Thought Leadership
Ein externer Mitarbeiter der US-Cybersecurity-Behörde CISA hat hochsensible AWS-GovCloud-Schlüssel und Passwörter monatelang auf GitHub offengelegt.
Ein schwerwiegendes Datenleck bei der US-amerikanischen Cybersicherheitsbehörde CISA (Cybersecurity and Infrastructure Security Agency) sorgt für erhebliche Sicherheitsbedenken. Ein externer Mitarbeiter eines Regierungsdienstleisters hatte bis zum vergangenen Wochenende ein öffentlich zugängliches Software-Archiv auf der Entwicklerplattform GitHub betrieben. In diesem als „Private-CISA“ benannten Repository befanden sich hochgradig privilegierte Zugangsdaten für sensible Cloud-Umgebungen der US-Regierung sowie vertrauliche Konfigurationsdaten interner Behördensysteme. Sicherheitsanalysten bewerten den Vorfall als eines der gravierendsten Datenlecks einer Sicherheitsbehörde in der jüngeren Geschichte, da die Daten exakte Einblicke in die internen Prozesse zur Softwareentwicklung und -bereitstellung der Behörde boten.
Einbruchsrisiko durch offenliegende Repository-Daten
Die Entdeckung des offenen Datenbestands geht auf automatisierte Sicherheitsüberprüfungen zurück. Am 15. Mai 2026 informierte Guillaume Valadon, ein Analyst des spezialisierten IT-Sicherheitsunternehmens GitGuardian, das investigative Medium KrebsOnSecurity über den Vorfall. Das Unternehmen scannt kontinuierlich öffentliche Repositories nach offenliegenden Passwörtern und kryptografischen Schlüsseln (Secrets), um betroffene Kontoinhaber automatisch zu warnen. Da der verantwortliche Administrator auf die automatisierten Warnmeldungen von GitGuardian nicht reagierte, wurde der Fall an die CISA eskaliert.
Ergänzend untersuchte Philippe Caturegli, der Gründer des IT-Beratungsunternehmens Seralys, das betroffene Repository. Die Auswertung der Git-Metadaten ergab, dass das Archiv bereits am 13. November 2025 angelegt worden war. Der betroffene Entwickler nutzte das öffentliche GitHub-Konto, das bereits seit September 2018 existiert, offenbar als digitalen Notizblock und Synchronisationsmechanismus, um Dateien unverschlüsselt zwischen einem Dienst-Laptop und seinem privaten Heimcomputer zu übertragen. Dabei wurden sowohl eine dienstliche E-Mail-Adresse der CISA als auch eine persönliche Adresse verwendet.
Hochgradig privilegierte Schlüssel und Klartext-Passwörter im Netz
Der Umfang der kompromittierten Daten betrifft kritische Infrastrukturen der US-Behörden. In dem Repository befand sich eine Datei mit dem Titel „importantAWStokens“, welche die administrativen Zugangsdaten für drei Server der spezialisierten Amazon AWS GovCloud enthielt. Diese Cloud-Umgebung ist physisch und logisch von der regulären kommerziellen AWS-Infrastruktur getrennt und speziell für die Einhaltung der strengen Sicherheitsvorgaben von US-Behörden zertifiziert. Caturegli validierte die Authentizität der Schlüssel und stellte fest, dass diese mit hohen Privilegien ausgestattet waren und direkten Zugriff auf Regierungsressourcen erlaubten.
Zudem enthielt das offengelegte Archiv eine Datei namens „AWS-Workspace-Firefox-Passwords.csv“. In dieser Tabelle waren die Benutzernamen und Passwörter für Dutzende interner CISA-Systeme im Klartext gespeichert. Unter den kompromittierten Plattformen befand sich die Umgebung „LZ-DSO“, eine Abkürzung für „Landing Zone DevSecOps“. Hierbei handelt es sich um die gesicherte Infrastruktur der Behörde für die Entwicklung, das Testen und das Deployment von Softwarepaketen. Ebenfalls offen zugänglich waren die Anmeldedaten für das interne „Artifactory“ der CISA – das zentrale Verzeichnis, in dem alle genutzten Softwarekomponenten hinterlegt sind. Sicherheitsexperten weisen darauf hin, dass ein Zugriff auf dieses Verzeichnis Angreifern die Möglichkeit bietet, unbemerkt Schadcode in legitime Softwarepakete einzuschleusen (Supply-Chain-Angriff), um eine dauerhafte Präsenz in den Behördensystemen zu etablieren.
Gezielte Deaktivierung von automatisierten Sicherheitsfiltern
Die technische Analyse des Repositories offenbarte fundamentale Mängel bei der Einhaltung grundlegendster Sicherheitsstandards. Die Protokolldaten (Commit Logs) des Kontos zeigen, dass der Administrator die standardmäßigen Sicherheitsfunktionen von GitHub explizit per Befehl deaktiviert hatte. Diese Werkzeuge blockieren im Normalfall das Hochladen von SSH-Schlüsseln oder bekannten Passwortformaten in öffentliche Verzeichnisse automatisch.
Zudem wiesen zahlreiche der im Klartext gespeicherten Passwörter für interne Ressourcen eine extrem schwache Struktur auf. Der Auftragnehmer verwendete triviale Passwörter, die sich lediglich aus dem Namen der jeweiligen Plattform gefolgt von der aktuellen Jahreszahl zusammensetzten. Solche leicht zu erratenden Kombinationen erleichtern es Angreifern, sich nach einem initialen Netzwerkeinbruch lateral im Gesamtsystem zu bewegen und Befugnisse auszuweiten.
Verzögerte Reaktion und personeller Umbruch bei der CISA
Nachdem KrebsOnSecurity und die Analysten von Seralys die Behörde über das Datenleck in Kenntnis gesetzt hatten, wurde das betroffene GitHub-Konto zügig vom Netz genommen. Dennoch blieben die kompromittierten AWS-GovCloud-Schlüssel nach Angaben von Caturegli aus ungeklärten Gründen noch für weitere 48 Stunden aktiv und gültig, bevor eine Sperrung der Cloud-Zugänge erfolgte. Ein Sprecher der CISA bestätigte die laufenden Untersuchungen des Vorfalls, betonte jedoch, dass es zum aktuellen Zeitpunkt keine Hinweise auf eine tatsächliche Kompromittierung oder den Abfluss sensibler Daten durch böswillige Akteure gebe. Man arbeite an der Implementierung zusätzlicher Schutzmaßnahmen.
Als Urheber des Repositories wurde ein Mitarbeiter des Rüstungs- und Regierungsdienstleisters Nightwing mit Sitz in Dulles, Virginia, identifiziert. Das Unternehmen lehnte eine inhaltliche Stellungnahme ab und verwies auf die CISA. Der Vorfall ereignet sich in einer Phase erheblicher personeller und finanzieller Belastungen für die Behörde. Seit dem Beginn der zweiten Trump-Administration hat die CISA fast ein Drittel ihrer gesamten Belegschaft durch erzwungene vorzeitige Pensionierungen, Abfindungsprogramme und resignationsbedingte Abgänge verloren und operiert derzeit mit stark reduzierten Budgetmitteln.
