Auslöser des Vorfalls war laut Bericht ein öffentlicher GitHub-Speicher, in dem ein Auftragnehmer sensible CISA-Daten veröffentlicht hatte. GitGuardian hatte am 15. Mai 2026 auf das Repository „Private CISA“ aufmerksam gemacht und KrebsOnSecurity um Unterstützung bei der Benachrichtigung der Behörde gebeten. Das Repository enthielt nach diesen Angaben 844 MB an sensiblen Daten.

Besonders kritisch waren zwei Dateien: „importantAWStokens“ mit administrativen Zugangsdaten für drei Amazon-AWS-GovCloud-Server und „AWS-Workspace-Firefox-Passwords.csv“ mit Benutzernamen und Passwörtern im Klartext für dutzende interne CISA-Systeme. CISA bestätigte den ersten Hinweis zwar schnell, brauchte nach Darstellung von KrebsOnSecurity aber mehr als 48 Stunden, um die AWS-Schlüssel und viele weitere offengelegte Geheimnisse zu sperren. Die Behörde führt das in ihrem Bericht auf die Komplexität ihrer Systeme und die Verbindungen zu Bundesbehörden und Industriepartnern zurück, wodurch die Schlüsselrotation länger als erwartet gedauert habe.

In dem Nachbericht formuliert CISA daraus eine generelle Lehre: Organisationen sollten über ausgereifte und erprobte Fähigkeiten zum Schlüsselmanagement verfügen. Zugleich räumt die Behörde ein, dass sie beim Umgang mit Sicherheitsmeldungen externer Stellen besser werden müsse. Der Bericht hebt hervor, dass klare und getrennte Meldewege entscheidend seien, damit Vorfälle, die die eigene Organisation betreffen, anders behandelt werden als Meldungen zu Produkten oder Kunden.

In der Analyse von Preston Werntz und Brad Libbey, kommissarischer Chief Information Officer beziehungsweise kommissarischer Chief Information Security Officer von CISA, heißt es, diese Kanäle seien im konkreten Fall nicht sauber definiert gewesen. Das habe dazu geführt, dass der Sicherheitsforscher mehrere Wege ausprobierte: eine E-Mail an den Auftragnehmer, eine Meldung über CISA-Plattform zur Offenlegung von Schwachstellen und schließlich die Einschaltung eines Reporters. CISA arbeitet nach eigenen Angaben nun daran, diese Meldewege für Forscher einfacher und schneller zu machen. Außerdem verweist die Behörde darauf, dass Hinweise zum Melden von Vorfällen nicht nur in einer security.txt-Datei stehen sollten, sondern an mehreren gut sichtbaren Stellen.

Guillaume Valadon von GitGuardian, der KrebsOnSecurity zuerst auf die offengelegten CISA-Zugangsdaten hingewiesen hatte, erklärte, CISA habe vor der Benachrichtigung am 15. Mai neun automatisierte Warnungen zu den offengelegten Geheimnissen ignoriert. GitGuardian durchsucht nach eigenen Angaben fortlaufend öffentliche Code-Repositories wie GitHub nach offengelegten Geheimnissen und informiert betroffene Konten automatisch über erkennbare Datenfreigaben. Valadon schrieb, neun unbeantwortete Hinweis-E-Mails seien der Grund, warum aus einem eintägigen Vorfall eine sechsmonatige Offenlegung werde.

Auch CISA betont inzwischen die Bedeutung einer fortlaufenden Überwachung öffentlicher Code-Repositories auf offengelegte Geheimnisse. Die Behörde hat nach eigenen Angaben alle Geheimnisse rotiert und einen Maßnahmenplan erstellt, um den Umgang mit Entwickler-Geheimnissen zu verbessern und deren Überwachung auszubauen. Der Bericht hält zudem fest, dass zwar ein Reaktionshandbuch für Cybersicherheitsvorfälle existierte, dort aber ausgerechnet Fälle mit GitHub oder anderen Cloud-Diensten nicht abgedeckt waren. Valadon sieht darin eine Bestätigung, dass Scans kontinuierlich und nicht nur quartalsweise erfolgen sollten.

Bei mehreren Aspekten der Sicherheitsvorsorge stellt sich CISA selbst ein ausreichendes Zeugnis aus. Dazu zählen erweiterte Protokollierungsfunktionen und die Umsetzung von Zero-Trust-Prinzipien in Produktions- und Entwicklungssystemen. Nach Angaben der Behörde zeigten die detaillierten Protokolle, dass weder Kunden- noch Missionsdaten offengelegt wurden und die geleakten Zugangsdaten nicht außerhalb der CISA-Umgebungen genutzt wurden. Der Auftragnehmer, der die Geheimnisse veröffentlicht hatte, verlor laut CISA seinen Systemzugang.

Valadon bezeichnet den veröffentlichten Nachbericht selbst als wichtigste Lehre des Vorfalls und lobt CISA für die Transparenz darüber, was funktioniert habe und was nicht. Nach seinem Wissen sei es zudem das erste Mal, dass eine nationale Cybersicherheitsbehörde öffentlich für das Scannen nach Geheimnissen und für einfachere Beziehungen zu Sicherheitsforschern eintrete.