Auch Botticellis Venus braucht die richtigen Antivirenprogramme und geschultes Personal, um sie zu schützen. Die Wahrheit des Direktors der Uffizien
Florenz, zwischen Ende Januar und Anfang Februar 2026. Während Touristen aus aller Welt Schlange stehen, um die Primavera oder Leonardos Verkündigung zu bewundern, geschieht in den digitalen Eingeweiden eines der berühmtesten Museen Italiens etwas Unsichtbares und Gefährliches. Über eine Software zur Verwaltung von Bildern mit niedriger Auflösung, die über die institutionelle Website zugänglich ist, verschaffte sich eine Gruppe von Cyberkriminellen durch Verletzung des Netzwerks Zugang zu den Uffizien und infiltrierte die Verwaltungssysteme des gesamten Florentiner Museumskomplexes.
Doch es war kein plötzlicher Blitzangriff.
Der Angriff könnte einigen Rekonstruktionen zufolge noch weiter zurückliegende Wurzeln haben: Seine Spuren sollen bis in den Sommer 2025 zurückreichen, mit einer monatelangen Vorbereitungsphase, in der sich die Angreifer lautlos durch die Infrastrukturen der Uffizien, des Palazzo Pitti und des Boboli-Gartens bewegten. Es ist die klassische Technik von Profis der Cyberkriminalität: leise eindringen, im Schatten bleiben, alles Mögliche sammeln und erst am Ende den Schlag ausführen.
Die Enthüllungen des Corriere: Das Worst-Case-Szenario
Wochenlang war der Vorfall auf Ermittlerkreise beschränkt geblieben, wobei das Museum die Angelegenheit als einfache Störung der Verwaltungssysteme herunterspielte. Dann, Anfang April, enthüllte der Corriere della Sera ein weitaus beunruhigenderes Szenario.
Laut der Tageszeitung habe die Hackergruppe die Server des gesamten Museumskomplexes geleert: Es sei nicht nur das gesamte Archiv der Fotoabteilung gestohlen worden, sondern den Kriminellen sei es auch gelungen, in die Systeme des technischen Büros einzudringen und Zugriff auf Zugangscodes, Passwörter, Alarmsysteme, interne Karten, Ein- und Ausgänge sowie Dienstwege zu erhalten, ebenso wie auf die Standorte von Überwachungskameras und Sensoren.
Das Bild, das sich abzeichnet, gleicht einem Thriller: Mit diesen Informationen könnte sich eine Diebesbande ungestört zwischen den Meisterwerken bewegen und genau wissen, wo sie langgehen muss, was zu vermeiden und was zu deaktivieren ist. Eine Gebrauchsanweisung für den Raub im meistbesuchten Museum Italiens, serviert auf einem digitalen Silbertablett.
Die Staatsanwaltschaft und die Postpolizei ermitteln nun in dem Fall, unterstützt von Experten der Nationalen Agentur für Cybersicherheit, während der Kontakt zu den Erpressern seit einigen Wochen abgebrochen zu sein scheint, was das Museum in einem Klima des Wartens und der höchsten Alarmbereitschaft zurücklässt.
Das Lösegeld auf dem Telefon des Direktors
Eine Forderung über 300.000 Euro in Kryptowährungen, zahlbar innerhalb von 72 Stunden, ging Anfang Februar direkt auf dem persönlichen Telefon des Direktors Simone Verde ein.
Keine institutionelle E-Mail, keine formelle Mitteilung: eine private und einschüchternde Nachricht, zugestellt auf das persönliche Gerät des Museumsleiters. Eine Geste, die viel über die Raffinesse der Angreifer, die Tiefe ihrer Infiltration und ihren Willen zur direkten psychologischen Druckausübung aussagt.
Aus technischer Sicht haben einige Fachquellen den Angriff auf die Ransomware der neuesten Generation BabLock zurückgeführt, auch bekannt als Rorschach, die sich durch eine hohe Verschlüsselungsgeschwindigkeit und fortschrittliche Umgehungstechniken auszeichnet, die in der Lage sind, viele herkömmliche Erkennungssysteme zu umgehen. Die Arbeitsweise entspricht der eines APT-Angriffs – Advanced Persistent Threat –, einem sehr anspruchsvollen IT-Eindringen: Die Hacker dringen über eine sekundäre Schwachstelle ein, bleiben lange Zeit unbemerkt im Netzwerk verborgen, bewegen sich von einem System zum anderen und sammeln nach und nach Daten. Es ist ein langsamer und stiller Angriff, bei dem derjenige gewinnt, der mehr Geduld hat.
Die Antwort des Museums: „Kein Diebstahl, kein Schaden“
Die Leitung der Uffizien lässt das nicht auf sich sitzen und antwortet Punkt für Punkt. In einer langen und scharfen Mitteilung dementieren die Galerien den Alarm des Corriere: kein Diebstahl sensibler Informationen, das Fotoarchiv wurde durch ein Backup wiederhergestellt und Sicherheitsarbeiten waren bereits lange vor dem Angriff geplant.
Zum heikelsten Kapitel – den Karten und Sicherheitscodes – ist die Antwort des Museums eindeutig: Es seien keine Passwörter der Sicherheitssysteme entwendet worden, da diese Systeme über einen internen geschlossenen Kreislauf funktionieren; es gäbe keine Beweise für den Besitz von Sicherheitskarten; und der Standort der Kameras sei per Definition für jeden Besucher sichtbar, der den Kopf hebt.
Auch zum mutmaßlichen Diebstahl der Foto-Backups präzisieren die Uffizien, dass der Server nicht gestohlen wurde und dass das durchgeführte Backup vollständig ist, wobei sich das gesamte Archiv vollumfänglich in den Händen des Museums befindet.
Tatsache ist, dass das Museum nun eilig den großherzoglichen Schatz der Medici in den Florentiner Tresor der Banca d’Italia verlegt, einige Türen zugemauert und das Personal um höchste Diskretion gebeten hat. Es wirkt wie eine Schützengrabensituation, auch wenn das Museum diese Maßnahmen mit dem Beginn von bereits seit langem geplanten Baustellen und laufenden Arbeiten verschiedener Art rechtfertigt.
Abseits der Streitigkeiten zwischen dem Corriere della Sera und dem Museum könnte die Wahrheit, wie so oft, in der Mitte liegen. Der entscheidende Punkt liegt in der Unterscheidung zwischen einem Angriff auf die Arbeitssysteme und einer nachgewiesenen Kompromittierung des physischen Sicherheitsbereichs: zwei verschiedene Ebenen. Auf der ersten Ebene werden Betriebskontinuität, Backups, Archive, E-Mails und Reaktionsfähigkeit gemessen. Auf der zweiten Ebene ginge es um Alarme, Sensoren, Dienstwege und den unmittelbaren Schutz der Werke.
Ein nationaler Notfall
Die Angelegenheit ist im Parlament angekommen: Die PD im Abgeordnetenhaus hat eine Anfrage gestellt, um den Kulturminister Alessandro Giuli aufzufordern, dringend zu klären, wie viel das Kulturministerium für Cybersicherheit ausgibt, um kulturelle Institutionen zu schützen.
Denn heute kann ein Cyberangriff auf Kultursysteme zu einer Form der Erosion der nationalen Identität führen, was in einer Zeit, in der Wissen und Nutzung des Erbes immer mehr über den digitalen Weg erfolgen, umso schwerwiegender ist.
Der Faktor Mensch: Die Schwachstelle, die keine Firewall korrigieren kann
Wie bereits erwähnt, war das Eingangstor der Cyberkriminellen eine alte Software, die täglich von Hunderttausenden von Menschen weltweit genutzt wird, um Fotos der Meisterwerke des enormen künstlerischen Erbes herunterzuladen:
„Es war eine der wenigen, die von unserem IT-Verantwortlichen nicht aktualisiert worden war“, heißt es aus dem Museum, wie die Publikation „Quotidiano Arte“ berichtet.
Ein Punkt, der ein mittlerweile etabliertes Konzept verdeutlicht: Cybersicherheit ist in erster Linie eine Frage der Kultur und der gemeinsamen Verantwortung, und oft reicht Technologie allein nicht aus.
Die Schulung des Personals wird daher zu einer institutionellen Pflicht, ebenso wie die Restaurierung eines Freskos oder die Katalogisierung einer Sammlung. Kriminelle schlagen nämlich fast immer bei Gelegenheiten zu: dort, wo sie exponierte Systeme, veraltete Programme, schwache Identitäten und unzureichende Überwachung vorfinden. Und oft liegen diese Schwächen nicht in den Servern, sondern bei den Menschen, die sie benutzen: ein Mitarbeiter, der auf eine verdächtige E-Mail klickt, ein geteiltes Passwort, ein zu lange ignoriertes Software-Update.
In einem Kontext zunehmend digitalisierter Institutionen verhindern veraltete Technologien, unzureichende Infrastrukturen und begrenzte Budgets, dass viele Kultureinrichtungen strukturierte Cybersicherheitsstrategien implementieren.
Doch die Schulung des Personals ist die erste, unverzichtbare Verteidigungslinie: zu wissen, wie man einen Phishing-Versuch erkennt, zu verstehen, warum Software-Updates installiert werden müssen, und den Wert der Informationen zu begreifen, mit denen man täglich umgeht. Keine technologische Investition, und sei sie noch so hoch, kann das Fehlen einer auf allen Ebenen der Organisation verbreiteten Sicherheitskultur ausgleichen.
