DatenschutzCyberkriminalitätSchwachstellen

Sicherheitspanne bei US-Behörde CISA: 844 MB sensible Daten auf GitHub öffentlich zugänglich

Von CyberDeutsch Redaktion
Sicherheitspanne bei US-Behörde CISA: 844 MB sensible Daten auf GitHub öffentlich zugänglich
Zusammenfassung

Die US-amerikanische Cybersicherheitsbehörde CISA ist Opfer eines massiven Datenlecks geworden, das zeigt, wie selbst hochrangige Behörden Sicherheitsrisiken unterschätzen können. Ein öffentlich zugängliches GitHub-Repository mit der irreführenden Bezeichnung „Private-CISA" war seit November 2025 online und enthielt etwa 844 Megabyte an sensiblen Daten – darunter Passwörter im Klartext, Authentifizierungstoken, private Schlüssel und weitere Credentials. Der GitGuardian-Forscher Guillaume Valadon entdeckte das Leck im Mai 2026 und fand eine detaillierte Übersicht über die Cloud-Infrastruktur, Deployment-Workflows und interne Betriebspraktiken der Behörde. Besonders bemerkenswert ist, dass das Repository Anleitungen zum Deaktivieren von Sicherheitsscannern enthielt – ein klares Zeichen gefährlicher Sicherheitspraktiken. Das Incident verdeutlicht ein wachsendes Problem: Organisationen weltweit scheitern daran, Secrets angemessen zu verwalten und setzen kritische Systeme damit erheblichen Risiken aus. Für deutsche Unternehmen und Behörden dient dieser Fall als warnendes Beispiel für die Notwendigkeit strikter Zugriffskontrollen, automatisierter Secret-Detection und einer Sicherheitskultur, die technische Sicherheitsmaßnahmen nicht umgeht.

Die Entdeckung wirft ein grelles Licht auf alarmierende Praktiken innerhalb der CISA. Valadon fand im Repository Verzeichnisnamen wie “Important AWS Tokens.txt” und “ENTRA ID - SAML Certificates/” — eine deutliche Warnung hätte sein sollen. Das Archiv enthielt nicht nur diese Tokens und Zertifikate, sondern auch AWS-Benutzerdaten, Identity-and-Access-Management-Informationen, Service-Accounts, Secrets-Management-Pfade sowie CI/CD-Build-Logs, Kubernetes-Manifeste und GitHub-Actions-Workflows. “Das offengelegte Material bietet einen detaillierten Einblick in Cloud-Infrastruktur, Deployment-Workflows und interne Betriebspraktiken”, schrieb Valadon in seinem Bericht.

Das Repository war seit dem 13. November 2025 online — etwa sechs Monate lang. Bislang ist unklar, ob Angreifer die Daten zugegriffen haben. Sicherheitsstudien zeigen, dass Cyberangreifer GitHub-Repos systematisch überwachen und innerhalb von Minuten reagieren können. Allerdings wurde das Repository dem Bericht zufolge nie geforkt, was ein schwaches, aber reales Signal dafür ist, dass die Daten nicht massiv verbreitet wurden.

Besonders problematisch ist die Ursache des Vorfalls: CISA-Mitarbeiter hatten bewusst GitHub’s Secret-Scanning und Push-Protection deaktiviert, um Commits mit eingebetteten Geheimnissen hochzuladen. Dies ist ein fundamentaler Verstoß gegen Best Practices im Secret-Management. Statt Secrets aus dem Code zu entfernen, dokumentierte jemand einfach, wie man die Sicherheitskontrollen deaktiviert. “Das ist eine schlechte Praxis, die reife Organisationen meiden”, kritisierte Valadon. Die korrekte Antwort wäre gewesen, das Geheimnis aus dem Commit zu entfernen, nicht den Detektor auszuschalten.

CISA reagierte nach Benachrichtigung relativ zügig und löschte das Repository nach etwa 24 Stunden — allerdings brauchte es dabei Unterstützung durch den Cybersicherheits-Journalisten Brian Krebs, um das Problem zu eskalieren. Dies ist bemerkenswert, da Valadon berichtet, dass viele seiner Disclosures viel länger dauern oder nie behoben werden.

Die Panne fällt in eine Zeit, in der CISA bereits unter massivem Druck steht: Die Agentur hat etwa ein Drittel ihrer Mitarbeiter verloren, und die geplanten Haushaltskürzungen für 2027 belaufen sich auf über 700 Millionen Dollar. Für deutsche Organisationen ist diese Geschichte ein wichtiger Reminder: Systematisches Secret-Management ist nicht optional, sondern eine Kernnotwendigkeit moderner Cybersicherheit.

Ähnliche Artikel