Eine private Prüfung, auf die eine Journalistengruppe zugegriffen hat, zeigt, dass das Überwachungssystem des Louvre-Museums das Passwort „Louvre“ verwendet hat, um auf die Kameraschaltung zuzugreifen. Der Kronjuwelenraub ereignete sich am 19. Oktober 2025, wobei im Zusammenhang mit der Tat zwei Männer festgenommen wurden. Dokumente weisen auf Sicherheitsprobleme hin, die sich im größten Museum der Welt in Paris seit einem Jahrzehnt angehäuft haben.
Das französische Kulturministerium räumte Versäumnisse ein, nachdem es am 1. November Berichte in der Zeitung Libération veröffentlicht hatte. Ministerin Rachida Dati erkannte Schwachstellen, die zuvor von der Regierung geleugnet wurden. Vier Verdächtige wurden festgenommen, deren Profile von der Pariser Staatsanwältin Laure Beccuau als amateurhaft bezeichnet wurden.
- Das Passwort „Louvre“ ermöglichte den Zugriff auf den Videoüberwachungsserver.
- Passwort „Thales“ hat auf andere kritische Software zugegriffen.
- Simulierte Angriffe veränderten Badge-Berechtigungen und kompromittierten Netzwerke.
Veraltete Software
Das 2003 von der Firma Thales erworbene Sathi-Programm überwachte Kameras und Zutrittskontrollen. Ein Bericht aus dem Jahr 2019 warnte bereits vor mangelnder Wartung durch den Lieferanten.
Thales bestätigte das Fehlen eines aktiven Vertrags und keinen Kontakt des Museums bezüglich einer Verlängerung. Das System lief auf einem Server mit Windows Server 2003, der 2015 von Microsoft eingestellt wurde.
Penetrationstests
Cybersicherheitsexperten haben von Computern aus auf das Sicherheitsnetzwerk zugegriffengemeinsame Verwaltungsanbeter. Sie haben die Videoüberwachung kompromittiert und Zugangskontrolldaten geändert.
Diese Tests zeigten, dass es zu Einbrüchen von außerhalb des Museums kommen kann. Die Kombination inkompatibler Systeme beeinträchtigte den Schutz der Werke und die Sicherheit der Besucher.
Verdächtiges Profil
Die Behörden nahmen vier Personen fest, die mit dem Schmuckdiebstahl in Verbindung stehen. Staatsanwältin Laure Beccuau berichtete, dass die Profile nicht auf organisierte Kriminalität hinweisen.
Inhaftierte begehen Straftaten, die nicht mit höheren Ebenen in Zusammenhang stehen. Zwei Männer wurden wegen ihrer Beteiligung an dem Raubüberfall direkt festgenommen.
Korrekturmaßnahmen
Der Louvre plant, vor Ende 2025 Einbruchschutzgeräte zu installieren. Acht wichtige Softwareprogramme haben seit Jahren keine Updates mehr erhalten.
Berichte aus dem Jahr 2021 weisen auf eine weit verbreitete Obsoleszenz hin. Verwaltungsdokumenten zufolge bestehen die Probleme seit mindestens 2015 fort.
Schwächen aufgedeckt
Die nationale Sicherheitsbehörde hat schwache Passwörter auf wichtigen Servern identifiziert. Der Fernzugriff beeinträchtigte den gesamten Überwachungskreis.