Paris, 19. Oktober 2025.
Es sind die frühen Morgenstunden eines Sonntags, als vier vermummte Gestalten in gelben Bauarbeiterwesten auf einem Lastenaufzug an der Fassade des berühmtesten Museums der Welt hochfahren. In sieben Minuten stoppen sie eine Fenster der Apollo-Galerie (Galerie d’Apollon) mit einer Kreissäge auf, zerschlagen die Glasvitrinen und entwenden acht Schmuckstücke der französischen Krone, darunter die Halskette und die Brosche Napoleons sowie die Tiara von Joséphine Bonaparte.
Wert der Beute: 88 Millionen Euro. Dann verschwinden sie im Pariser Verkehr an Bord von zwei Rollern.
Was wie ein perfekt organisierter Coup von raffinierten Kriminellen aussah, entpuppte sich stattdessen als ein Raubüberfall, der von Kleinkriminellen aus der Vorstadt verübt wurde, die der Polizei bereits wegen kleinerer Diebstähle bekannt waren.
Wie konnten sie mit solcher Leichtigkeit in die Festung des Louvre eindringen? Die Antwort liegt nicht in ihren Fähigkeiten, sondern in den eklatanten Sicherheitslücken einer Institution, die unschätzbare Schätze bewahrt.
Das peinlichste Geheimnis: Das Passwort lautete „Louvre“
Als die gerichtliche Untersuchung begann, die Dynamik des Diebstahls zu ergründen, kam ein Detail ans Licht, das Ermittler, Sicherheitsexperten und die französische Öffentlichkeit sprachlos machte.
Laut vertraulichen Dokumenten, die von der Tageszeitung Libération beschafft wurden, reichte es aus, ein ebenso banales wie peinliches Passwort einzugeben, um auf den Server der Videoüberwachung des Louvre zuzugreifen: „Louvre“. Genau, der Name des Museums selbst.
Das ist noch nicht alles. Ein anderes Sicherheitssystem verwendete als Zugangsdaten „Thales“, einfach den Namen des Softwareanbieters. So, als würde ein Bürger seine Online-Bank mit dem Passwort „123456“ oder, noch schlimmer, mit dem Namen der Bank selbst schützen.
Die Pariser Chefanklägerin Laure Beccuau bestätigte, dass die verhafteten Verdächtigen „Kleinkriminelle sind, deren Porträts nicht mit denen übereinstimmen, die im Allgemeinen mit der Spitze der organisierten Kriminalität in Verbindung gebracht werden“. Mit anderen Worten: Es brauchte keine ausgeklügelten Hacker oder internationalen Organisationen, um die Systeme des Louvre zu knacken. Es reichte das offensichtlichste Passwort der Welt.
Zwanzig Jahre unbeachtete Warnungen
Die Schwachstellen des Louvre waren kein Geheimnis. Bereits im Dezember 2014 führten drei Experten der Nationalen Agentur für die Sicherheit von Informationssystemen (ANSSI) ein internes Audit durch, das vom Museum angefordert wurde.
Die Experten analysierten das sogenannte „réseau de sûreté“, das Netzwerk, das die sensibelsten Geräte – Kameras, Alarme, Zugangskontrolle – verbindet, und stellten fest, dass die installierten Anwendungen und Systeme zahlreiche Schwachstellen aufwiesen. Im Laufe des Tests gelang es ihnen, von einem einfachen Computer des internen Netzwerks aus in das System einzudringen und von dort aus auf die Videoüberwachungsserver und die Datenbanken der Badges zuzugreifen.
Die ANSSI empfahl nach Abschluss des Audits, komplexe Passwörter einzuführen, veraltete Systeme zu migrieren und bekannte Schwachstellen zu beheben.
Ein zweites Audit, das von 2015 bis 2017 vom INHESJ (Nationales Institut für Höhere Studien zur Sicherheit und Justiz) durchgeführt wurde, bestätigte und verstärkte die bereits bekannten kritischen Punkte. Das Dokument prangerte „die
Persistenz derselben Schwachstellen: veraltete IT-Systeme, vorhersehbare Passwörter und Mängel bei den Aktualisierungsverfahren“ an. Und es mahnte: „Das Museum darf nicht länger ignorieren, dass es Opfer eines Angriffs werden kann, dessen Folgen dramatisch wären“.
Doch trotz dieser offiziellen Warnungen hat sich nichts geändert.
Informatik und Videoüberwachung aus dem Museum
Die Ermittlungen ergaben außerdem, dass mehrere Sicherheitsserver noch mit Windows 2000 und Windows Server 2003 liefen, Betriebssysteme, deren Support Microsoft 2010 bzw. 2015 eingestellt hat. Einige Arbeitsplätze verwendeten sogar
Acht sicherheitskritische Programme des Museums waren „nicht mehr aktualisierbar“, darunter Sathi, die 2003 von Thales erworbene Software zur Überwachung der Videoüberwachung. Über zwanzig Jahre alte Systeme, praktisch Fossilien im digitalen Zeitalter.
Dies führt zu einem Mangel an Sicherheitsupdates, keinerlei Korrekturen für Schwachstellen, veralteten und unwirksamen Antivirenprogrammen. Ein bisschen so, als würde man die Hausschlüssel unter die Fußmatte legen.
Ganz zu schweigen von dem Videoüberwachungssystem, das sich als ein wahres, im Laufe der Zeit geschichtetes Technologie-Patchwork herausstellte. Wie der Pariser Polizeichef Patrice Faure während einer Anhörung im Senat erklärte, sind große Teile des Systems noch analog und liefern Bilder von geringer Qualität, die schwer zu analysieren und langsam in Echtzeit zu übertragen sind.
Darüber hinaus waren laut einem Bericht des französischen Rechnungshofs viele Räume des Museums völlig ohne Kameras. Dies erklärt, warum die Diebe fast ungestört agieren konnten. So sehr, dass die erste Meldung an die Polizei nicht einmal von den internen Sicherheitssystemen kam, sondern von einem Radfahrer, der auf der Straße unterwegs war und misstrauisch wurde, als er am Sonntagmorgen eine Person mit einer reflektierenden Weste auf einem Lastenaufzug an der Fassade des Museums sah.
Eine unzureichende Governance und eine nicht vorhandene Sicherheitskultur
Die Kulturministerin Rachida Dati musste öffentlich das Offensichtliche eingestehen: „Eine chronische und strukturelle Unterschätzung des Diebstahlrisikos“. Die Schlussfolgerungen der Voruntersuchung der Aufsichtsbehörde des Kulturministeriums sprechen eine deutliche Sprache: „Sicherheitslücken“ und eine zwanzigjährige „Unterschätzung der strukturellen Risiken im Zusammenhang mit dem Diebstahl von Kunstwerken“.
Das Problem ist nicht nur technischer, sondern auch kultureller und organisatorischer Natur. Der Louvre hat die IT-Sicherheit bisher als eine Nebenausgabe, eine bürokratische Erfüllung betrachtet, und nicht als eine strategische Investition zum Schutz eines unschätzbaren Erbes. Die Wartung war fragmentarisch, die Aktualisierungen unvollständig, die Protokolle veraltet. Eine ineffiziente Governance, bei der die Verantwortung zwischen internem Personal und externen Anbietern aufgeteilt ist, ohne eine klare Befehlskette.
Ein Problem, das über den Louvre hinausgeht
Aber dies ist kein Einzelfall, denn das Problem betrifft viele kulturelle und öffentliche Einrichtungen auf der ganzen Welt. Museen, Bibliotheken, Archive: Allzu oft basieren die physischen und digitalen Sicherheitssysteme auf veralteten, nicht aktualisierten Technologien, die mit Oberflächlichkeit verwaltet werden.
Laut dem NordPass-Bericht 2024 ist das in Italien am häufigsten verwendete Passwort immer noch „123456“, um auf sensible Daten von Kunden, Mitarbeitern oder Bürgern zuzugreifen. Die Kontexte und Institutionen ändern sich, aber die Oberflächlichkeit bleibt dieselbe. Wie eine aktuelle Studie gezeigt hat, entscheiden sich nur 49 % der Unternehmen, die einen Cyberangriff erlitten haben, anschließend für Investitionen in die Cybersicherheit.
Eine Zahl, die eine Mentalität widerspiegelt, die immer noch zu reaktiv statt präventiv ist, und eine Ausbildung in IT-Sicherheit, die immer noch dramatisch mangelhaft ist.
Allzu oft wird gedacht, dass es ausreicht, ein Antivirenprogramm oder eine Firewall zu installieren, um geschützt zu sein, wobei ignoriert wird, dass Sicherheit ein kontinuierlicher Erkenntnisprozess ist, der Kompetenzen, ständige Aktualisierungen, strenge Verfahren und vor allem ein gemeinsames Bewusstsein auf allen Ebenen der Organisation erfordert und der im Laufe der Zeit durch Schulungen aufgebaut wird, die der Herausforderung, vor die uns diese historische Periode stellt, gewachsen sind.
