Vor einem halben Jahr wurde dem Louvre, dem meistbesuchten Museum der Welt, in einem ebenso folgenreichen wie simplen Einbruch Schmuck gestohlen, den Königinnen und Kaiserinnen trugen und der einen geschätzten Wert von 88 Millionen Euro hat. Acht Objekte, die Frankreichs lange Geschichte verkörpern, wurden in unter sieben Minuten entwendet.
Die Folgen reichen weit über den Diebstahl hinaus: ein vernichtender Untersuchungsbericht, Streiks, das Rücktrittsangebot der Direktorin, ein 80-Millionen-Euro-Sicherheits-Masterplan. Die französische Kulturministerin sprach von einer „chronischen, strukturellen Unterschätzung des Einbruchsrisikos“.
Bei Kronjuwelen im Wert von 88 Millionen Euro ist ein hohes Diebstahlrisiko nicht überraschend. Das niedrige Schutzniveau und die Tatsache, dass die Verantwortlichen grundlegendste Schutzmaßnahmen nicht getroffen haben, hingegen schon.
Wenn man sich mit der Frage auseinandersetzt, wie Museen ihre Ausstellungsstücke besser schützen können, findet man im IT-Grundschutz zahlreiche Ansatzpunkte. Was im Louvre schiefgelaufen ist, adressiert der IT-Grundschutz seit Jahrzehnten.
Da sich der Informationsverbund frei abgrenzen lässt und auch Räume, Gebäude und Einrichtungen als Zielobjekte modelliert werden, adressiert der IT-Grundschutz explizit die physische Infrastruktur. Die Methodik lässt sich gut auf den Schutz anderer hochwertiger Güter übertragen.
Kernabsicherung
Der BSI-Standard 200-2 definiert „Kronjuwelen“ als Assets, deren Diebstahl, Zerstörung oder Kompromittierung einen existenzbedrohenden Schaden für die Institution bedeuten würde. Die englische Fassung des Standards spricht von „crown jewels“. Im Fall des Louvre-Diebstahls war der Begriff ausnahmsweise keine Metapher, sondern wörtlich zu verstehen.
Der IT-Grundschutz bietet mit der Kernabsicherung eine eigene Vorgehensweise für genau diesen Fall: Wenn nicht alles gleichzeitig geschützt werden kann, beginnt man mit den kritischsten Assets. Beim Louvre – mit über 60.000 m² Ausstellungsfläche und etwa 35.000 Exponaten – liegt dieser Ansatz besonders nahe. Die Galerie d’Apollon, in der die französischen Kronjuwelen ausgestellt wurden, wäre das Paradebeispiel. Stattdessen: ungesicherte Fenster, unzureichende Vitrinen, fehlende Kameras und mangelnde Übung.
Fenster ohne Widerstandsklasse
Der IT-Grundschutz fordert in mehreren Anforderungen Einbruchsschutz über sichere Türen und Fenster unter der Einhaltung einschlägiger Normen (Baustein INF.1, Anforderungen A22 und A27). Abhängig vom Schutzbedarf sollen entsprechende Maßnahmen getroffen werden.
Die hier einschlägige DIN EN 1627 definiert Widerstandsklassen bis RC 6. Ab RC 5 müssen Fenster normierten Angriffen durch Elektrowerkzeuge, darunter auch Winkelschleifern, 15 Minuten standhalten. Im Louvre fehlte jede Sicherheitsverglasung. Die Täter brauchten für den Ein- und Ausstieg unter vier Minuten. Das gleiche Bild zeigt sich bei den Vitrinen: ohne durchbruchhemmende Verglasung stellten diese nur eine psychologische Hürde dar. Diese Beispiele zeigen, dass bereits die Umsetzung einer einzigen IT-Grundschutz-Anforderung den Einbruch in unter vier Minuten unmöglich gemacht hätte.
30 Sekunden zu spät
Wie wertvoll jede durch Schutzmaßnahmen gewonnene Sekunde ist, zeigt der weitere Einbruchsverlauf: Laut Untersuchungsbericht fehlten 30 Sekunden zur Festnahme der Täter. Der Alarm löste aus – doch die Leitstelle meldete der Polizei zunächst nur einen Einbruchsversuch, nicht den laufenden Raub. Die Streifenwagen fuhren zum falschen Eingang. Der IT-Grundschutz fordert genau das: eine angemessene technische und personelle Reaktion auf Gefahrenmeldungen (Baustein INF.1, Anforderung A34).
Drei Viertel ohne Kamera
Der französische Rechnungshof stellte fest: In einem Gebäudeflügel waren 75 % der Säle nicht videoüberwacht. Im meistbesuchten Museum der Welt! Der IT-Grundschutz sieht Videoüberwachung bei hohem Schutzbedarf an mehreren Stellen vor – als Bestandteil des Perimeterschutzes (Baustein INF.1, Anforderung A35) und zur Ergänzung von Zutrittskontrolle und Einbruchmeldung (Baustein INF.2, Anforderung A24).
Fehlende regelmäßige Überprüfung
Die Mängel waren bekannt: Bereits 2019 hatte ein Audit des Juweliers Van Cleef & Arpels sämtliche Schwachstellen der Galerie d’Apollon identifiziert. Genau solche Erkenntnisse sollen regelmäßige Audits liefern – mit dem Baustein DER.3.1 fordert der Grundschutz interne Prüfungen, die Wirksamkeit und Angemessenheit der Sicherheitsmaßnahmen kontinuierlich hinterfragen. Entscheidend ist jedoch, was mit den Ergebnissen geschieht: Die Institutionsleitung ist explizit in der Pflicht, sie zur Verbesserung zu nutzen (DER.3.1.A1). Informationssicherheit ist damit klar Aufgabe der Leitungsebene – Aufgaben lassen sich delegieren, die Verantwortung nicht.
Zusatzmaßnahmen jenseits des IT-Grundschutzes
Der IT-Grundschutz liefert bewusst Grundanforderungen als systematisches Fundament. Deren Umsetzung hätte den Einbruch in der erfolgten Form sehr wahrscheinlich verhindert.
Bei hohem Schutzbedarf oder wenn kein passender Baustein existiert, sieht der IT-Grundschutz explizit eine Risikoanalyse nach BSI-Standard 200-3 vor. Mit ihr werden über die IT-Grundschutz-Anforderungen hinausgehende Maßnahmen systematisch identifiziert.
Für die französischen Kronjuwelen wären das etwa Schutznebel-Anlagen (Nullsicht in Sekunden, rückstandsfrei, museumsgeeignet) und forensische DNA-Markierung (unsichtbar, gerichtsfest, rückverfolgbar) gewesen. Beides ist am Markt erprobt, beides fehlte. Ebenso sinnvoll: physische Penetrationstests, die Szenarien wie Möbelaufzug und Wartungstarnung realistisch durchspielen und Schwachstellen aufdecken, bevor es Täter tun.
Der nach dem Einbruch beschlossene Sicherheits-Masterplan kostet allein 80 Millionen Euro. Eine präventive Umsetzung grundlegender Schutzmaßnahmen wäre nur ein Bruchteil davon gewesen.
Auch deutsche Museen haben erheblichen Nachholbedarf, wie drei Fälle der letzten Jahre beispielhaft zeigen: Beim Einbruch ins Grüne Gewölbe in Dresden wurden Schmuckstücke von unschätzbarem Wert gestohlen. Beim Raub im Bode-Museum verschwand die Big Maple Leaf-Goldmünze aus 100 kg Gold und wurde vermutlich eingeschmolzen. Im Museum für Ostasiatische Kunst in Köln stahlen Einbrecher Vasen aus der Ming- und Qing-Dynastie im Wert von rund 1 Million Euro.
Der Louvre-Einbruch ist kein Einzelfall, sondern nur das prominenteste Beispiel dafür, dass physische Sicherheit beim Schutz von echten oder metaphorischen Kronjuwelen kein Randthema ist. Der BSI IT-Grundschutz liefert das Framework und ist universeller einsetzbar als viele denken.
