Eine interne Prüfung hat ergeben, dass das Louvre-Museum in Paris einst das Passwort “Louvre” verwendete, um sein Videoüberwachungssystem zu schützen, was ernsthafte Fragen über die digitalen Sicherheitspraktiken der Institution aufwirft. Die Enthüllung tauchte nach einem aufsehenerregenden Raubüberfall im vergangenen Monat wieder auf, bei dem Diebe acht Stücke aus Frankreichs Kronjuwelensammlung stahlen.
Laut Dokumenten, die von französischen Medien eingesehen wurden, wurden Schwachstellen im Bereich der Cybersicherheit erstmals im Jahr 2014 bei einer Inspektion durch die nationale Agentur für die Sicherheit von Informationssystemen festgestellt. Der Bericht stellte fest, dass auf den Überwachungsservern des Museums veraltete Software lief und leicht zu erratende Passwörter verwendet wurden. Die Ermittler sagten, dass die gleichen Schwächen trotz wiederholter Warnungen seit Jahren bestehen zu bestehen scheinen.
Die Prüfung stellte fest, dass Teile des Systems noch unter Windows 2003 liefen, einer veralteten Version, die von Microsoft nicht mehr unterstützt wird. Experten sagten, dass Systeme, die ohne Updates oder moderne Authentifizierungskontrollen auskommen, ein leichtes Ziel für Eindringlinge und Manipulationen sind. Veraltete Technologie erschwert auch die Protokollierung oder Erkennung verdächtiger Aktivitäten.
Die Führung des Louvre hat die Ergebnisse nicht bestritten, sondern die Sicherheitsprobleme als “seit langem bestehende strukturelle Probleme” bezeichnet. Beamte sagten, dass chronische Unterfinanzierung und fragmentierte Aufsicht zu Verzögerungen bei der Modernisierung der Systeme beigetragen hätten. Frankreichs Kulturministerin Rachida Dati sagte gegenüber Reportern, dass das Museum die Risiken eines Eindringens “unterschätzt” habe und dass nun eine Überprüfung der Sicherheitspraktiken aller Kultureinrichtungen im Gange sei.
Der Raubüberfall am 19. Oktober war einer der bedeutendsten Diebstähle in der Geschichte des Museums. Berichten zufolge verschafften sich Diebe während der Besuchszeiten Zugang, überwältigten die Wachen und entkamen mit Juwelen im Wert von mehreren zehn Millionen Euro. Während die Ermittlungen noch andauern, deuten erste Erkenntnisse darauf hin, dass die Angreifer sowohl physische als auch digitale Schwachstellen ausgenutzt haben. Sicherheitsaufnahmen aus bestimmten Bereichen fehlten oder waren beschädigt, und elektronische Schlösser lösten während des Raubüberfalls keinen Alarm aus.
Cybersicherheitsspezialisten sagten, dass die schlechte Passwortpolitik und die veraltete Infrastruktur des Museums es den Angreifern wahrscheinlich erleichtert haben, ihren Betrieb zu planen. Einfache Passwörter gehören zu den häufigsten Sicherheitsversäumnissen und können es Kriminellen ermöglichen, Überwachungssysteme zu umgehen oder Alarme aus der Ferne zu deaktivieren. Experten stellten auch fest, dass die Trennung von physischer und digitaler Sicherheitsverantwortung Lücken schaffen kann, die Angreifer ausnutzen.
Der Vorfall hat die Debatte über die digitale Bereitschaft von Kultureinrichtungen neu entfacht. Viele Museen verlassen sich auf veraltete Systeme, die ursprünglich für eine grundlegende Überwachung und nicht für integrierte cyber-physische Sicherheit entwickelt wurden. Da die Abläufe immer komplexer und vernetzter werden, werden diese Systeme oft zu Verbindlichkeiten. Selbst die berühmtesten Museen der Welt, die mit unschätzbarer Kunst und Artefakten umgehen, stehen vor den gleichen Herausforderungen bei der Cybersicherheit wie kleinere Organisationen.
Analysten sagen, der Fall zeige, dass Cybersicherheit heute untrennbar mit physischer Sicherheit verbunden ist. “Wenn Zugangskontrollen oder Kameras über vernetzte Systeme verwaltet werden, kann ein schwaches Passwort oder veraltete Software reale Folgen haben”, sagte ein französischer Sicherheitsforscher gegenüber lokalen Medien.
Nach dem Raubüberfall haben die Behörden eine vollständige Überprüfung der Sicherheitsinfrastruktur des Louvre angeordnet. Zu den ersten Empfehlungen gehören die Modernisierung von Überwachungssystemen, der Ersatz veralteter Software, die Durchsetzung strenger Passwort- und Zugriffskontrollen und die Integration von Cybersicherheitsaudits in routinemäßige Betriebsprüfungen. Es wird erwartet, dass andere Nationalmuseen ähnliche Bewertungen durchlaufen werden.
Der Fall Louvre erinnert daran, dass selbst renommierte Institutionen unter grundlegenden Sicherheitsmängeln leiden können. Für viele Experten ist dies ein Beweis für eine einfache Wahrheit: Technologie allein kann Verbrechen ohne angemessenes Management, aktualisierte Systeme und disziplinierte Sicherheitspraktiken nicht verhindern.