Auf den Punkt: Ein CISA-Auftragnehmer veröffentlichte im November 2025 begonnene interne Anmeldedaten auf GitHub; mehr als eine Woche später waren kritische Schlüssel noch nicht invalidiert, während der Kongress eine Sicherheitsüberprüfung fordert.
Ein Auftragnehmer der US-Cybersecurity & Infrastructure Security Agency (CISA) stellte AWS GovCloud-Schlüssel und interne Geheimnisse öffentlich auf GitHub bereit. Kongressabgeordnete fordern nun Antworten, während CISA versucht, die Anmeldedaten zu invalidieren.
Am 18. Mai berichtete KrebsOnSecurity, dass ein CISA-Auftragnehmer mit administrativem Zugang zur Code-Entwicklungsplattform der Behörde ein öffentliches GitHub-Profil namens „Private-CISA“ erstellte. Dieses Profil enthielt Anmeldedaten im Klartext für Dutzende interner CISA-Systeme. Die Analysten, die die freigegebenen Geheimnisse überprüften, stellten fest, dass die Commit-Logs des Code-Repositorys zeigten: Der CISA-Auftragnehmer deaktivierte Githubs eingebauten Schutz gegen die Veröffentlichung sensibler Anmeldedaten in öffentlichen Repositories.
CISA bestätigte den Vorfall, beantwortete aber keine Fragen zur Dauer der Exposition. Experten, die das mittlerweile gelöschte Private-CISA-Archiv analysierten, datieren die ursprüngliche Erstellung auf November 2025. Das Muster deutet darauf hin, dass ein einzelner Operator das Repository als Arbeitsblock oder Synchronisierungsmechanismus nutzte, nicht als kuratiertes Projektrepository. CISA erklärte öffentlich, es gebe „keine Hinweise darauf, dass sensible Daten als Folge des Vorfalls kompromittiert wurden“.
Senatorin Maggie Hassan (D-NH) schrieb in einem Brief vom 19. Mai an den amtierenden CISA-Direktor Nick Andersen, dass die Anmeldedaten-Lecks ernsthafte Fragen aufwerfen: Wie konnte ein solches Sicherheitsversagen bei der Behörde auftreten, die für den Schutz kritischer US-Infrastruktur zuständig ist? Hassan betonte, dass der Vorfall vor dem Hintergrund erheblicher organisatorischer Turbulenzen bei CISA eintrat – die Behörde verlor mehr als ein Drittel ihrer Belegschaft und nahezu sämtliche Führungskräfte nach erzwungenen Frühpensionierungen, Abfindungen und Rücktritten unter der Trump-Administration.
Auch Rep. Bennie Thompson (D-MS), Ranking Member des House Homeland Security Committee, äußerte Bedenken: Der Vorfall deute auf eine geschwächte Sicherheitskultur und unzureichendes Management der Auftragnehmer hin. Dylan Ayrey, Schöpfer des Open-Source-Tools TruffleHop zur Erkennung privater Schlüssel, berichtete am 20. Mai, dass CISA noch immer einen exponentierten RSA-Privatschlüssel nicht invalidiert habe. Dieser Schlüssel gewährt Zugang zu einer GitHub-App im CISA-Enterprise-Konto mit Vollzugriff auf alle Code-Repositories der CISA-IT-Organisation. Ein Angreifer könnte damit Quellcode aus jedem Repository auslesen, einschließlich privater Repositories.
Quelle: krebsonsecurity.com · Erschienen 22. Mai 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.2.0.