DatenschutzCloud-SicherheitHackerangriffe

Massive Sicherheitspanne bei US-Behörde CISA: AWS-Zugangsdaten auf GitHub öffentlich einsehbar

Von CyberDeutsch Redaktion
Massive Sicherheitspanne bei US-Behörde CISA: AWS-Zugangsdaten auf GitHub öffentlich einsehbar
Zusammenfassung

Ein Auftragnehmer der US-Cybersicherheitsbehörde CISA hat schwerwiegende Sicherheitslücken verursacht, indem er hochsensible Zugangsdaten in einem öffentlich zugänglichen GitHub-Repository speicherte. Das nun gelöschte Repository enthielt administrative Anmeldedaten für mehrere AWS GovCloud-Konten, Klartext-Passwörter für dutzende interne CISA-Systeme sowie detaillierte Dokumentationen zu internen Softwareentwicklungsprozessen. Sicherheitsexperten bezeichnen dies als einen der gravierendsten Datenlecks der US-Regierung in der jüngeren Vergangenheit. Der Fall zeigt ein katastrophales Versagen grundlegender Sicherheitsmaßnahmen: Der betroffene Mitarbeiter hatte Passwörter im Klartext in CSV-Dateien gespeichert, automatische Sicherheitsmechanismen absichtlich deaktiviert und das Repository vermutlich als persönliche Synchronisierungslösung zwischen Arbeits- und Privatgeräten missbraucht. Für deutsche Nutzer und Behörden ist dieser Fall bemerkenswert, da er verdeutlicht, wie Sicherheitsverletzungen selbst bei den höchsten institutionellen Ebenen entstehen können. Die Tatsache, dass die exponierten Zugangsdaten noch 48 Stunden nach ihrer Entdeckung gültig blieben, unterstreicht zusätzlich die fehlende Reaktionsfähigkeit. Dieser Vorfall mahnt deutsche Behörden und Unternehmen zur Erhöhung ihrer Sicherheitsstandards und zur Durchsetzung strikter Zugangskontrollen.

Das öffentlich zugängliche Repository mit dem Namen “Private-CISA” war vom September 2018 bis Mai 2025 online und enthielt eine erschreckende Sammlung sensibler Daten: Administrative Zugänge zu AWS GovCloud, Cloud-Token, Passwörter im Klartext, Logdateien und detaillierte Informationen über interne CISA-Systeme. Die Security-Forscher Philippe Caturegli und sein Team von Seralys konnten verifizieren, dass mindestens drei AWS-GovCloud-Konten mit hohen Privilegien durch die exponierten Zugänge kompromittiert waren.

Besonders bemerkenswert: Eine Datei namens “AWS-Workspace-Firefox-Passwords.csv” enthielt Nutzernamen und Passwörter für Dutzende interne CISA-Systeme im Klartext – darunter das sogenannte “LZ-DSO” (Landing Zone DevSecOps), CISAs sichere Entwicklungsumgebung für Code-Entwicklung. Ein weiteres exponiertes Repository mit dem Namen “importantAWStokens” ermöglichte direkten administrativen Zugriff auf kritische Cloud-Infrastruktur.

Der verantwortliche Auftraggeber war ein Mitarbeiter des Rüstungsunternehmens Nightwing, das für die US-Regierung tätig ist. Die Git-Logs deuten darauf hin, dass das Repository als persönliche Synchronisationsstelle zwischen Arbeits- und Heimcomputer missbraucht wurde – eine Praxis, die grundlegendste IT-Security-Richtlinien verletzt.

Besonders alarmierend: Der Auftraggeber hatte GitHub’s automatische Erkennung von Secrets bewusst deaktiviert. Zudem verwendete er leicht zu erratende Passwörter (beispielsweise “platformname2025”). Die AWS-Zugangsdaten blieben sogar 48 Stunden nach der Benachrichtigung gültig.

Das Incident offenbart ein Muster gravierender organisatorischer Probleme: CISA operiert derzeit mit deutlich reduziertem Budget und Personal – die Behörde verlor seit Anfang 2025 etwa ein Drittel ihrer Belegschaft durch Frühjahresrentner, Abfindungen und erzwungene Kündigungen.

Für deutsche Organisationen mit US-Cloud-Infrastruktur ist dies ein mahnendes Beispiel. Das BSI empfiehlt regelmäßig, Passwörter verschlüsselt zu speichern, Git-Repository-Scanning zu aktivieren und Secrets-Management-Tools zu nutzen. Diese Sicherheitspanne hätte mit modernen DevSecOps-Praktiken verhindert werden können.

Ähnliche Artikel