende media stelden daarvoor mails beschikbaar die ze van ‘Sanderink’ hadden ontvangen. Ook kregen de speurders de beschikking over een aantal mails die bewezen door Van Rijbroek zelf verstuurd zijn, vanaf het mailadres van haar bedrijf Mamomo, uit de tijd dat ze nog helemaal niet bevriend was met Sanderink.

Beveiligingscamera's

Al deze berichten bleken onweerlegbaar afkomstig van hetzelfde ip-adres. Dat blijkt gekoppeld aan een KPN-account, net als Van Rijbroeks mailadressen bij Mamomo. Ook blijken de beveiligingscamera’s aan de woning van Van Rijbroek in Veghel via dit ip-adres te functioneren. Het ip-adres linkt bovendien aan een incident in 2017. Toen verscheen het boek ‘De Wereld van Cybersecurity en Cybercrime’ van Van Rijbroek, in samenwerking met oud-minister Willem Vermeend.

Computable besteedde aandacht aan het boek en opmerkelijk genoeg regende het daarna zeer lovende recensies op de site. Die kwamen weliswaar van verschillende mailaccounts, maar Computable vond het enthousiasme toch verdacht en deed onderzoek. Ook toen bleek dat alle recensies van het ip-adres van Van Rijbroek zelf waren verstuurd. Computable heeft destijds de recensies verwijderd.

Geen commentaar

Onduidelijk is in hoeverre Sanderink op de hoogte is van de mails die uit zijn naam worden verstuurd. Tijdens rechtszaken en ook in telefoongesprekken gaf hij herhaaldelijk aan dat de daar besproken mails wel zijn standpunten vertegenwoordigden. Maar op vragen van deze krant over het frequente gebruik van zijn mailaccount door Van Rijbroek wil hij geen antwoord geven. Ook Van Rijbroek zelf reageerde niet op een verzoek om toelichting.

Kamerlid Pieter Omtzigt reageert verontrust. ‘Gezien dit bewijs ben ik zeer benieuwd wie nu effectief de bedrijven van Sanderink bestuurt.’ Het frustreert hem dat er geen antwoord komt op zijn ‘urgente vragen’ aan de regering.

Gerard Sanderink (links) en Rian van Rijbroek (rechts).

De speurtocht naar het digitale adres van Van Rijbroek in vijf stappen

De zoektocht naar de echte afzender van de mails van Gerard Sanderink was een wekenlange expeditie, met behulp van ervaren ict’ers van Computable. Ook kreeg deze krant bijstand van een gespecialiseerde data-analist van een bedrijf dat onder meer voor grote bedrijven en overheden werkt. De digitale speurtocht in vijf stappen.

1 – Eerste mail op 71-jarige leeftijd?

Het is al vanaf het begin verdacht dat we ineens mails krijgen van Gerard Sanderink zelf. In een interview uit 2003 met vakblad Computable zegt hij: „Ik heb geen computer thuis, zelfs niet op kantoor. Als ik een computer moet gebruiken gaat het ten eerste heel langzaam en ten tweede ben ik niet zo goed in typen. Ik heb ook geen zin om moeilijke dingen te gaan doen als ik het eenvoudiger kan regelen.”

Volledig scherm Fragment uit het interview met Sanderink in De Ondernemer van dinsdag 19 oktober 2004. © Foto DTCT In een interview in 2004 met deze krant staat ook een veelzeggende passage: „Secretaresse Jolanda de Groot komt een print van een mailtje brengen – aangezien Sanderink geen eigen pc heeft, ontvangt hij ook geen e-mail. Maar met een printje kan het ook.”

En de praktijk wees hetzelfde uit: deze krant had in de afgelopen jaren regelmatig contact met Sanderink, maar ontving nooit een mail van hem. Tot maandag 7 oktober 2019. Dan ineens landt in diverse mailbakken een schrijven, ondertekend door ‘Gerard Sanderink, ir. G.P. Sanderink, Chairman of the board of directors, Strukton Groep nv’.

Aanleiding is het verhaal over hem dat op 5 oktober in deze krant verscheen. Het is een vreemde mail: er is geen sprake van een doorlopend verhaal, want iedere zin begint op een nieuwe regel. Er staat een spelfout in: ‘is gebeurt’. Sanderink zegt dat het artikel smadelijk is voor ‘mijzelf, Rian van Rijbroek en voor onze ondernemingen’. Dat ‘onze’ is raar, want Van Rijbroek heeft formeel geen enkele functie bij zijn bedrijven. Verder staat in de mail een hyperlink naar het gewraakte verhaal. Ook dat is een opmerkelijke prestatie voor een man die tot zijn 70ste nooit een mail verstuurde.

2 Het ip-adres is niet van Strukton

De redactie gaat op zoek naar de werkelijke afzender. Aan elke normaal verstuurde mail hangt een databestand waarop alle gegevens staan over zender en ontvanger. Dat bestand is niet zichtbaar in de mail zelf, maar kan simpel worden opgevraagd. In deze zogeheten metadata staan ook de ip-adressen van zender en ontvanger. Een IP (Internet Protocol)-adres is een cijfercode waardoor computers op het internet elkaar kunnen herkennen, een soort telefoonnummer dus. Bedrijfscomputers hebben een ip-adres dat is gekoppeld aan de bedrijfsnaam. Thuiscomputers hebben dat niet: daar kun je aan het ip-adres alleen zien wie de internetprovider is. Maar dus niet wie de eigenaar of gebruiker van de computer is of waar die woont.

De Sanderinkmails die we onderzoeken komen van diverse journalisten. Want na die eerste mail in oktober bleek dat diverse vakgenoten bij verschillende media heel veel mails hebben ontvangen van de Centric-topman. Vaak onsamenhangend, vol beschuldigingen aan zijn ex-vriendin Brigitte van Egten. Een aantal journalisten stelt mails beschikbaar voor onderzoek.

Volledig scherm Uit de metadata die aan de mails hangen valt van alles af te leiden.De mail lijkt van Strukton te komen, maar nader onderzoek wijst uit dat dat niet zo is. © Foto DTCT

De verschillende onderzochte mails die van Sanderinks Strukton-adres komen lijken inderdaad een ip-adres te hebben dat op naam staat van Strukton. Maar wie dieper graaft in de reeks cijfers en letters van de metadata, komt steeds opnieuw een heel ander ip-adres tegen. En dat blijkt de werkelijke afzender te zijn. De mail komt dus niet van Strukton. Hetzelfde geldt voor berichten vanaf Sanderinks iCloud-mailaccount: ook daar duikt hetzelfde mysterieuze ip-adres op. Maar van wie is dat dan?

3 – Wildenthousiaste recensies

Volledig scherm Vakblad Computable ontving laaiend enthousiaste recensies over het eerste boek van Van Rijbroek. Ze kwamen allemaal van haar eigen computer. © Screenshot website Computable Het gevonden ip-adres doet alle alarmbellen afgaan op de redactie van vakblad Computable. Het is hetzelfde adres dat ze twee jaar geleden vonden tijdens een speurtocht. Het boek ‘Cybersecurity en Cybercrime’ van Rian van Rijbroek en Willem Vermeend was net gepubliceerd toen zes Computable-lezers laaiend enthousiaste recensies op de site plaatsten.

‘Werelds beste hacker, werelds beste minister en werelds beste uitgever presenteren een parel!!!’, schreef iemand. Een ander vulde aan: ‘Wonderwoman en de staatssecretaris zetten met dit boek een wereldprestatie neer’.

De redactie werd wantrouwig van zoveel complimenten en ging op onderzoek uit. En wat bleek? Alle recensies kwamen weliswaar van verschillende mailadressen, maar van hetzelfde ip-adres. De eigenaar van dat adres was op dat moment nog niet bekend, maar Computable besloot wel deze reacties van de website te halen.

4 – Consequente spelfout

Volledig scherm © nvt Twee jaar na het bewuste incident blijkt dus dat het verdachte ip-adres te maken heeft met zowel het Cyberboek van Van Rijbroek als met mails van Sanderink. Computable gaat opnieuw op onderzoek uit. Het ip-adres is vrij makkelijk te traceren: de zoekwebsite MyIp.ms geeft aan dat het bij een KPN-account hoort en dat het toebehoort aan iemand in Veghel, in Noord-Brabant. De woonplaats van Van Rijbroek. En ze heeft inderdaad een KPN-account want haar zakelijke mail eindigt op @kpnmail.nl. Maar Veghel is best groot en veel mensen hebben KPN als provider.

We gaan gezamenlijk op zoek naar vergelijkingsmateriaal. Al snel vinden we een collega die in het verleden met Van Rijbroek heeft gemaild, nog in de tijd dat ze Sanderink helemaal niet kende. En ja hoor: die mails blijken afkomstig van hetzelfde ip-adres als de Sanderink-mails. Ook de inhoud vertoont dezelfde eigenaardigheden als de Sanderinkmails: Van Rijbroek geeft na elke zin een harde return en maakt de spelfout ‘is gebeurt’.

5 – Beveiligingscamera leidt naar adres

We willen toch nog meer bewijs. Op ons verzoek duikt een data-analist van een erkend cybersecuritybedrijf in de openbare, maar goed verstopte gegevens achter het ip-adres. Hij ontdekt dat aan het bewuste adres ook nog een beveiligingscamera is gekoppeld. Die verbinding geeft nogal makkelijk gegevens prijs, bijvoorbeeld over het merk en type van de camera. En vanaf de openbare weg in Veghel is te zien wat we eigenlijk al vermoedden: precies dat type camera hangt bij Van Rijbroek aan de gevel.

Volledig scherm Het artikel over Gerard Sanderink in De Ondernemer van 19 oktober 2004. De vriendin waar Sanderink in de kop op doelt is Brigitte van Egten, inmiddels zijn ex-vriendin, met wie hij een verbeten strijd in de rechtbank voert. © Foto DCTC

‘Bent u Gerard Sanderink of Rian van Rijbroek?’

Deze krant vermoedde ook al veel langer dat Sanderink niet zelf de schrijver was van mails die de redactie ontving. Er werd in het kader van betrouwbare berichtgeving dan ook alles aan gedaan om duidelijk te krijgen wie nou precies de afzender was.

Dat blijkt ook uit een mailwisseling die we begin december 2019 hadden met ‘Sanderink’. Aanleiding was het artikel over de relatie van Rian van Rijbroek met een digitaal rechercheur van de politie in Brabant. Het artikel werd haar voorgelegd met de vraag te reageren. Dat leidde tot een merkwaardige mailwisseling, niet met Van Rijbroek, maar met ‘Sanderink’, vanaf zijn mailaccount bij Strukton. Maar uit ons onderzoek blijkt dat alle antwoorden wel degelijk afkomstig waren van het ip-adres van Van Rijbroek.