Dit verhaal begint met een mailtje, verstuurd vanuit mijn huis in Abcoude naar Martijn Grooten die in Exeter, Zuidwest-Engeland woont. Het is 17 februari, negen uur ’s avonds en het mailtje doet er nog geen seconde over Martijn te bereiken.

Martijn werkt bij internetsecuritybedrijf Virus Bulletin en houdt zich daar bezig met spamfilters. Hij zal mij helpen de route van deze bewuste e-mail in kaart te brengen. Een route die, zo zal blijken, de halve wereld omspant en over vele servers verloopt.

De van dit mailtje had er eigenlijk zó uit moeten zien:

From: Dimitri Tokmetzis

To: Martijn Grooten

Bcc: Google Belgium, Belgische inlichtingendiensten, GCHQ, Level 3 Communications, Google US, NSA, FBI, AIVD, MIVD. En nog meer letterconfetti.

Onderwerp: Ik probeer te achterhalen wie mijn e-mail kan onderscheppen. Kun je me helpen?

Te moeilijk om uit te leggen

We weten dat ons e-mailverkeer via allerlei andere landen loopt. En dat bij de afhandeling van een e-mail verschillende partijen betrokken zijn. Maar wie dan? Wat doen zij met onze e-mails? En kunnen deze partijen ook de inhoud zien, of alleen de metadata? En waar en wanneer kunnen de inlichtingen- en opsporingsdiensten ons e-mailverkeer onderscheppen?

Edward Snowden heeft het afgelopen jaar veel onthuld, maar door de grote hoeveelheid gepubliceerde documenten is het moeilijk door de bomen het bos te blijven zien. Daarom besloot ik, samen met stagiair Emiel Lijbrink, bijgestaan door expert Martijn Grooten, een e-mail te volgen van mijn computer tot de computer van de ontvanger. Van schrijven tot lezen. We hebben ook enkele telecomexperts geraadpleegd en tientallen geopenbaarde NSA-documenten uitgeplozen.

Het doel van dit uitzoekwerk is om te achterhalen in hoeverre de surveillanceprogramma’s van verschillende inlichtingendiensten betrekking hebben op ons. Als bonus kregen we bovendien inzicht in hoe onze internetinfrastructuur is geworden.

De mail scheurt in milliseconden de hele wereld over, van mijn huis naar het Google-datacentrum in België, waar de mail wordt gescand Ook wordt de inhoud daar ingelezen, om gepersonaliseerde advertenties aan te kunnen bieden. De mail gaat dan onder het Kanaal door, naar Engeland. Binnen enkele milliseconden duikt de mail weer het water in richting de Verenigde Staten om uiteindelijk in het westen weer in een Google-datacentrum te belanden. Daarna schiet het mailtje terug naar Engeland, alwaar het uiteindelijk bij Martijn terechtkomt. Ondertussen hebben de Amerikaanse inlichtingendienst NSA en de Britse evenknie GCHQ op verschillende plekken de mail kunnen onderscheppen. En via een achterdeur de Nederlandse inichtingendienst AIVD ook.

Duizelt het je nu al een beetje? Dat kan ik mij voorstellen. Daarom hebben we hebben tekenaar Rob van Barneveld gevraagd deze ene seconde in stripvorm op te breken. Via de strip kun je precies alle haltes die de e-mail

Strip: Rob van Barneveld

Deze route had er overigens ook heel anders kunnen uitzien. Internet is immers een netwerk van netwerken, dat uitermate robuust is: als één route uitvalt, vanwege congestie, kabelbreuk of onderhoudswerkzaamheden, wordt het verkeer omgeleid. Dit mailtje had dus ook als volgt bij Martijn terecht kunnen komen:

Abcoude - kabels KPN - XS4ALL (Amsterdam) - Amsterdam (internetexchange AMS-IX) - Frankfurt (internetexchange DE-CIX) - Telehouse Londen - British Telecom - Exeter.

Of:

Abcoude - kabels Level 3 Communications - Google St. Ghislaine - Bude - Telehouse London - kabels Vodafone - Exeter.

Hoe de route loopt, is van belang voor wie een e-mail kan onderscheppen. Alle e-mails die via Engeland reizen, worden potentieel onderschept door de Britse inlichtingendienst GCHQ. Die tapt namelijk alle internetkabels bij de landingspunten af. Alle e-mails die via Amerikaanse kabelaars of providers reizen, vallen onder de en dienen afgedragen te worden als de FBI dat wenst. En zelfs een aantal Nederlandse kabelaars en internetserviceproviders moet hun data aan de Amerikaanse autoriteiten overhandigen als die daarom vragen.

De Amerikanen kunnen ons internetverkeer al lang onderscheppen Even geleden debatteerde de Tweede Kamer over de 1,8 miljoen metadata die door de Nederlandse inlichtingendiensten zijn verzameld. Maar het belangrijkste zal waarschijnlijk niet aan de orde komen: dat de Amerikanen al jaren probleemloos toegang hebben tot de grote Nederlandse netwerken. Lees: ‘Vergeet Plasterk, de Amerikanen kunnen er toch wel bij’

Voor e-mail geldt geen briefgeheim

Maar zelfs als een e-mail in Nederland (of continentaal Europa) blijft, kan hij nog steeds gelezen worden. E-mail valt namelijk niet onder het briefgeheim. Het briefgeheim waarborgt een veilige, onbespiede communicatie. Om een brief te openen, is toestemming van de rechter nodig. Om een e-mail te openen is toestemming van een officier van justitie al voldoende.

Volgens ict-jurist is de conclusie dan ook duidelijk: e-mail is zo lek als een mandje. En de ongemakkelijke waarheid is dat dit ook nog wel even zo blijft. Engelfriet: ‘Eind jaren negentig en in 2006 zijn er pogingen gedaan e-mail onder het briefgeheim te krijgen, maar de weerstand was te groot. Waarschijnlijk zagen de opsporings- en veiligheidsdiensten het niet zitten.’

Zo zet je er een slot op

Bovendien hebben de grote e-mailproviders, zoals Google, geen enkele prikkel e-mails van begin tot eind te versleutelen, iets wat technisch prima kan. Google wil namelijk zelf de e-mail kunnen lezen om gerichte advertenties aan te bieden.

De enige manier om je e-mail onbespied te versturen, is door gebruik te maken van een betaalde e-mailservice die zogenoemde end-to-end encryption belooft, versleuteling van zender tot ontvanger, zoals Of door e-mail zelf te beveiligen met encryptie als PGP. Dan nog worden de metadata vastgelegd, maar partijen als de FBI, NSA, GCHQ, AIVD, MIVD kunnen je e-mail in ieder geval niet meer lezen.

Update: Er staat nog een klein foutje in de strip. De Belgische autoriteiten zijn niet betrokken bij het lezen/scannen van de mail. Ze kunnen alleen de data opvragen. Dat foutje is per abuis blijven staan.

Met dank aan en voor het meedenken en -puzzelen.

En hoe zit het dan met telefoon? Stagiair Emiel Lijbrink zocht uit wie een simpel telefoongesprek van Utrecht naar New York allemaal kan onderscheppen. Er blijken onderweg vele potentiële meeluisteraars verstopt te zitten. Lees hier zijn verslag van zijn telefoontje naar New York Twaalf tips om je digitale ik te beveiligen Hier vind je een uitgebreide lijst van tips en trucs om je digitale communicatie tegen de NSA en AIVD te wapenen. Lees hier de tips en trucs terug Vijf vragen en antwoorden over versleuteling Inlichtingendiensten als de NSA en AIVD kunnen versleutelde e-mails en sms’jes lezen. Maar hoe werkt encryptie eigenlijk? En is het wel zo veilig? Vijf vragen over versleuteling. Lees hier ‘Hoe werkt encryptie op internet?’ terug Amerikaanse spionage: de Nederlandse overheid staat erbij en kijkt ernaar Eerder schreef correspondent Dimitri Tokmetzis hoe Amerika probleemloos toegang heeft tot een groot deel van de Nederlandse digitale infrastructuur. Dit keer reconstrueert hij wat de Nederlandse overheid daartegen doet. Het korte antwoord: bitter weinig. Lees hier zijn analyse van de bescherming van de Nederlandse digitale infrastructuur terug Hoe je onschuldige smartphone bijna je hele leven doorgeeft aan de geheime dienst Inlichtingendiensten verzamelen metadata over de communicatie van alle burgers. Volgens politici zeggen die data niet zoveel. Een lezer van De Correspondent nam de proef op de som en toonde aan: die metadata verraden véél meer over je leven dan je denkt. Lees hier de analyse van wat metadata allemaal over je verraden