Der Fund wirft ein Schlaglicht auf organisatorische Verwundbarkeiten selbst bei Behörden mit höchster Sicherheitskompetenz. Der Senatoren Maggie Hassan forderte von CISA-Leitung Antworten ein und verlangte eine klassifizierte Briefing vor dem 5. Juni. In ihrem Schreiben an Acting Director Nick Andersen kritisierte sie, dass die CISA – ausgerechnet die Agentur zur Prävention von Cyberangriffen – selbst von “schwerwiegenden Sicherheitslücken” betroffen sei.
Die entdeckten Credentials umfassten Cloud-Keys, Tokens, Passwörter im Klartext und Logs des Contractors Nightwing. Der Sicherheitsjournalist Brian Krebs hatte die Schwachstelle zuerst berichtet. Die CISA reagierte schnell mit einer Stellungnahme: Es gebe “derzeit keine Hinweise, dass sensible Daten kompromittiert wurden”, und man arbeite an zusätzlichen Schutzmassnahmen. Dennoch bleibt Hassan skeptisch und stellt 12 Detailfragen zur Entstehung des Vorfalls.
Der Vorfall fällt in eine turbulente Phase der CISA. Seit Amtsantritt des neuen US-Präsidenten verzeichnet die Agentur erhebliche Umstrukturierungen: Die Belegschaft wurde um ein Drittel reduziert, Programme zur Wahlsicherheit wurden eingestellt, und das Budget wurde um Hunderte Millionen gekürzt. Der bisherige Acting Director Madhu Gottumukkala wurde nach mehreren Skandalen entlassen.
Für die internationale Cybersecurity-Gemeinschaft, einschließlich deutscher Institutionen, ist der Fall bemerkenswert: Es demonstriert, wie kritisch Prozesse zur Verwaltung von Zugangsdaten sind. Deutsche Behörden und Unternehmen sollten diesen Vorfall als Anlass nehmen, ihre eigenen GitHub-Repositories und Cloud-Konfigurationen regelmäßig zu prüfen. Das BSI empfiehlt regelmäßige Audits und Schulungen zum Umgang mit Credentials. Ein solcher Leak könnte unter DSGVO zu Meldepflichten führen – falls personenbezogene Daten betroffen sind, drohen Bußgelder bis zu 4 Prozent des Jahresumsatzes.