Hoek en Blok.IT
  • Diensten
    • IT-audit en assurance
      • SOC 2
      • ISAE 3402
      • ISAE 3000
      • ISO 27001
      • Internal audit services
      • AVG 0-meting
    • IT security
      • NIS2
      • DORA
      • IT security as a service
      • IT security test
      • Business Continuity Plan
      • Azure Security Scan
    • Procesoptimalisatie
      • Procesmanager
      • Pakketselectie
  • Klantcases
  • Kennisbank
    • Blogs
    • Nieuws
  • Over ons
    • Over ons
    • Ons team
    • Werken bij Hoek en Blok IT
  • Contact
  • Menu Menu

De hack uitgelegd #4: Gemeente Epe

White sign featuring bold black text 'Gemeinde Epe' with a diagonal red 'FAILED' stamp across it.

In maart 2026 werd Gemeente Epe getroffen door een groot datalek. Hackers wisten via een zogenoemde ClickFix-aanval toegang te krijgen tot het gemeentelijke netwerk. Daarna kopieerden zij ongeveer 871 GB aan data: ruim 550.000 bestanden.

Onder de buitgemaakte gegevens zaten persoonsgegevens van inwoners, medewerkers, contractpartners en leveranciers. Ook werden kopieën van identiteitsbewijzen aangetroffen. De aanval laat zien hoe één misleidende handeling kan uitgroeien tot een incident met grote maatschappelijke impact.

Wat is er gebeurd?

Op 12 maart 2026 ontdekte de IT-dienstverlener van Gemeente Epe ongeautoriseerde toegang tot de ICT-omgeving. Uit forensisch onderzoek bleek dat de aanvallers twee dagen eerder waren binnengekomen via ClickFix.

Bij ClickFix wordt een gebruiker misleid om zelf schadelijke code uit te voeren. In dit geval bezocht een medewerker een website en werd daar verleid om een kwaadaardig programma te starten. Vanaf dat moment hadden de aanvallers toegang tot de computer van die medewerker.

Daarna bewogen zij verder door het netwerk. Ze wisten hogere rechten te krijgen, kregen toegang tot een noodaccount met ruime bevoegdheden en kopieerden vervolgens grote hoeveelheden data naar externe cloudopslag. De gegevens stonden op een interne bestandsserver die al op de planning stond om te worden uitgefaseerd.

De gestolen data bevatte onder meer een export uit de Basisregistratie Personen met namen, adressen, geboortedata en BSN’s. Ook ging het om medewerkersgegevens, financiële gegevens, contractinformatie, aanvragen voor gemeentelijke voorzieningen en meldingen van overlast of verstoring van de openbare orde.

Hoe zijn de hackers binnengekomen?

De aanval begon niet met een klassiek softwarelek, maar met social engineering. Een medewerker werd misleid om zelf de aanval te starten. Het account was beveiligd met multifactor-authenticatie, maar dat hielp hier niet. MFA beschermt goed tegen gestolen wachtwoorden, maar niet tegen schadelijke code die vanaf een legitieme werkplek wordt uitgevoerd.

Eenmaal binnen zochten de aanvallers naar andere ingelogde gebruikers. Daarbij kwamen zij uit bij Kerberos-tickets: tijdelijke toegangsbewijzen binnen het netwerk. Het lukte om het wachtwoord van een ingelogde beheerder te kraken en daarmee toegang te krijgen tot het beheerdersniveau.

Daarna kregen de aanvallers ook toegang tot een break-glass account. Dat is een noodaccount met zeer ruime rechten, bedoeld voor situaties waarin normale toegang niet meer mogelijk is. Met die rechten gebruikten de aanvallers AzCopy, een legitiem Microsoft-hulpprogramma, om data te kopiëren naar Azure Blob Storage.

Tijdlijn van de aanval

10 maart 2026: aanvallers komen binnen via ClickFix.

12 maart 2026: de inbraak wordt ontdekt. De ICT-omgeving wordt geïsoleerd.

13 maart 2026: Gemeente Epe bevestigt dat bestanden zijn gestolen. Het datalek wordt gemeld bij de Autoriteit Persoonsgegevens.

14–16 maart 2026: inwoners en media worden geïnformeerd.

April 2026: duidelijk wordt welke gegevens zijn buitgemaakt.

Vanaf 23 april 2026: betrokkenen worden verder geïnformeerd. Mensen van wie een geldig identiteitsbewijs is gestolen, krijgen persoonlijk bericht.

Waarom werkte deze aanval?

Ondanks aanwezige beveiligingsmaatregelen slaagden de aanvallers erin om diep in het netwerk door te dringen. Dat kwam doordat de aanval zich richtte op de combinatie van mens, werkplek, beheerdersrechten en oude dataopslag.

De belangrijkste tekortkomingen die zichtbaar worden in deze casus:

ClickFix omzeilde MFA
Het account van de medewerker was beveiligd met MFA, maar de aanval draaide niet om het stelen van een wachtwoord. De gebruiker werd misleid om zelf schadelijke code uit te voeren. Daardoor werd MFA feitelijk buitenspel gezet.

Beheerderswachtwoord kon worden gekraakt
Na de eerste toegang konden de aanvallers zoeken naar ingelogde gebruikers en toegangstickets. Het lukte om een beheerderswachtwoord te kraken, waardoor zij veel meer rechten kregen dan via de eerste werkplek.

Break-glass account had te veel impact
Het noodaccount gaf ruime toegang tot het systeem. Zulke accounts zijn nodig, maar moeten extreem streng worden beveiligd, beperkt en gemonitord. Als een aanvaller zo’n account overneemt, wordt de schade direct veel groter.

Laterale beweging was mogelijk
Vanuit één werkplek konden de aanvallers verder richting gevoelige delen van het netwerk bewegen. Dat onderstreept het belang van strakke netwerksegmentatie tussen werkplekken, servers en kritieke data.

Te veel gevoelige data stond nog op een fileserver
De gestolen data stond op een interne bestandsserver die al zou worden uitgefaseerd. Oude fileservers bevatten vaak grote hoeveelheden historische, ongestructureerde data. Daardoor wordt de impact van een hack veel groter dan nodig.

Wat kunnen organisaties hiervan leren?

De belangrijkste les is dat MFA alleen niet genoeg is. Organisaties moeten ook voorkomen dat medewerkers zomaar scripts of schadelijke code kunnen uitvoeren. Denk aan het beperken van PowerShell, het blokkeren van verdachte processen en het versterken van endpointmonitoring.

Daarnaast moeten beheerdersrechten en noodaccounts veel strenger worden ingericht. Break-glass accounts moeten uniek zijn, alleen in noodsituaties worden gebruikt en continu worden gemonitord. Iedere inzet moet direct een alarm veroorzaken.

Ook netwerksegmentatie is essentieel. Een aanvaller die één werkplek raakt, mag niet automatisch richting servers of gevoelige databronnen kunnen bewegen. Beperk laterale beweging voordat een incident uitgroeit tot een datalek.

Tot slot moeten organisaties hun datahuishouding opschonen. Oude exports, kopieën van identiteitsbewijzen en gevoelige bestanden horen niet jarenlang op fileshares te blijven staan. Wat je niet bewaart, kan ook niet worden gestolen.

Tot slot

De hack bij Gemeente Epe laat zien hoe snel één misleidende klik kan uitgroeien tot een groot datalek. Niet omdat er één maatregel ontbrak, maar omdat meerdere zwakheden elkaar versterkten: social engineering, beheerdersrechten, een krachtig noodaccount en veel gevoelige data op een oude server.

De vraag is daarom niet alleen: kunnen we aanvallers buitenhouden?

Maar vooral: wat kan een aanvaller doen als hij tóch binnenkomt?

JOUW BEDRIJF GOED BEVEILIGEN?

Kijk wat de IT security manager voor je doet

Dit blog is opgesteld op basis van eigen onderzoek van de auteur. Aan dit blog kunnen geen rechten worden ontleend, daarnaast zijn wij niet aansprakelijk voor onjuistheden die onverhoopt in dit blog kunnen zijn vermeld. Volledigheid in dit blog is niet beoogd, iedere casus vereist een maatwerkoplossing. Voor vragen kunt u contact opnemen via onderstaand formulier.

Over Hoek en Blok.IT

Hoek en Blok.IT is de professionele IT-audit en -adviesorganisatie van Hoek en Blok. Onze IT-adviseurs helpen klanten om functioneel het maximale uit IT te halen en hierbij de risico’s op het gebied van IT security, privacy en continuïteit te beheersen. Onze IT-auditors beoordelen de beheersing van IT-risico’s en verlenen assurance volgens SOC 2, ISAE 3000 en ISAE 3402.

Zet jouw IT security manager aan het werk

Neem contact op met Hoek en Blok IT en je krijgt jouw eigen IT security manager aangewezen. Deze gaat voor jou aan de slag en zorgt er samen met jou voor dat je bedrijf goed beveiligd wordt.

  • Jouw eigen IT security specialist

  • Retweet Retweet

    Periodieke controle en bijsturing

  • Geen hoge eenmalige advieskosten

Deel dit bericht.
  • Facebook Facebook Delen op Facebook
  • X-twitter X-twitter Delen op X
  • Whatsapp Whatsapp Delen op WhatsApp
  • Linkedin Linkedin Delen op LinkedIn
  • Mail Mail Delen via e-mail

Gerelateerde blogs

NIS 2-richtlijn: Wat betekent dit voor de cybersecurity van jouw bedrijf?

https://www.hoekenblok.it/wp-content/uploads/2023/03/NIS2-cybersecurity-scaled.jpg 2048 2560 Marius Verboom http://hoekenblok.it/wp-content/uploads/2020/02/Logo-HBL-IT2-555x156-1.png Marius Verboom2023-04-17 13:43:032025-08-19 13:27:19NIS 2-richtlijn: Wat betekent dit voor de cybersecurity van jouw bedrijf?

ISAE 3402 of SOC 2: voorkom een datalek bij je leverancier

https://www.hoekenblok.it/wp-content/uploads/2023/03/Datalek-VodafoneZiggo.png 675 1200 Marius Verboom http://hoekenblok.it/wp-content/uploads/2020/02/Logo-HBL-IT2-555x156-1.png Marius Verboom2023-03-31 08:16:142025-08-19 13:27:48ISAE 3402 of SOC 2: voorkom een datalek bij je leverancier

ISAE 3402 nodig? Volg ons stappenplan!

https://www.hoekenblok.it/wp-content/uploads/2023/01/HBL.IT-Blog-Stappenplan-ISAE-3402.png 675 1200 Marius Verboom http://hoekenblok.it/wp-content/uploads/2020/02/Logo-HBL-IT2-555x156-1.png Marius Verboom2023-01-24 10:05:002025-08-19 13:30:29ISAE 3402 nodig? Volg ons stappenplan!
Pagina 3 van 9‹12345›»
Note Note Klik hier

Klik hier om uw eigen tekst toe te voegen

Categorieën

  • Blogs
  • DORA
  • ISAE 3000
  • ISAE 3000, ISAE 3402 en SOC 2
  • ISAE 3402
  • IT security
  • IT security manager
  • IT security officer as a service
  • IT security test
  • Kennisbank
  • Klantcases
  • Nieuws
  • NIS2
  • Procesmanager
  • SOC 2
  • Whitepapers

Transformeer jouw IT. Bescherm je bedrijf.

Onze experts verbeteren jouw IT-infrastructuur, beveiligen je tegen hackers, en zorgen dat je voldoet aan de AVG. Toon je klanten dat je controle hebt – wij regelen het voor je.

Neem vandaag nog contact op en versterk je IT!

Diensten

ISAE 3402 assurance

SOC 2 assurance

IT security test

Pakketselectie

IT security as a service

Business continuity plan

Contactgegevens

Stationspark 625
3364 DA Sliedrecht
Postbus 307
3360 AH Sliedrecht

Tuindersweg 22
2991 LR Barendrecht
Postbus 35
2990 AA Barendrecht

Newday-gebouw
Apollolaan 151
1077 EM Amsterdam

t +31 (0)184 49 68 00

www.hoekenblok.IT
info@hoekenblok.IT

Copyright 2025 - Hoek en Blok IT | Algemene voorwaarden | Disclaimer | Privacyverklaring | Klachtenregeling - Enfold Theme by Kriesi
Link naar: Wat zijn de kosten van externe NIS2 consultancy? Link naar: Wat zijn de kosten van externe NIS2 consultancy? Wat zijn de kosten van externe NIS2 consultancy?Stapel eurobankbiljetten op mahonie bureau naast compliance-documenten, vulpen en koperen weegschaal in warm zonlicht Link naar: Vrijdagmiddag 3 juli gesloten Link naar: Vrijdagmiddag 3 juli gesloten Diverse hands join wooden puzzle pieces to form a collaborative circle, symbolizing teamwork.Vrijdagmiddag 3 juli gesloten
Scroll naar bovenzijde Scroll naar bovenzijde Scroll naar bovenzijde