Inhalt:
Lesedauer 8min
Das Passwort „LOUVRE“ schützte jahrelang die Videoüberwachung eines der berühmtesten Museen der Welt. Der spektakuläre Juwelendiebstahl im Oktober 2025 offenbart ein IT-Sicherheitsversagen, das auch deutschen Unternehmen als Weckruf dienen sollte. 80 Prozent der Datenschutzverletzungen entstehen durch schwache Passwörter [Q6]. Erfahren Sie, wie Sie Ihre Passwort-Sicherheit systematisch verbessern.
Der Louvre-Skandal: Jahrzehntelange Ignoranz gegenüber IT-Sicherheit
Am 19. Oktober 2025 erbeuteten Diebe Juwelen im Wert von 88 Millionen Euro aus dem Louvre [Q1]. Die anschließenden Ermittlungen enthüllten erschreckende Sicherheitsmängel. Das Passwort für das Videoüberwachungssystem lautete schlicht „LOUVRE“, für die Sicherheitssoftware „THALES“ [Q1, Q3]. Diese trivialen Zugangsdaten waren der französischen Cybersicherheitsbehörde ANSSI bereits seit einer Inspektion im Dezember 2014 bekannt [Q1]. Trotz wiederholter Warnungen änderte sich nichts.
Die technische Infrastruktur des Museums offenbarte weitere gravierende Mängel. Bis 2017 liefen Teile des Office-Automation-Netzwerks auf Windows 2000, drei Jahre nach Support-Ende [Q2]. Das Videoüberwachungssystem basierte bis 2021 auf Windows Server 2003, obwohl Microsoft den Support bereits 2015 eingestellt hatte [Q2]. Ein Audit 2017 durch das Institut national des hautes études de la sécurité et de la justice (INHESJ) bestätigte die identischen Mängel wie 2014 [Q2]. Das IT-System des Louvre wuchs über 20 Jahre mit Teilsystemen, ohne dass Kernsysteme modernisiert wurden [Q3].
Für deutsche Unternehmen ist dieser Fall mehr als eine Anekdote. 81 Prozent der deutschen Unternehmen waren 2024 von Datendiebstahl, Spionage oder Sabotage betroffen [Q4]. Der Schaden belief sich auf 266,6 Milliarden Euro, ein Anstieg von 29 Prozent zum Vorjahr [Q4]. Die Parallelen sind deutlich erkennbar: Veraltete Systeme, triviale Passwörter und ignorierte Audit-Empfehlungen finden sich in vielen KMU.
Warum schwache Passwörter existenzbedrohend sind
Passwort-Sicherheit in Unternehmen wird systematisch unterschätzt. 86 Prozent der Angriffe auf Webanwendungen nutzen gestohlene Anmeldeinformationen als Einstieg [Q8]. 57 Prozent der deutschen Internetnutzer verwenden teilweise dieselben Passwörter für verschiedene Dienste [Q6]. Diese Praxis öffnet Angreifern Tür und Tor.
Die Gefahr ist real und messbar. 90 Prozent der Malware-Angriffe sind mit dem Diebstahl von Daten oder Anmeldeinformationen verbunden [Q8]. 65 Prozent der deutschen Unternehmen fühlen sich durch Cyberattacken existenziell bedroht [Q4]. 78 Prozent der KMU befürchten, dass ein größerer Vorfall sie aus dem Geschäft bringen könnte [Q8]. Fast die Hälfte der KMU verlässt sich auf Passwörter ohne Multi-Faktor-Authentifizierung [Q8].
Das Louvre-Beispiel zeigt typische Fehler, die auch in deutschen Unternehmen vorkommen. Die Verwendung von Firmennamen, Produktnamen oder Systemnamen als Passwort ist weit verbreitet. Sie erscheinen praktisch und „sicher genug“. Tatsächlich sind sie für Angreifer in Sekunden zu erraten. Das beliebteste kompromittierte Passwort 2025 war „123456“ [Q5]. Solche trivialen Kombinationen lassen sich durch Brute-Force-Angriffe nahezu sofort knacken.
Die regulatorischen Anforderungen verschärfen sich. NIS-2, DORA und DSGVO drohen hohe Bußgelder bei Passwort-Sicherheitsmängeln [Q5]. Mit der Umsetzung der NIS-2-Pflichten für Passwort-Management fallen künftig rund 30.000 Betriebe in Deutschland unter die Aufsicht des BSI [Q7]. Die IT-Sicherheitslage in Deutschland bleibt laut BSI-Lagebericht 2024 „weiterhin angespannt“ [Q7]. Die Professionalisierung der Cyberkriminellen nimmt zu: 70 Prozent der Angriffe gehen auf organisierte Kriminalität zurück [Q4].
Best Practices für sichere Passwort-Sicherheit in Unternehmen
Passwort-Sicherheit lässt sich systematisch verbessern. Die folgenden Maßnahmen reduzieren Ihr Risiko messbar.
Passwortrichtlinien konsequent durchsetzen
Die Mindestlänge für Passwörter sollte 15 Zeichen betragen, für privilegierte Accounts und Admin-Zugänge 20 Zeichen [Q5]. Passwörter müssen Buchstaben, Zahlen und Sonderzeichen kombinieren. Vermeiden Sie Wörterbuchwörter, Namen oder vorhersehbare Muster. Passwörter wie „Sommer2024!“ oder „Unternehmen123“ bieten keinen ausreichenden Schutz.
Implementieren Sie eine Passwort-History, die die Wiederverwendung der letzten zehn Passwörter verhindert. Definieren Sie Ablaufintervalle: Normale Accounts sollten Passwörter alle 90 Tage ändern, privilegierte Accounts alle 60 Tage. Nach Personalwechseln müssen alle betroffenen Zugänge sofort geändert werden.
Multi-Faktor-Authentifizierung flächendeckend einführen
MFA reduziert das Risiko durch gestohlene Anmeldeinformationen um 86 Prozent [Q8]. Die Implementierung sollte priorisiert erfolgen: Zuerst administrative Zugänge, dann Remote-Zugriffe wie VPN und RDP, anschließend kritische Geschäftsanwendungen und E-Mail-Systeme.
Nutzen Sie moderne MFA-Methoden wie Hardware-Tokens (FIDO2/U2F), Authenticator-Apps oder biometrische Verfahren. SMS-basierte Zwei-Faktor-Authentifizierung ist besser als nichts, aber anfällig für SIM-Swapping-Angriffe. Eine sichere Authentifizierung einführen ist für KRITIS-Betreiber und NIS-2-pflichtige Unternehmen verpflichtend.
Passwort-Manager unternehmensweit nutzen
Enterprise-Passwort-Manager ermöglichen sichere, einzigartige Passwörter für jeden Dienst, ohne dass sich Mitarbeiter Dutzende komplexer Kombinationen merken müssen. Sie automatisieren Passwortrotation, erzwingen Richtlinien und protokollieren Zugriffe. Nur 33 Prozent der deutschen Nutzer verwenden für jeden Online-Dienst ein individuelles Passwort [Q6]. Passwort-Manager schließen diese Lücke.
Achten Sie bei der Auswahl auf Zero-Knowledge-Architektur, End-to-End-Verschlüsselung, MFA-Integration und Audit-Trails. Die Lösung sollte Compliance-Anforderungen wie DSGVO und NIS-2 erfüllen und sich in Ihre bestehende IT-Infrastruktur integrieren lassen.
Legacy-Systeme systematisch ablösen
Warum veraltete Systeme zum Sicherheitsrisiko werden, zeigt das Louvre-Beispiel eindrücklich. Windows Server 2003 erhielt seit 2015 keine Sicherheitsupdates mehr [Q2]. Solche Systeme sind inakzeptable Risiken. Erstellen Sie eine Bestandsaufnahme aller eingesetzten Betriebssysteme und Anwendungen. Priorisieren Sie die Migration nach Support-Ende-Datum und Kritikalität.
Für Altsysteme, die nicht sofort ersetzt werden können, implementieren Sie Kompensationsmaßnahmen: Netzwerksegmentierung, restriktive Firewall-Regeln, verstärktes Monitoring und dedizierte Zugriffskontrollen. Diese Maßnahmen sind Notlösungen, kein Ersatz für aktuelle Systeme.
Security-Awareness kontinuierlich schulen
Technische Maßnahmen greifen nur, wenn Mitarbeiter sie verstehen und akzeptieren. Security-Awareness-Schulungen sollten Passwort-Hygiene, Phishing-Erkennung, Social Engineering und Incident Reporting umfassen. Schulen Sie mindestens halbjährlich, bei privilegierten Nutzern quartalsweise.
Nutzen Sie realistische Phishing-Simulationen, um Sensibilität zu schaffen. Mitarbeiter, die auf Testphishing hereinfallen, erhalten individuelle Nachschulungen. Etablieren Sie eine Kultur, in der Sicherheitsfragen offen angesprochen werden können, ohne Angst vor Konsequenzen.
Praxisbeispiel: Systematische Verbesserung der Passwort-Sicherheit
Ein mittelständisches Unternehmen erkannte nach einem Beinahe-Vorfall Handlungsbedarf. Ein Phishing-Angriff scheiterte nur knapp, weil ein aufmerksamer Mitarbeiter verdächtige E-Mails meldete. Die anschließende Analyse offenbarte typische Schwachstellen.
Ausgangslage im Unternehmen
Das Unternehmen nutzte keine einheitliche Passwortrichtlinie. Mitarbeiter wählten Passwörter frei, oft unter acht Zeichen. Passwörter wurden selten geändert, bei Personalwechseln unzuverlässig zurückgesetzt. Administrative Zugänge waren nicht durch MFA geschützt. Ein Passwort-Manager existierte nicht. Die IT-Abteilung hatte wiederholt auf diese Risiken hingewiesen, ohne Gehör zu finden.
Vorgehen der SECURAM
SECURAM führte einen kostenlosen Security-Check des Passwortgebrauchs durch und entwickelte im Anschluss eine systematische Roadmap. Die Priorisierung erfolgte nach Kritikalität: Zunächst administrative Accounts und Remote-Zugriffe, dann Geschäftsanwendungen, schließlich Standard-Accounts. Die Implementierung erfolgte in vier Monaten.
Phase 1 umfasste die Einführung eines Enterprise-Passwort-Managers und MFA für alle Admin-Accounts.
Phase 2 etablierte unternehmensweite Passwortrichtlinien: mindestens 15 Zeichen, Komplexität, 90-Tage-Rotation.
Phase 3 rollte MFA für Remote-Zugriffe und kritische Anwendungen aus.
Phase 4 beinhaltete Security-Awareness-Schulungen für alle Mitarbeiter.
Ergebnisse
Nach sechs Monaten hatte das Unternehmen messbare Verbesserungen erreicht. Die Passwort-Qualität stieg signifikant: 98 Prozent der Accounts erfüllten die Mindestanforderungen. MFA schützte 100 Prozent der privilegierten Accounts und 87 Prozent aller Accounts. Phishing-Simulationen zeigten eine Erfolgsquote von unter fünf Prozent, vorher waren es 23 Prozent.
Das Sicherheitsniveau erhöhte sich nachweislich. Ein externer Penetrationstest bestätigte die Wirksamkeit der Maßnahmen. Das Risiko durch gestohlene Anmeldeinformationen sank auf ein akzeptables Niveau. Die Geschäftsführung erkannte, dass Audit-Empfehlungen richtig umzusetzen nicht nur Compliance-Pflicht, sondern geschäftskritisch ist.
Häufig gestellte Fragen zu Passwörtern
Warum sind schwache Passwörter gefährlich?
Schwache Passwörter sind der Haupteinstiegspunkt für Cyberangriffe. 80 Prozent der Datenschutzverletzungen 2024 wurden durch schwache Passwörter verursacht [Q6]. 86 Prozent der Angriffe auf Webanwendungen nutzen gestohlene Anmeldeinformationen [Q8]. Einfache Passwörter lassen sich durch Brute-Force-Angriffe in Sekunden knacken. Moderne Cracking-Tools testen Millionen Kombinationen pro Sekunde. Ein acht Zeichen langes Passwort aus Kleinbuchstaben ist in unter einer Minute geknackt.
Wie lang sollte ein sicheres Passwort sein?
Die Mindestlänge für Passwörter sollte 15 Zeichen betragen [Q5]. Für privilegierte Accounts und Admin-Zugänge werden mindestens 20 Zeichen empfohlen [Q5]. Passwörter müssen Buchstaben in Groß- und Kleinschreibung, Zahlen und Sonderzeichen kombinieren. Längere Passwörter sind exponentiell schwerer zu knacken. Ein 15-stelliges Passwort mit allen Zeichentypen würde selbst mit moderner Hardware Jahrzehnte zum Knacken benötigen. Nutzen Sie Passphrasen aus mehreren zufälligen Wörtern, die Sie sich merken können.
Fazit: Passwort-Sicherheit als Geschäftsrisiko ernst nehmen
Der Louvre-Skandal zeigt, dass Passwort-Sicherheit in Unternehmen keine technische Nebensächlichkeit ist. Sie ist ein geschäftskritisches Risiko. Triviale Passwörter, fehlende Multi-Faktor-Authentifizierung und veraltete Systeme öffnen Angreifern die Tür. 86 Prozent der Webangriffe nutzen gestohlene Anmeldeinformationen [Q8]. Die finanziellen Folgen sind erheblich: Cyberangriffe verursachten 2024 in Deutschland Schäden von 266,6 Milliarden Euro [Q4].
Passwort-Sicherheit lässt sich systematisch verbessern. Mit klaren Richtlinien, Multi-Faktor-Authentifizierung, Passwort-Managern und regelmäßigen Schulungen reduzieren Sie Ihr Risiko messbar. Die Umsetzung ist auch kurzfristig möglich. Unternehmen, die jetzt handeln, erfüllen nicht nur NIS-2-Anforderungen, sondern schützen ihre Existenz.
SECURAM unterstützt Sie dabei von der Gap-Analyse bis zur vollständigen Implementierung. Unser IT-Sicherheits-Check identifiziert Schwachstellen, bevor Angreifer sie ausnutzen.
Kostenlosen IT-Sicherheits-Check Ihrer Passwortrichtlinie anfragen
Nutzen Sie hierfür unser Kontaktformular www.securam-consulting.com/kontakt Stichwort „Security Check“
Quellen
[Q1] Louvre-Raub: Passwort der Videoüberwachung war ‚Louvre‘, https://www.it-daily.net/shortnews/louvre-raub-passwort, Abrufdatum: 07.11.2025
[Q2] Louvre-Raubzug offenbart jahrzehntelanges Security-Versagen, https://www.csoonline.com/article/4084668/louvre-raubzug-offenbart-jahrzehntelanges-security-versagen.html, Abrufdatum: 07.11.2025
[Q3] Passwort für Louvre-Videoüberwachungssystem war ‚LOUVRE‘, https://futurezone.at/digital-life/passwort-louvre-videoueberwachung-unsicher-ueberfall-diebstahl/403100008, Abrufdatum: 07.11.2025
[Q4] Bitkom-Studie Wirtschaftsschutz 2024: Angriffe auf deutsche Wirtschaft nehmen zu, https://www.bitkom.org/Presse/Presseinformation/Wirtschaftsschutz-2024, Abrufdatum: 07.11.2025
[Q5] Passwortsicherheit für Unternehmen – Strategien für 2025, https://specopssoft.com/de/blog/passwortsicherheit-fuer-unternehmen-strategien-2025/, Abrufdatum: 07.11.2025
[Q6] Was die Top-5-Passwörter 2024 über unsere Sicherheit verraten, https://leitzcloud.eu/passwortschutz/, Abrufdatum: 07.11.2025
[Q7] BSI Lagebericht 2024: Cybersicherheit in Deutschland, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2024.html, Abrufdatum: 07.11.2025
[Q8] Sieben essenzielle KMU-Cybersicherheitsstatistiken für 2025, https://www.ninjaone.com/de/blog/sieben-essenzielle-kmu-cybersicherheitsstatistiken/, Abrufdatum: 07.11.2025