Shutterstock / Phil Pasquini

Das Louvre-Museum in Paris wurde im Oktober 2025 bekanntlich von Einbrechern heimgesucht und auf ziemlich dreiste Art und Weise um Juwelen im Wert von circa 88 Millionen Euro erleichtert. Die Diebe nutzten für ihren Raubzug einen Möbelaufzug (made in Germany), um durch ein Fenster im zweiten Stock des Louvre einzusteigen und die historischen Schmuckstücke aus ihren Vitrinen zu stehlen.

Sowohl die Alarmsysteme am betroffenen Fenster als auch an den Vitrinen haben dabei laut dem französischen Kulturministerium wie vorgesehen funktioniert. Der Einbruch führte zu einer umfassenden Überprüfung der Sicherheitsvorkehrungen des Louvre. In einer ersten Reaktion empfahl die französische Behörde für kulturelle Angelegenheiten kürzlich:

• neue Governance-Regeln und Security-Richtlinien einzuführen,
• zusätzliche Sicherheitskameras rund um den Gebäude-Perimeter zu installieren, sowie
• sämtliche Sicherheitsprotokolle und -prozesse bis Jahresende zu aktualisieren.

Das ist laut einem aktuellen Bericht der französischen Tageszeitung Libération auch dringend nötig – nicht nur mit Blick auf den Millionenraub.

“Wer braucht schon Updates?”

Denn die Journalisten von Libération konnten diverse vertrauliche Audits der Sicherheitssysteme des Louvre-Museums einsehen. Demnach gab es bereits 2014 und 2017 eklatante IT-Sicherheitsprobleme. So sei bei einem Audit durch die französische Cybersicherheitsbehörde ANSSI im Jahr 2014 festgestellt worden, dass das Office-Automation-Netzwerk des Louvre auf Windows 2000 lief – drei Jahre nachdem Microsoft die Security-Updates für sein Legacy-Betriebssystem eingestellt hatte. Ein weiteres haarsträubendes Highlight des Berichts: Ein Videoüberwachungssystem, dessen Server mit Passwort LOUVRE “abgesichert” war. Laut dem Bericht von Libération wurde den Louvre-Verantwortlichen damals seitens ANSSI empfohlen, komplexe Passwörter einzusetzen, Schwachstellen zu patchen und seine Software zu aktualisieren.

Dass man diesen Empfehlungen offenbar nicht nachgekommen ist, zeigt der zweite Audit-Report aus dem Jahr 2017 – diesmal durchgeführt von der dem französischen Innenministerium unterstellten Behörde INHESJ. Diese Prüfer stellten laut Libération drei Jahre später ebenfalls fest, dass Arbeitsplätze mit veralteten Betriebssystemen wie Windows 2000 und XP (Support seitens Microsoft 2014 eingestellt) ausgestattet waren und beanstandeten eine laxe Passworthygiene.

Und die Windows-Probleme des Louvre setzten sich auch danach weiter fort – mindestens bis zum Jahr 2021. So wurde etwa ein Videoüberwachungssystem des französischen Unternehmens Thales im Jahr 2003 eingeführt. Dokumenten zufolge lief dieses bis zum Jahr 2021 auf einem Rechner mit Windows Server 2003 (erweiterter Support 2015 ausgelaufen) – obwohl die Applikation schon seit 2019 keinen Support und damit auch keine Sicherheits-Updates mehr erhielt.

Es gibt zwar keine Anzeichen dafür, dass die langjährigen Softwareprobleme des Louvre mit dem Millionenraub aus dem Oktober 2025 in Zusammenhang stehen. Dennoch lassen die nun bekannt gewordenen Umstände erkennen, dass die Verantwortlichen des Museums wohl nicht nur die physische Security vernachlässigt haben. (fm)

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.