Stellen Sie sich vor, Sie sichern 88 Millionen Euro mit einem Post-it am Monitor. Klingt absurd? Genau das hat das Pariser Louvre – Heimat der Mona Lisa und unermesslicher Kunstschätze – jahrelang gemacht. Das Passwort für das Videoüberwachungssystem? „Louvre“. Nicht „Louvre2025!“. Nicht „L0uvr€!Sicher“. Einfach: „Louvre“.
Am 19. Oktober 2025, an einem ganz normalen Sonntagmorgen, fuhren zwei als Bauarbeiter verkleidete Männer mit einem Lastenaufzug in den Apollon-Saal und stahlen innerhalb von sieben Minuten neun Stücke der französischen Kronjuwelen. Gesamtwert: 88 Millionen Euro. Die hochmoderne Sicherheitstechnik? Konnte nichts tun. Der erste Alarm kam nicht vom Louvre-Sicherheitssystem – sondern von einem Radfahrer, der zufällig einen Hubsteiger am Gebäude bemerkte.
Was wie ein schlechter Krimi klingt, ist bittere Realität 2025. Und – Überraschung – Sie sind dem Louvre womöglich näher, als Ihnen lieb ist.
Windows 2000, wir haben 2025: Der IT-Horror im berühmtesten Museum der Welt
Die Geschichte wird noch besser. Oder schlimmer, je nachdem wie man’s nimmt. Ein Sicherheitsaudit der französischen Cybersicherheitsbehörde ANSSI aus dem Jahr 2014 hatte bereits alarmierend festgestellt: Man brauchte genau ein Wort – „LOUVRE“ – um Zugang zum Videoüberwachungs-Server zu erhalten. Für die Sicherheitssoftware des Unternehmens Thales? Richtig geraten: „THALES“.
Aber es kommt noch besser: Das Büronetzwerk des Museums lief 2014 teilweise noch mit Windows 2000 – einem Betriebssystem, das Microsoft bereits 2010 (!) den Support eingestellt hatte. Ein zweiter Audit 2017 bestätigte: Einige Arbeitsplätze liefen noch mit Windows 2000 und Windows XP – ohne Passwortschutz, ohne Bildschirmsperre.
Und 2025? Dokumente zeigen, dass acht sicherheitsrelevante Softwareprogramme „nicht mehr aktualisiert werden können“. Darunter die Software Sathi von Thales, die seit 2003 die analoge Videoüberwachung steuert und auf einem Windows Server 2003 läuft – einem System, dessen Support Microsoft 2015 einstellte.
Sie denken jetzt vielleicht: „Typisch Museum, altmodisch, weltfremd.“ Aber hier kommt die ernüchternde Wahrheit…
Ihr Unternehmen ist womöglich nicht besser
Bevor Sie lachen: Eine Krypto-Plattform wurde 2025 durch ein Admin-Panel mit dem Passwort „admin123“ gehackt. Schaden: 15 Millionen Dollar. Ein Streaming-Dienst verlor fast 700.000 Abonnenten-Accounts, weil Nutzer Passwörter aus einem Datenleck von 2022 wiederverwendet hatten.
Die traurige Wahrheit aus den Analysen geleakter Passwörter 2025: „123456“ bleibt der unangefochtene Spitzenreiter – über 7,6 Millionen Mal in Hacker-Foren aufgetaucht. Gefolgt von „admin“, „password“, „12345678“ und „qwerty“. Platz 8? „admin123“. Platz 14? „admin@123“.
Ein Cybersecurity-Experte schrieb auf X (ehemals Twitter): „Kunden schwören mir ‚unsere Systeme sind alle aktuell‘ – und dann finde ich irgendeine vergessene Kiste mit veraltetem Betriebssystem, weil sie eine Nischen-App betreibt, die sie nicht updaten wollten, konnten oder nicht wollten bezahlen, weil sie ‚ja funktioniert‘.“
Kommt Ihnen das bekannt vor?
Die Hall of Shame 2025: Passwörter, die Sie niemals verwenden sollten
Falls Sie sich fragen, ob Ihr Passwort dabei ist – hier die traurige Hitliste:
Die Klassiker (funktionieren seit 1995 nicht mehr):
- 123456
- password
- admin
- 12345678
- qwerty
Die „Ich bin kreativ“-Varianten (sind Sie nicht):
- admin123
- password123
- Sommer2025!
- Firma2024!
- Passwort1!
Die „Das merkt sich doch keiner“-Kandidaten:
- Der Firmenname als Passwort (siehe: Louvre)
- Der Softwarename als Passwort (siehe: THALES)
- Der Vor- oder Nachname
- Das Geburtsdatum
- Der Name des Haustiers
Eine Studie analysierte Tausende geleakte Passwörter: Rund 25 Prozent bestehen ausschließlich aus Zahlen. Fast 40 Prozent enthalten die Ziffernfolge „123“. Kombinationen wie „India@123“ oder „minecraft“ wirken komplexer, bieten aber kaum mehr Schutz.
Warum machen Menschen das?
Das Problem liegt nicht in fehlendem Wissen. Jeder hat schon hundertmal gehört: „Nimm ein sicheres Passwort!“ Das Problem ist Bequemlichkeit. Und Nachlässigkeit. Und die trügerische Hoffnung, dass es einen selbst schon nicht treffen wird.
Ein Handwerksbetrieb mit 20 Mitarbeitern nutzt für alle Systeme dasselbe Passwort: „Firma2024!“. Begründung des Geschäftsführers: „Sonst merkt sich das keiner.“ Eine Steuerberatung mit acht Kollegen hat seit fünf Jahren keine Passwörter geändert. Ein Onlineshop wurde gehackt – der Admin-Zugang war „admin/admin“. Beim Polizeiverhör
gab der Geschäftsführer zu: „Hat der IT-Dienstleister damals so eingerichtet. Sollten wir ändern, aber…“
Aber nichts. Jetzt sind die Kundendaten weg.
Die bittere Ironie: Die Plattformen helfen nicht
Hier wird’s richtig ärgerlich: Eine Untersuchung vom November 2025 zeigt, dass 42 Prozent der 1.000 meistbesuchten Websites keine Mindestlänge für Passwörter fordern. 58 Prozent verzichten auf die Pflicht zur Verwendung von Sonderzeichen.
Das steht im krassen Widerspruch zu offiziellen Empfehlungen. Das US-amerikanische National Institute of Standards and Technology (NIST) aktualisierte seine Richtlinien im August 2025: mindestens 15 Zeichen, wenn Passwörter alleine zur Authentifizierung dienen.
Die Realität? Viele Plattformen lassen sechsstellige Codes ohne Sonderzeichen zu. Und Menschen nutzen diese Möglichkeit – ausgiebig.
Was Sie daraus lernen können (bevor Sie zum Louvre werden)
Die Louvre-Räuber hinterließen übrigens 150 DNA-Spuren am Tatort und wurden wenige Tage später beim Fußballspiel festgenommen. Der Hauptverdächtige? Ein 39-jähriger Kleinki mineller, der auf TikTok Motocross-Videos postete und früher mal als Wachmann im Centre Pompidou arbeitete. Keine Mastermind-Hacker. Einfach Leute, die eine offene Tür fanden.
Ihre „offenen Türen“ könnten sein:
1. Triviale Passwörter: Wenn Sie noch „Firma2024!“ oder eine Variante davon nutzen, handeln Sie fahrlässig. Punkt.
2. Passwort-Recycling: Dasselbe Passwort für E-Mail, Online-Banking, Microsoft 365 und den Onlineshop? Das ist wie ein Generalschlüssel für Einbrecher. Ein Datenleck genügt – und plötzlich haben Angreifer Zugriff auf alles.
3. Keine Multi-Faktor-Authentifizierung (MFA): Microsoft gibt an: 99,9 Prozent aller Account-Kompromittierungen werden durch MFA verhindert. Nicht 50 Prozent. Nicht 80 Prozent. 99,9 Prozent. Wenn Sie noch keine MFA nutzen, sind Sie ein leichtes Ziel.
4. Veraltete Systeme: Windows 2000 im Louvre 2025? Klingt lächerlich. Aber: Läuft bei Ihnen noch Windows 7 oder Server 2008, weil „die eine Spezialsoftware“ anders nicht funktioniert? Glückwunsch, Sie sind auf Louvre-Niveau.
Die Lösung ist einfacher als Sie denken
Ein professioneller Passwort-Manager kostet für ein kleines Unternehmen etwa 5 Euro pro Mitarbeiter und Monat. Eine MFA-Lösung? Oft schon in Microsoft 365 enthalten – muss nur aktiviert werden. Die Kosten für einen erfolgreichen Ransomware-Angriff? Durchschnittlich 4,45 Millionen Dollar laut IBM Security Report 2025. Plus Reputationsschaden, Betriebsausfall, Kundenverlust.
Sie müssen kein IT-Experte sein. Sie müssen nur aufhören zu hoffen, dass es Sie nicht trifft, und stattdessen handeln.
In unseren Support-Tickets sehen wir immer wieder dasselbe Muster: Unternehmen rufen uns an, nachdem etwas passiert ist. Ein verschlüsselter Server. Ein gehackter E-Mail-Account. Ein gestohlener Kundenstamm. Dann kommt die Frage: „Warum haben wir das nicht früher gemacht?“
Wir wissen es auch nicht.
Was das Louvre jetzt tut (und was Sie auch tun sollten)
Nach dem Juwelenraub kündigte Frankreichs Kulturministerin Rachida Dati eine umfassende Modernisierung an – frühestens 2029 oder 2030 abgeschlossen. Bis dahin bleiben Sicherheitslücken. Das Museum ist mit seiner Geschichte übrigens in guter (schlechter?) Gesellschaft: 1911 wurde dort die Mona Lisa gestohlen. Der letzte große Einbruch vor 2025 war 1998.
Aber Sie müssen nicht bis 2029 warten. Sie können:
Heute:
- Prüfen Sie, ob bei Ihnen noch triviale Passwörter im Einsatz sind
- Aktivieren Sie MFA für alle kritischen Systeme (E-Mail, Banking, Verwaltung)
Diese Woche:
- Implementieren Sie einen Passwort-Manager
- Schulen Sie Mitarbeiter (15 Minuten genügen für die Basics)
Diesen Monat:
- Auditieren Sie veraltete Systeme
- Erstellen Sie einen Plan zur Ablösung oder Absicherung
Die Louvre-Juwelen sind übrigens bis heute verschwunden. Acht Stücke historischer französischer Kronjuwelen – einfach weg. Das Museum hofft auf Rückgabe. Aber digitale „Kronjuwelen“ – Ihre Kundendaten, Konstruktionspläne, Geschäftsgeheimnisse – sind nach einem Hack meist für immer kompromittiert.
Fazit: Lachen Sie, aber lernen Sie
Das Passwort „Louvre“ ist zum Meme geworden. Auf X (ehemals Twitter) schrieb jemand: „Wenn du denkst, du bist schlecht in deinem Job und das macht dich depressiv, denk daran: Das Passwort des Louvre war ‚Louvre‘.“
Aber seien wir ehrlich: Wie viele KMUs haben „Firma2024!“ als Passwort? Wie viele nutzen noch Windows 7, weil die Buchhaltungssoftware „noch läuft“? Wie viele haben keine MFA, weil es „zu kompliziert“ sei?
Der Unterschied zwischen dem Louvre und Ihrem Unternehmen: Das Louvre hatte acht Jahre Warnungen von Cybersicherheitsbehörden. Sie haben diesen Artikel.
Die Frage ist: Was machen Sie jetzt damit?
Denn während die Pariser Juwelen verschwunden bleiben, können Sie Ihre digitalen Kronjuwelen noch retten. Die Frage ist nur: Warten Sie auf den Einbruch – oder handeln Sie jetzt?
#Cybersecurity #ITSicherheit #KMU #Mittelstand #Passwörter #MFA #DataSecurity #InfoSec #CyberAwareness #SecurityFails
