Een groeiend aantal bedrijven maakt gebruik van een responsible disclosure-beleid voor het afhandelen van datalekken. Volgens ethische hackers is dat een goede zaak, maar ‘RD-beleid’ is bepaald niet zonder fouten. In dit artikel gaan we daar wat dieper op in.

Mischa van Geelen was dertien jaar toen hij een lek in de website van VakantieVeilingen ontdekte. Het was het eerste lek dat hij ooit zelf ontdekte, en hij heeft er nu – vijf jaar later – meer dan 500 op zijn naam staan. Nog steeds vindt hij regelmatig softwarelekken in websites of bij bedrijven. Daarbij doorloopt hij de routine die zowel hij als het bedrijfsleven heeft verfijnd: een melding doen bij de juiste persoon, een duidelijke beschrijving van het probleem aandragen en een mogelijke oplossing voorstellen.

Inmiddels loopt hij tegen minder muren aan dan vroeger, toen responsible disclosure nog maar voor een handjevol bedrijven gebruikelijk was. Anno 2017 hebben veel bedrijven op een of andere manier spelregels opgesteld om ethische hackers tegemoet te komen. En terecht, want door datalekken op een nette en verantwoordelijke manier af te handelen voorkom je dat mensen misbruik maken van bugs in je systeem. Bovendien laat je aan de buitenwereld zien dat je professioneel met je it-security omgaat.

Whitehat-hackers

Van Geelen noemt zich inmiddels ‘ethisch hacker’, een titel die veel whitehat-hackers en beveiligingsonderzoekers die aan responsible disclosure doen zichzelf aanmeten. Hun dagelijks werk is in veel gevallen op een of andere manier gerelateerd aan het zoeken naar datalekken: ze werken freelance of in dienst als beveiligingsconsultants, of ze werken in de informatica. In sommige gevallen is het opsporen van datalekken deel van hun werk als pen-testers (‘penetration testers’), maar één ding hebben ze vrijwel allemaal gemeen: het ‘responsible disclosen’ van datalekken doen ze vrijwillig, vanuit een gevoel voor ethiek en een liefde voor veiligheid.

Steeds meer Nederlandse bedrijven tonen interesse in responsible disclosure als beveiligingsmethode. Het kan immers helpen veiliger te blijven tegen datalekken door juist samen te werken met hackers in plaats van ze als de vijand te zien. Bij responsible disclosure houden bedrijven en hackers zich zoals gezegd aan een aantal spelregels voor het melden van kwetsbaarheden in websites of systemen. Op die manier kunnen datalekken op een verantwoorde manier worden doorgegeven, wat moet leiden tot veiliger ict.

Veel van die spelregels liggen voor de hand: een hacker mag vrijelijk rondneuzen in een systeem zonder daarvoor te worden aangepakt, maar moet het bedrijf dan wel tijd geven een lek te dichten zonder het vroegtijdig openbaar te maken. Vanzelfsprekend mag daarbij geen schade aan het systeem worden veroorzaakt en mag de hacker geen persoonsgegevens kopiëren, als hij die vindt.

Een responsible disclosure-beleid kan per bedrijf verschillen, maar er zijn een paar regels die (bijna) altijd naar voren komen.

Garantie: De belangrijkste afspraak is de garantie dat het bedrijf het lek actief dicht en geen aangifte doet, en dat de hacker zich aan de afgesproken regels van het bedrijf houdt.

Uitleg: Een hacker moet het lek zo duidelijk mogelijk uiteenzetten, op een manier die volledig te reproduceren is.

Tijdspanne: Er moet een redelijke tijd zijn een lek te dichten: niet te lang, niet te kort. Houdt een bedrijf zich niet aan die tijd, dan mag de hacker het lek openbaar maken.

Houd het heel: Een hacker mag geen ddos- of bruteforce-aanvallen uitvoeren om een lek te ontdekken, geen gegevens kopiëren en niets in het systeem kapotmaken of permanent veranderen.

Scope: Een bedrijf geeft van tevoren aan welke onderdelen wel of juist niet beschikbaar zijn om kwetsbaarheden over te melden. Testomgevingen zijn bijvoorbeeld vaak uitgesloten van deelname en lekken in systemen met persoonsgegevens worden vaak urgenter behandeld of beter beloond.

Nationaal Cyber Security Centrum-leidraad

Het is moeilijk te zeggen hoeveel bedrijven in Nederland inmiddels een actief RD-beleid hebben. In elk geval maken alle Nederlandse overheidsinstellingen gebruik van een dergelijk beleid, verzameld onder de leidraad van het Nationaal Cyber Security Centrum (NCSC). De grote banken hebben eveneens een eigen beleid, net als de NS en de meeste verzekeraars. Grote bedrijven lijken steeds meer heil te zien in het tegemoetkomen van hackers die datalekken ontdekken en dat op een verantwoordelijke manier willen melden.

Maar belangrijker dan het aantal beleidsmaatregelen dat wordt opgesteld, is de houding van die bedrijven. “Toen ik vijf jaar geleden een melding deed bij ABN Amro, hadden ze geen responsible disclosure-beleid beschikbaar”, vertelt Mischa van Geelen. “Ze reageerden er zelfs heel vijandig op. ‘Wie ben jij? En waarom vertel je ons hoe we onze beveiliging moeten regelen?’, vroegen ze.” Volgens Van Geelen zien bedrijven anno 2017 de waarde van responsible disclosure in, onder meer omdat het niet meer de vraag is óf, maar wannéér je wordt gehackt.

Die manier van werken slaat bij steeds meer bedrijven aan. Het is namelijk een relatief goedkope manier om gaten in software op te sporen, zonder dat je daar een peperduur team aan pen-testers op hoeft los te laten en zonder dat je ontwikkelaars dagen kwijt zijn met bugfixes. Aan de andere kant geeft het hackers de kans hun eigen kennis op niveau te houden en dient het als een waardevol visitekaartje.

Veel hackers zijn immers blij met de mogelijkheid om een lek op een correcte manier te melden, zonder daarbij in de problemen te komen. Niettemin is responsible disclosure verre van perfect. Zoals je verderop kunt lezen, draait het idee volledig om wederzijds vertrouwen, zonder enige garanties dat de spelregels worden nageleefd.

Binnen de tijd

©PXimport

Een belangrijk punt in een RD-beleid is de tijd die een hacker het bedrijf gunt om een lek te dichten. In de meeste gevallen wordt die vooraf gespecificeerd in het beleid, maar bij uitzonderlijke situaties kan er ook in overleg een andere tijdspanne worden afgesproken. Met zo’n afspraak weten beide partijen waar ze aan toe zijn: de hacker weet daarmee dat zijn lek serieus wordt genomen en het bedrijf heeft een belangrijke motivatie om het lek ook daadwerkelijk te dichten – anders wordt het openbaar gemaakt en kan het makkelijk worden misbruikt. Maar wat is een realistische tijdspanne om een bug te fixen? En wie bepaalt dat? Als de hacker die het lek ontdekt daar anders over denkt dan het bedrijf, kan dat frictie opleveren.

Dat gebeurde bijvoorbeeld tijdens de Heartbleed-bug die begin 2014 werd ontdekt in OpenSSL. Het Finse onderzoeksbedrijf Codenomicon besloot Heartbleed wel te melden aan onder meer CloudFare, maar niet aan andere grote webdiensten die eveneens van OpenSSL gebruikmaakten. Daardoor werd een groot deel van het internet kwetsbaar voor de bug toen die eenmaal openbaar werd gemaakt.

Volgens sommige critici had Heartbleed dan ook niet zozeer met responsible disclosure te maken, maar met marketing van een tot dan toe relatief obscuur Fins beveiligingsbedrijf dat na bekendwording van het lek internationale aandacht kreeg. Codenomicon vond dat het rechtvaardig handelde door het lek te melden aan het Finse National Cyber Security Center, maar de afhandeling leidde tot een discussie over hoelang onderzoekers moeten wachten voordat zij een lek openbaar maken en aan wie je dat allemaal moet melden. Wie heeft dan de sterkste hand?

Beloning voor ethisch hacken

En daar komt de ethiek om de hoek kijken, zowel de kracht als de achilleshiel van responsible disclosure. Een goed RD-beleid zorgt dat het bedrijf een hacker tegemoetkomt, én andersom. Het mes moet in zo’n geval aan twee kanten snijden, maar buiten een ‘gentlemen’s agreement’ biedt een responsible disclosure-beleid geen enkele juridische garanties. In theorie kan een bedrijf ook na het repareren van een datalek aangifte doen tegen een hacker, en niets weerhoudt de hacker ervan om het lek alsnog vroegtijdig openbaar te maken. Je kunt je daarom afvragen wat de reden is dat hackers daaraan zouden meedoen.

Terwijl bedrijven een RD in de regel opstellen uit praktische of financiële overwegingen, doen whitehat-hackers voornamelijk aan RD voor de eer – al speelt er voor hackers wel meer dan alleen hun gevoel voor rechtvaardigheid en ethisch besef. Loran Kloeze, een ethisch hacker die onder meer bekend werd toen hij liet zien dat de Stemwijzer lek was, zegt dat ook hackers niet helemaal altruïstisch te werk gaan. “Hackers dragen het aantal RD’s op hun naam als een eremedaille, iets waarmee je kunt laten zien hoe goed je bent. Opdrachtgevers of klanten kijken juist daarnaar, niet naar een diploma. Een groot aantal disclosures op je naam is waardevoller dan welke opleiding dan ook.”

Daarom is een ‘hall of fame’ ook zo belangrijk. Daarop wordt een overzicht geplaatst van de hackers die een lek hebben gevonden en een korte beschrijving met wat er precies is gerepareerd. Niet dat zo’n website veel bezoekers trekt, maar dat is ook niet de bedoeling. Ethisch hackers kunnen zulke vermeldingen in hun eigen portfolio opnemen om te laten zien wat ze waard zijn.

©PXimport

Responsible disclosure gaat doorgaans gepaard met een beloning, maar wat dat concreet inhoudt, verschilt per bedrijf. Soms is het een klein geldbedrag, soms een t-shirt of een ander cadeautje –PCM-uitgever Reshift geeft bijvoorbeeld soms een Raspberry Pi-pakket weg voor het melden van een lek. Eigenlijk doet de aard van de beloning er ook niet toe, vindt Van Geelen. Toen hij een aantal jaren geleden na heel lang mailen en overtuigen een cadeaubon kreeg voor het melden van een lek bij ABN Amro (dat toen nog geen officieel RD-beleid had), voelde hij zich afgescheept.

“Ze bleven maar vragen: ‘Wat wil je dán?’ Ze begrepen het maar niet. Het ging me helemaal niet om die cadeaubon of om geld, of wat dan ook. Het enige wat ik wilde, is een oprecht bedankje.” Het is een sentiment dat bij meer hackers speelt. Serieus genomen worden, voelen alsof je hebt bijgedragen aan een veiliger wereld. Daarom was Van Geelen ook blijer met zijn eerste hack op VakantieVeilingen. Daarvoor kreeg hij niet alleen een cadeaubon, maar ook een stage aangeboden – iets waar hij in zijn verdere carrière veel meer aan heeft gehad dan aan een geldbedrag.

Loran Kloeze onderschrijft het feit dat de beloning niet het belangrijkst is. Kloeze richt zich sowieso grotendeels op overheidsinstellingen, en die geven geen geldbedragen weg maar enkel t-shirts. “Je doet het vanuit je ethisch besef en het feit dat je de wereld een stukje veiliger wilt maken.”

Geld verdienen met ethisch hacken

Toch is er een groeiende groep hackers die probeert te leven van dergelijke datalekken, al heb je het dan al snel over ‘bug bounty’s’ – een op het eerste gezicht identieke, maar toch iets andere tak van sport. Het zijn vooral grote techbedrijven met miljoenen gebruikers die geld over hebben voor het spotten van datalekken. Apple was daar vrij laat mee en begon pas halverwege 2016 met het uitloven van premies voor het vinden van bugs. Toch is Apple een van de interessantere bedrijven om datalekken bij te melden. Een lek in de boot firmware van iOS levert bijvoorbeeld al 200.000 dollar op.

Op die manier zijn er hackers die volgens Kloeze kunnen leven van hun bug bounty’s. “Als je wekelijks een bug van 250 euro vindt en eens per jaar een écht grote, dan kun je daar prima van leven.”

Daar staat tegenover dat het tegenwoordig steeds lucratiever wordt om bugs aan derde partijen te verkopen. Bedrijven zoals Zerodium bieden bijvoorbeeld het viervoudige van Apple voor eenzelfde lek in iOS. En voor een hacker is er maar één ding dat hem laat kiezen tussen 200.000 dollar van Apple en 1 miljoen van Zerodium: zijn gevoel. Kloeze: “Uiteindelijk wil je toch elke avond rustig slapen, en dat wordt voor velen een stuk lastiger als ze weten dat hun lek kan worden gebruikt door een regime als Noord-Korea. Net als gewone criminaliteit kun je ook hier de afweging maken, en dan is de vraag hoever je bereid bent te gaan.”

Volgens Mischa van Geelen zit het verschil hem voornamelijk in de houding van de hacker. “Bug bounty’s doe je voor het geld, maar responsible disclosure doe je vanuit een gevoel voor ethiek. Bovendien maakt het voor veel hackers ook niet uit of ze er geld voor krijgen; dat verdienen ze vaak ook wel met consultancy-werk.” En daarbij is een goed portfolio, met veel RD’s op je naam, juist een goed visitekaartje.

Er is ook een aantal bedrijven dat op professionele schaal op zoek gaat naar lekken, zoals Google, dat permanent beveiligingsonderzoekers in dienst heeft op de Project Zero-divisie. Project Zero komt regelmatig in het nieuws als het een lek heeft gevonden bij bijvoorbeeld Microsoft, waar de softwaregigant dan niet tijdig iets aan heeft gedaan.

Grijs gebied

Responsible disclosures bevatten in de meeste gevallen een belangrijke clausule over aansprakelijkheid, maar de regels rondom hacken en verantwoordelijkheid stroken niet altijd even goed met elkaar. Loran Kloeze zegt bijvoorbeeld alleen aan RD te doen met bedrijven die al een beleid hebben. Hij kijkt daarom met name op sites van de overheid, omdat die in samenwerking met het NCSC een duidelijk beleid heeft opgesteld dat voor alle sites geldt. Als een website of bedrijf dat niet heeft, komt Kloeze er niet aan. Om één simpele reden: hij wil niet in de problemen komen. “Een responsible disclosure-beleid nodigt een hacker uit om zonder angst voor repercussies op zoek te gaan naar een lek. Als er niet zo’n beleid is, dan heb je niks op zo’n website te zoeken.”

Volgens Kloeze is het überhaupt niet mogelijk om een datalek te vinden zonder dat je actief in een systeem loopt te porren, dus iedereen die een lek vindt in een website waar geen RD van toepassing is, is volgens hem per definitie al fout. “Als je een website gebruikt zoals die bedoeld is en dan een fout ontdekt, ja, dan mag je inderdaad wel even een mailtje sturen met ‘joh, let hier eens op’. Maar dat is vrijwel nooit het geval. Om een bug te vinden, moet je actief zoeken, testen, reproduceren en verschillende dingen proberen. Dan ben je al heel snel ongeoorloofd aan het rondneuzen op een systeem waar je niks te zoeken hebt, omdat je er niet voor bent uitgenodigd.”

Juridisch gezien is een responsible disclosure-beleid niet sluitend. Het zegt niks, behalve dan dat het bedrijf geen intentie heeft je te vervolgen – maar ook dat kan gewoon veranderen. Bovendien heeft het OM daar niets mee te maken, zegt Kloeze. “Dat kan altijd nog besluiten achter je aan te gaan, al is dat onwaarschijnlijk.” Er zijn nog geen gevallen bekend van veroordelingen voor hacking waarbij gebruik werd gemaakt van responsible disclosure.

Daar is Mischa van Geelen het niet mee eens. Hij ziet het beleid van het NCSC juist als richtlijn om als ethisch hacker te opereren – of een bedrijf nu een beleid heeft of niet. “Zolang je het volgens de regels speelt, moet je een lek gewoon kunnen melden. Dan houd je je natuurlijk aan alle regels: je zorgt dat je niks stuk maakt, dat je je lek niet openbaar maakt ... Als je dat doet, vind ik dat je het gewoon moet kunnen melden.”

Volgens het NCSC ligt de situatie iets genuanceerder en is de leidraad vooral bedoeld om bedrijven te stimuleren hun eigen beleid op te zetten, maar houdt het OM per geval wel rekening met ‘proportioneel en subsidiair handelen’.

Meerwaarde van responsible disclosure

De meeste hackers vinden dat responsible disclosure waardevol kan zijn voor bedrijven, al vindt Kloeze wel dat dat proportioneel moet zijn. “Voordat je meteen zo’n beleid opstelt, moet je je eerst afvragen of je dat überhaupt wel nodig hebt. De slager om de hoek heeft daar doorgaans weinig aan, maar dat verandert als hij bijvoorbeeld een koelcel heeft die hij via internet kan aansturen, of als hij een klantensysteem begint.”

Een responsible disclosure-beleid moet dan ook in verhouding staan met de data die je verwerkt, maar omdat steeds meer bedrijven in toenemende mate gebruikmaken van persoonlijke data, groeit de vraag naar een goede omgang eveneens. Niet alleen juridisch (bijvoorbeeld door de meldplicht datalekken), maar ook ethisch, zoals een goed RD-beleid.

Waar de hackers het eens zijn over de meerwaarde van zo’n beleid, zetten de meeste ook kanttekeningen bij de effectiviteit. Het is nooit dé definitieve oplossing voor het beveiligingsprobleem, denkt Mischa van Geelen. “Responsible disclosure is alsof je met hagel op je systemen gaat schieten, in de hoop dat er iets wordt geraakt. Je moet er nooit van uitgaan dat je daarmee volledig veilig wordt.”

Hij zegt daarom dat een goed RD-beleid eerder een toevoeging op het bestaande beveiligingsbeleid moet zijn. Dat bevestigt het NCSC: “Organisaties zijn zelf verantwoordelijk voor hun beveiliging, maar goede beveiliging is zo sterk als je zwakste schakel. RD kan een zeer belangrijke bijdrage leveren aan het ontdekken van zulke zwakke plekken.”

Daarnaast is het belangrijk te onthouden dat responsible disclosure-meldingen altijd door vrijwilligers worden gedaan, en dat die je niets verplicht zijn. Ze kunnen daarom nooit garanderen dat ze alle gaten uit je systeem vissen, maar een oprecht bedankje is wel het minste wat je voor ze kunt doen.

Responsible disclosure-beleid opzetten

Wil je tot slot voor je eigen bedrijf een responsible disclosure-beleid (helpen) opzetten? Denk dan aan de volgende zaken:

Scope: Geef aan welke onderdelen een hacker mag testen en welke niet. Vallen daar bijvoorbeeld ook testomgevingen onder?

Beloning: Bedenk welke beloning je een hacker geeft. Is dat een geldbedrag, een t-shirt of iets unieks van jouw bedrijf? Zorg ook dat je bepaalt voor welke meldingen je welke beloning geeft: niet alle lekken hoeven gelijkwaardig te worden behandeld.

Wall of fame: Hackers gebruiken een RD-melding ook op hun cv. Kom ze tegemoet door een publieke wall of fame op te stellen met wie je heeft geholpen met welk probleem.

Doe een pen-test: Als je je systeem meteen toegankelijk maakt voor iedereen, kan dat al snel tot veel reacties leiden. Laat je bedrijf daarom eerst pen-testen door een professioneel bedrijf, zodat de belangrijkste gaten kunnen worden gedicht.

Laat je RD-beleid nakijken: Er zijn genoeg ethische hackers die, al dan niet betaald, een RD-beleid voor je kunnen opstellen of er op z’n minst doorheen kunnen lopen.

Wees eerlijk: Wees eerlijk over je bug-fixes en je progressie. Houd de hacker op de hoogte, ook als het repareren onverhoopt langer duurt dan verwacht.

De reguliere Rockster Cross 2 van Teufel kwam afgelopen zomer op de markt. Onlangs bracht de Duitse audiospecialist in samenwerking met Fender een speciale uitvoering uit. Het fraaie 'gitaarversterkerdesign' komt grotendeels uit de koker van het bekende instrumentenmerk. Wat heeft deze bluetooth-speaker nog meer te bieden?

Wie weleens een gitaarversterker van Fender heeft gezien, weet meteen waar de vormgeving van de Fender x Teufel Rockster Cross 2 op is gebaseerd. Zo bevat het zilverkleurige speakergaas linksboven het sierlijke logo van de Amerikaanse producent. Dat is precies hoe Fender veel van zijn gitaarversterkers vormgeeft.

©Maikel Dijkhuizen

Zwaar, maar toch mobiel

Met een gewicht van 2,4 kilo is deze bluetooth-speaker bepaald geen lichtgewicht. Toch neem je de Rockster Cross 2 vrij eenvoudig mee. De achterzijde bevat namelijk twee handgrepen, waardoor je voldoende grip hebt. Een andere optie is om door middel van twee karabijnhaken de bijgesloten verstelbare draagriem te bevestigen. Het uiterlijk van deze riem lijkt trouwens sprekend op een gitaarband van Fender. Handig, want je draagt dit apparaat dus met je schouder.

De behuizing is zeer sterk en kan dus absoluut een stootje hebben. Het product voldoet aan de IPx5-norm, zodat het wel een spatje regen kan verdragen. Staat de Rockster Cross 2 eenmaal op zijn plek, dan zal de speaker niet zo gauw verschuiven. Het apparaat rust namelijk op vier lange antislipvoetjes. Een interessante optie is dat je de luidspreker ietwat achterover kunt laten hellen. Zet de behuizing dan schuin neer.

©Maikel Dijkhuizen

Aansluitingen

Dankzij de aanwezige bluetooth5.3-adapter verbind je vlot een smartphone of tablet. Het is bovendien mogelijk om gelijktijdig twee mobiele toestellen te koppelen. Voor oplaaddoeleinden zit er aan de achterkant een usb-c-poort met powerbankfunctie. Kortom, je laadt onderweg zo nodig jouw smartphone of smartwatch op. Achter hetzelfde klepje vind je trouwens ook een 3,5mm-geluidsingang. Hierop kun je eventueel een bekabelde audiobron aansluiten. Verder is er een behoorlijke accu ingebouwd. Teufel belooft namelijk een luistertijd van 38 uur bij een gemiddeld volumeniveau van 70 decibel. In de beschikbare ecomodus is dat zelfs naar verluidt 46(!) uur, maar dat gaat dan wel ten koste van de audiokwaliteit.

©Maikel Dijkhuizen

Stevige beats

Voor een adviesprijs van maar liefst 299,99 euro mag je natuurlijk een goede audiokwaliteit verwachten. Gelukkig is dat ook het geval, want deze bluetooth-speaker levert een natuurgetrouw geluid. Twee tweeters en een behoorlijke woofer zijn verantwoordelijk voor de audioweergave. Vanwege deze verschillende actieve drivers is er een duidelijke scheiding tussen de hoge en lage tonen te horen. De muziek klinkt hierdoor erg levendig. Gebruik de Rockster Cross 2 ook gerust om een feestje te bouwen. Hij kan namelijk zeer luid spelen, waarbij de bas zich duidelijk laat gelden.

De bovenzijde telt enkele fysieke knoppen. Daarmee koppel je een nieuwe bluetooth-bron, wijzig je het volume en pauzeer je de muziek. Daarnaast kun je tussen drie geluidsmodi switchen en een tweede Rockster Cross 2 draadloos koppelen. Met laatstgenoemde opstelling luister je naar echt stereogeluid. Je gebruikt jouw smartphone optioneel als veredelde afstandsbediening. Installeer hiervoor de Teufel Go-app, waarna je diverse geluidsinstellingen naar eigen wens aanpast.

©Maikel Dijkhuizen

Fender x Teufel Rockster Cross 2 kopen?

Zoek je een goed klinkende bluetooth-speaker met een origineel design? Wanneer het stevige prijskaartje van zo'n driehonderd euro geen bezwaar is, schaf je met de Fender x Teufel Rockster Cross 2 een prima exemplaar aan. Andere pluspunten zijn de comfortabele draagriem, powerbankfunctie en stevige constructie.

Wie overstapt naar een andere computer denkt meestal meteen aan het overzetten van programma's en bestanden zoals documenten en foto's. De vele persoonlijke instellingen en voorkeuren die zorgvuldig zijn opgebouwd, raken helaas vaak verloren. Hoe zorg je ervoor dat je je ook op het andere systeem meteen weer helemaal thuis voelt?

Synchronisatie via Windows-account

Windows biedt veel instellingen die je werkomgeving persoonlijker maken, zoals visuele thema's, spellingsvoorkeuren en meer. Sommige vereisen handmatig werk of externe tools, maar een aantal laat zich automatisch synchroniseren via je Microsoft-account. Laten we hiermee beginnen. Zorg dat je met zo'n account bent aangemeld bij Windows. Dit regel je via Instellingen / Accounts / Uw info. Klik daar op In plaats daarvan aanmelden met een Microsoft-account en volg de instructies.

Open daarna Accounts / Windows-back-up en druk op Beheren. Bevestig met Ja, synchroniseren / Gereed. Herstart de module Instellingen en open opnieuw Windows back-up. Schakel Mijn apps onthouden in als je op een andere pc met hetzelfde account dezelfde apps uit de Microsoft Store wilt gebruiken. Open Mijnvoorkeuren onthouden om aan te geven of je ook de onderdelen Accounts, WiFi-netwerken en wachtwoorden, Taalvoorkeuren en woordenlijst en diverse instellingen wilt synchroniseren.

Handmatige sync Windows

Zo'n accountsynchronisatie is handig, maar niet alle personalisatie-instellingen worden meegenomen. Dat geldt bijvoorbeeld voor geluidsschema's of muisaanwijzers. Of misschien meld je je liever helemaal niet aan met een Microsoft-account, of vertrouw je deze cloudsynchronisatie niet, ook al is er sprake van dataversleuteling. Dan kun je de migratie ook handmatig doen.

We beginnen met het overzetten van een Windows-thema, aangezien dat meerdere onderdelen omvat, zoals lokaal opgeslagen achtergronden, accent- en vensterkleuren, een geluidsschema en de muiscursorstijl. Ga naar Instellingen / Persoonlijke instellingen / Thema's. Dubbelklik op de miniatuur van het gewenste thema, of klik op Bladeren door thema's om er een nieuw te kiezen in de Microsoft Store. Bovenaan kun je het thema aanpassen via de opties Achtergrond, Kleur, Geluiden en Muiscursor. Gebruik telkens het pijltje linksboven om terug te keren. Sla daarna je aangepaste thema op met Opslaan en geef het een naam. Klik vervolgens met rechts op de miniatuur van dit geselecteerde thema en kies Thema voor delen opslaan. Bewaar het als .deskthemepack-bestand (dat eigenlijk een zip-bestand is) op een extern of gedeeld medium. Dubbelklik je op dit bestand in Verkenner van je andere systeem, dan wordt het automatisch uitgepakt en als Windows-thema geïnstalleerd.

Lettertypes en screensavers

Misschien heb je ook zelf een of meer extra lettertypes en screensavers geïnstalleerd, en wil je deze overzetten. Dit kan handmatig als volgt. Voor lettertypes typ je %windir%\fonts in de adresbalk van Verkenner. Selecteer met ingedrukte Ctrl-toets alle gewenste lettertypebestanden, klik er met rechts op en kies Kopiëren naar. Sla deze bestanden op een extern of gedeeld medium op. Op de andere pc selecteer je de bestanden, klik je er met rechts op en kies je Installeren (voor alle gebruikers).

Het overzetten van screensavers verloopt op vergelijkbare wijze. Open de mappen %windir%\System32 en %windir%\SysWOW64, selecteer de gewenste scr-bestanden en kopieer ze naar een geschikt medium. Plak ze op de andere pc in %windir%\System32 en bevestig de kopieeractie als administrator. Je installeert een screensaver door er met rechts op te klikken en Installeren te kiezen, of via Instellingen / Persoonlijke instellingen / Vergrendelingsscherm / Schermbeveiliging.

We hebben een PowerShell-script gemaakt dat dit grotendeels automatiseert. Download het bestand exporteer-extrafonts-ss.ps1 (dit is de downloadlink) op je nieuwe pc, klik er met rechts op en kies Run with PowerShell (als administrator). Je vindt de screensavers en de meeste lettertypes nu op je bureaublad (behalve enkele standaardfonts die je in het script kunt aanpassen bij Fonts uitgezonderd), in submappen van FontScreenSaverBackup.

Profielen

De makkelijkste manier om je Windows-account naar een andere pc over te zetten is via een Microsoft-account (zie paragraaf 1, Synchronisatie via Windows-account). Toch wordt het gebruikersprofiel niet volledig meegenomen. Onder meer lokale bestanden, programmavoorkeuren buiten de Microsoft Store en appdata-mappen, zoals macro's, sjablonen en scripts, blijven achter.

In afwachting van een (vernieuwde) migratietool die Microsoft binnenkort belooft, kun je TransWiz gebruiken. Met de gratis versie kun je één account tegelijk overzetten, maar je kunt dit gewoon herhalen voor andere profielen. Dit werkt ook bij profielen die aan een Microsoft-account zijn gekoppeld. Schakel desnoods tijdelijk over naar een lokaal account. Na de migratie op de andere pc koppel je het profiel opnieuw aan hetzelfde Microsoft-account via Instellingen / Accounts.

Download TransWiz. Installeer het msi-bestand op beide pc's. Start het programma op je oude pc. Kies I want to transfer data to another computer, klik op Volgende en selecteer het gewenste, niet-actieve account (meld je eventueel tijdelijk aan met een ander account). Klik op Volgende en kies een opslaglocatie voor het zip-bestand. Beveilig dit eventueel met een wachtwoord.

Start TransWiz op het andere systeem, kies I have data I want to transfer to this computer en verwijs naar het zip-bestand. Geef eventueel een andere accountnaam op, kies of dit een standaard- of administratoraccount wordt en stel het wachtwoord in. Na afloop zijn de gegevens overgezet en kun je je aanmelden met het nieuwe profiel.

Taalinstellingen

Taal en spelling zijn vaak afgestemd op je voorkeuren, dus waarschijnlijk wil je die ook overzetten. De meeste taalinstellingen binnen Windows worden automatisch gesynchroniseerd via je Microsoft-account, maar desnoods doe je dit handmatig, door dezelfde taalpakketten te installeren. Ga hiervoor naar Instellingen / Tijd en taal / Taal en regio en kies Een taal toevoegen.

De toetsenbordindeling is gekoppeld aan de taal, maar je kunt ook handmatig extra indelingen toevoegen. Klik op de drie puntjes naast je voorkeurstaal en kies Taalopties. Scrol naar Geïnstalleerde toetsenborden en klik op Een toetsenbord toevoegen om de gewenste indeling te kiezen. Met Windows-toets+Spatiebalk schakel je vervolgens snel tussen indelingen. Je kunt trouwens ook per app-venster een andere invoermethode instellen via Instellingen / Tijd en taal / Typen / Geavanceerde toetsenbordinstellingen, met de optie Laat me een andere invoermethode instellen voor elk app-venster.

Wanneer je in apps met spellingcontrole, zoals Kladblok, met rechts klikt op een rood onderstreept woord en kiest voor Aan woordenboek toevoegen of Spelling / Aanwoordenlijst toevoegen, dan wordt het woord in Windows toegevoegd aan een gebruikerswoordenboek. Dit vind je in de map %appdata%\Microsoft\Spelling, wellicht in de submap \neutral of in een taal-submap zoals \nl-NL, in het bestand default.dic of custom.dic. Je kunt dit bestand bekijken met een teksteditor en kopiëren naar dezelfde map op je andere toestel om deze woordenlijst(en) over te zetten.

Applicaties

Geïnstalleerde applicaties zomaar overzetten lukt meestal niet, dus zit er weinig anders op dan ze opnieuw te installeren. Voor volledig portable apps volstaat het vaak om de map waarin je ze plaatste te kopiëren.

Er bestaan handige tools waarmee je veel populaire gratis apps met enkele muisklikken op je nieuwe pc installeert. Bijvoorbeeld Ninite en een pakketbeheerder zoals UniGetUI (klik op deze GitHub-pagina in de rechterkolom onder Releases op Latest).

In UniGetUI kies je Pakkettenbundels en klik je op Pakketten toevoegen aan bundel. Gebruik Pakketten ontdekken om apps op te zoeken. Vink de gewenste pakketten aan en klik op Selectie toevoegen aan bundel. Herhaal dit tot je bundel compleet is. Sla deze op via Bundel opslaan als, open de bundel daarna via Bestaande bundel openen, selecteer alle pakketten en bevestig met Selectie installeren.

App-configuraties

Zo installeer je snel veel apps op je nieuwe pc, maar daarmee neem je je persoonlijke instellingen of configuraties nog niet mee. De gratis app CloneApp was hier prima geschikt voor, maar de ontwikkeling is al enkele jaren stopgezet. Je kunt deze nog steeds downloaden en gebruiken, maar weet dat instellingen van nieuwere apps mogelijk niet volledig meer worden meegenomen. De ontwikkelaar biedt intussen een alternatief aan, Appcopier, maar deze tool is vooralsnog beperkt en minder gebruiksvriendelijk.

Je kunt het eventueel handmatig proberen met een tool als FreeFileSync door de belangrijkste configuratiebestanden naar dezelfde maplocaties op je nieuwe pc te kopiëren. Veel van die bestanden zitten in app-specifieke submappen van mappen zoals %AppData%, %LocalAppData% en %ProgramData%, typisch met extensies zoals ini, cfg, conf, config, json, xml, yaml of yml. Het is het proberen waard, maar overschrijf niet zomaar bestaande bestanden op je nieuwe pc.

Codes en licenties

Als je op je nieuwe pc programma's installeert die ook al op je oude pc stonden, wil je natuurlijk de softwarelicentie overnemen. Hoe je dat doet, hangt af van de toepassingen zelf. Bij software die aan een account is gekoppeld, hoef je meestal alleen met hetzelfde gebruikersaccount op je nieuwe pc aan te melden. Soms moet je de licentie eerst deactiveren op je oude pc via de instellingen of via een webportaal.

Voor software met een klassieke activatiecode noteer je de licentiecode van de oude installatie. Die vind je vaak in je account, op het doosje of in een mail. Bij de installatie op je nieuwe pc voer je deze opnieuw in. Tools zoals Magical Jelly Bean Keyfinder (gratis beperkte versie) en NirSoft Produkey (gratis) kunnen codes van veel geïnstalleerde programma's uitlezen. Omdat deze tools methoden gebruiken die ook door malware gebruikt wordt, is het normaal dat je virusscanner hierbij een melding geeft.

Sommige apps gebruiken een licentiebestand, met een extensie als lic, dat, key of ini, dat je moet exporteren of kopiëren naar dezelfde locatie op je nieuwe pc. Vaak is opnieuw activeren dan ook nodig.

Lees ook: Technische toolkits voor computerproblemen: dit heb je nodig

Browsers

Je gebruikt waarschijnlijk een of meer browsers die gepersonaliseerd zijn met bijvoorbeeld eigen thema's, bladwijzers, geschiedenis, wachtwoorden en instellingen. De eenvoudigste manier om deze over te zetten, is door de ingebouwde synchronisatie te activeren.

We beginnen met Chrome. Log in met je Google-account (dat vind je rechtsboven), open Instellingen, klik op Jij en Google, ga naar Synchronisatie en Google-services en kies Synchronisatie aanzetten. Druk op de knop Instellingen, kies Beheren wat jesynchroniseert en vink de gewenste onderdelen aan via Synchronisatie aanpassen. Op je nieuwe pc meld je je aan met hetzelfde account en activeer je opnieuw de synchronisatie.

Voor Edge werkt dit op vrijwel dezelfde manier met je Microsoft-account, via Instellingen / Profielen / Synchroniseren. Bij Firefox kan het ook, als je een Mozilla-account hebt, via Instellingen / Synchronisatie.

Heb je geen account, dan wordt het iets omslachtiger. Wachtwoorden kun je exporteren en importeren via de ingebouwde wachtwoordmanager. Voor andere onderdelen gebruik je bijvoorbeeld een gratis tool zoals Hekasoft Backup & Restore (ook portable). Sluit je browsers, start de tool en selecteer de gewenste browser. De app ondersteunt circa 45 browsers. Je ziet meteen hoeveel data er geback-upt wordt. Zorg dat Backup is geselecteerd, klik op Start en kies een naam en locatie voor het back-upbestand (dat ook echt de extensie .backup heeft). Op je nieuwe pc installeer je dezelfde browser, sluit je deze en open je opnieuw de app. Kies Restore en verwijs naar het back-upbestand. Alles werkt netjes via lokale bestanden, zonder cloudverbinding.

Synchroniseren Office 365

De kans is groot dat je ook een kantoorpakket gebruikt, en wellicht is dit Microsoft 365 (voorheen Office 365). Persoonlijke instellingen worden dan automatisch gesynchroniseerd tussen systemen, op voorwaarde dat je een geldige licentie hebt en op elk apparaat met hetzelfde Microsoft-account bent aangemeld. Het gaat bijvoorbeeld om je Office-thema, aangepaste woordenlijst, Snelle toegang-werkbalk, Lint-aanpassingen, taalvoorkeuren en (via OneDrive) recente bestanden en persoonlijke sjablonen.

Controleer wel een paar instellingen. Meld je binnen de Office-apps aan met je Microsoft-account (klik desnoods op Aanmelden, rechtsboven). Ga in Windows naar Instellingen /Accounts / Windows-back-up, klik op Beheren bij Uw Microsoft-account synchroniseren met Windows en kies Ja, synchroniseren. Zet vervolgens de optie Mijn voorkeuren onthouden aan en vink bij voorkeur alle opties aan. Gebruik je een werk- of schoolaccount, dan kan je IT-beheerder wel bepaalde synchronisaties beperken (via groepsbeleid).

Handmatig overzetten Office 365

Je kunt ook specifieke Office-onderdelen handmatig overzetten. Voor sjablonen kopieer je bestanden met extensies als dotx, potx en xltx naar dezelfde map op je nieuwe pc. Deze staan normaal gesproken in C:\Users\<gebruikersnaam>\Documenten\Aangepaste Office-sjablonen. Ook eigen woordenboeken kun je meenemen. Het bestand Custom.dic staat in %AppData%\Microsoft\Uproof, default.dic of custom.dic in %AppData%\Microsoft\Spelling, in de submap \neutral of eventueel andere submappen.

Aanpassingen aan het Lint en werkbalken exporteer je via Bestand /Opties / Lint aanpassen. Klik rechtsonder op Importeren en Exporteren en kies Alle aanpassingen exporteren.

Wil je aangepaste stijlen, marges, regelafstand, macro's of eventueel extra opmaakelementen in Word overnemen, dan kopieer je ook het bestand Normal.dotm uit %AppData%\Microsoft\Templates. Extra macro's kun je ook los exporteren in de VBA-editor (Alt+F11), via Bestand / Bestand exporteren en later Bestand importeren.

Bepaalde Office-voorkeuren, zoals standaard bestandslocaties, zitten in het Windows-register. Een back-up maken kan via de Register-editor (druk op Windows-toets+R en voer regedit uit). Bij recente Word-versies zitten deze in de sleutel Computer\HKEY\_CURRENT\_USER\Software\Microsoft\Office\16.0\Word\Options. Klik met rechts op deze sleutel, kies Exporteren en bewaar het reg-bestand. Dubbelklik op dit bestand op je nieuwe systeem en bevestig tweemaal met Ja om de instellingen te importeren. Je maakt liefst eerst een systeemherstelpunt via Een herstelpunt maken in het Windows-startmenu.