Hand aufs Herz: Hätten Sie geraten, dass das Passwort für die Videoüberwachung des meistbesuchten Museums der Welt schlicht „Louvre“ lautet? Wahrscheinlich nicht. Genau dieser Klassiker stand am Anfang eines 88-Millionen-Euro-Juwelendiebstahls. Im Mai 2026 zog Microsoft Edge nach und lud alle gespeicherten Passwörter beim Browserstart als Klartext in den Arbeitsspeicher. Zwei Pannen, eine Mechanik: Bequemlichkeit schlägt Sicherheit. Bis es kracht.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen
Das Wichtigste in Kürze
- Louvre-Server für Videoüberwachung waren jahrelang mit dem Passwort „Louvre“ gesichert
- Ein zweites Sicherheitssystem des Anbieters Thales nutzte „Thales“ als Passwort
- Microsoft Edge hielt bis Version 147 alle gespeicherten Passwörter im Klartext im RAM vor
- Edge 148.0.3967.70 vom 15. Mai 2026 stellt das Preload-Verhalten ab; Update einspielen
Das Louvre-Passwort, das die ganze Welt nicht glaubt
Am 19. Oktober 2025 fuhren zwei als Bauarbeiter verkleidete Männer mit einem Lastenaufzug an die Fassade des Pariser Louvre, drangen in den Apollon-Saal ein und entwendeten Juwelen im Wert von rund 88 Millionen Euro. Spektakulär war der Coup, lächerlich war die Vorgeschichte.
Recherchen der französischen Tageszeitung Libération zeigten, dass der Zugang zum Server der Videoüberwachung jahrelang mit dem Passwort „Louvre“ gesichert war. Ein weiteres System des Sicherheitsanbieters Thales ließ sich mit dem Passwort „Thales“ entsperren. Bereits 2014 hatte die französische Cybersicherheitsbehörde ANSSI in einem internen Audit gewarnt, dass ein Angreifer durch diese Schwachstellen „Schäden erleichtern oder sogar Kunstwerke stehlen“ könne. Elf Jahre später bestätigte sich die Warnung in Millionenhöhe.
Wir hatten den Fall ausführlich aufbereitet, inklusive Bauplan, wie es nicht laufen darf: Passwort „Louvre“: 88 Millionen Euro Beute dank IT-Steinzeit.
Edge lud die Passwörter wie ein Buffet
Sieben Monate später lieferte Microsoft den digitalen Pendant-Skandal. Der norwegische Sicherheitsforscher Tom Jøran Sønstebyseter Rønning demonstrierte Anfang Mai 2026, dass Microsoft Edge alle im Browser-Passwortmanager gespeicherten Zugangsdaten beim Programmstart entschlüsselte und als Klartext im Prozessspeicher vorhielt. Auch dann, wenn die zugehörigen Webseiten in der Sitzung gar nicht aufgerufen wurden.
Ein Angreifer mit lokalen Adminrechten konnte den Speicher des Edge-Prozesses dumpen und sämtliche Passwörter mit einem Hex-Editor herauspicken. Rønning veröffentlichte mit EdgeSavedPasswordsDumper ein funktionierendes Proof-of-Concept-Tool. Microsofts erste Reaktion: kein Sicherheitsproblem, das sei „erwartetes Verhalten“ zur Performance-Optimierung.
Mit Edge 148.0.3967.70 vom 15. Mai 2026 ruderte Microsoft dann doch zurück. Laut Heise werden Passwörter ab dieser Version nicht mehr beim Start in den Speicher geladen. Heise konnte den Fix nach einem Browser-Neustart auch praktisch verifizieren. Wer Edge geschäftlich nutzt, sollte die Version sofort prüfen und die Update-Verteilung im Unternehmen anstoßen.
Beide Geschichten zeigen, dass Sicherheitslücken selten technische Raffinesse erfordern. Sie entstehen, wenn niemand mehr hinschaut. Wer den Passwortmanager im Browser verwendet, schiebt die Verantwortung an einen Anbieter ab, der die Mechanik im Detail nicht garantiert. Ein dedizierter Passwortmanager mit lokalem Tresor ist die geringste vernünftige Investition.
— Markus Seyfferth, Chefredakteur Dr. Web
Was Sie aus beiden Pannen mitnehmen
Die Lehre ist nicht „Browser böse, Spezialtool gut“. Die Lehre ist, dass Bequemlichkeit der eigentliche Angriffsvektor ist. Drei Stellschrauben verdienen jetzt Aufmerksamkeit.
Passwortwahl auf Diät: Trivialpasswörter wie der eigene Firmenname, der Standort oder Standard-Logins gehören aus dem Bestand gestrichen. Eine Mindestlänge von 15 Zeichen mit gemischten Zeichenklassen ist 2026 das Minimum, nicht die Ambition. Wie Sie Zugangsdaten im Alltag im Griff behalten, zeigt unser Leitfaden Passworte verwalten.
Browser-Manager mit Vorsicht: Der bequeme Speicher im Browser ist für private Logins akzeptabel, für geschäftliche Zugänge oft nicht. Unser Praxistest Google Password Manager im Check zeigt, wo die Grenzen liegen. Ein dedizierter Manager mit lokal verschlüsseltem Tresor und Multi-Faktor-Authentifizierung gehört in den IT-Standard.
Patchen statt Hoffen: Der Edge-Vorfall zeigt, wie schnell ein scheinbar harmloses Feature zum Risiko wird. Update-Zyklen im Unternehmen sollten Browser, Passwortmanager und Sicherheitssoftware spätestens 72 Stunden nach Release abgedeckt haben.
Wer einen umfassenden Schutzplan aufbauen will, findet im Cybersecurity-Grundlagen-Ratgeber die strukturierte Marschrichtung. Und für die Frage, welche Browser im DACH-Raum überhaupt empfehlenswert sind, lohnt ein Blick in den Browser-Vergleich.
