Auf den Punkt: Ein CISA-Auftragnehmer hat AWS-Schlüssel und Agentur-Geheimnisse öffentlich geleakt. Der Kongress fordert nun Antworten von der Behörde, die monatelang nicht reagierte. Die Sicherheitslücke fällt in eine Zeit massiver Personalabbaus bei der CISA.
Abgeordnete beider Kammern des US-Kongresses verlangen Stellungnahmen von der Cybersecurity & Infrastructure Security Agency (CISA), nachdem ein Auftragnehmer der Behörde absichtlich AWS GovCloud-Schlüssel und zahlreiche weitere Agentur-Geheimnisse auf einem öffentlichen GitHub-Konto veröffentlicht hat. Inzwischen wird die CISA weiterhin von der Sicherheitsverletzung heimgesucht.
Ein CISA-Auftragnehmer mit Administratorrechten auf der Code-Entwicklungsplattform der Agentur hatte im Mai ein öffentliches GitHub-Profil namens „Private-CISA“ erstellt, das Klartextanmeldedaten für dutzende interne Systeme enthielt. Die Analyse der Sicherheitsexperten offenbarte, dass der Auftragnehmer die integrierten GitHub-Schutzmaßnahmen gegen die Veröffentlichung sensibler Daten bewusst deaktiviert hatte. Zwar erklärte die CISA, es gebe „keine Hinweise darauf, dass sensible Daten kompromittiert wurden“, dennoch beschuldigten Senatoren und Kongressabgeordnete die Behörde schwerwiegender Sicherheitsmängel. Das Archiv soll ursprünglich im November 2025 erstellt worden sein und deutet auf einen Einzelnen hin, der es als persönliche Arbeitsoberfläche nutzte. Senator Maggie Hassan (D-NH) kritisierte in einem Schreiben die mangelnden internen Richtlinien der CISA und wies auf die durch eine Massivwelle von Kündigungen und Ruhestandsversetzungen geschwächte Behördenkultur hin. Die CISA arbeitet weiterhin daran, die exponierten Anmeldedaten ungültig zu machen und auszutauschen – eine Woche nach Benachrichtigung durch das Sicherheitsunternehmen GitGuardian.