CISA‑GitHub‑Leak: Öffentliches Repository legte sensible Regierungs‑Zugangsdaten offen

Die Dateien enthielten unter anderem Dokumentation darüber, wie die Behörde ihre interne Software entwickelt, testet und bereitstellt – Informationen, die normalerweise nicht öffentlich zugänglich sein sollten.

Da das Repository öffentlich war, konnte grundsätzlich jede Person mit dem Link die Inhalte herunterladen und analysieren, einschließlich der enthaltenen Zugangsdaten.

Welche Daten offengelegt wurden

Laut Berichten befanden sich in dem Repository zahlreiche sensible Informationen, die mit Systemen von CISA und DHS verknüpft waren. Dazu gehörten unter anderem:

• Benutzernamen und Passwörter im Klartext
• Zugangsdaten für AWS GovCloud (eine spezielle Cloud‑Umgebung von Amazon für US‑Behörden)
• Cloud‑Tokens und Authentifizierungsschlüssel
• Kubernetes‑Konfigurationsdateien
• ArgoCD‑Deployment‑Dateien
• Entra‑ID‑SAML‑Zertifikate
• interne Logs und Betriebsdateien

Einige der Zugangsdaten waren Berichten zufolge mit hoch privilegierten AWS‑GovCloud‑Konten sowie zahlreichen internen CISA‑Systemen verknüpft.

Solche Informationen sind besonders sensibel: Wenn Zugangsdaten aktiv bleiben und ausreichende Rechte besitzen, können sie direkten Zugriff auf Cloud‑Ressourcen oder interne Dienste ermöglichen.

Wie der Leak entdeckt wurde

Aufgedeckt wurde der Vorfall von Guillaume Valadon, einem Sicherheitsforscher beim Unternehmen GitGuardian. Die Firma durchsucht automatisiert öffentliche Code‑Repositories nach versehentlich veröffentlichten Geheimnissen wie API‑Schlüsseln oder Passwörtern.

Die Scan‑Systeme von GitGuardian schlugen Alarm, weil mehrere Dateien im Repository Zugangsdaten enthielten. Berichten zufolge versuchte das Unternehmen zunächst, den zuständigen GitHub‑Account beziehungsweise den Auftragnehmer zu kontaktieren – erhielt jedoch keine Antwort.

Nachdem mehrere Kontaktversuche erfolglos blieben, wandte sich Valadon am 15. Mai an den bekannten Cybersicherheitsjournalisten Brian Krebs, der den Fall öffentlich machte und an zuständige Stellen weiterleitete.

Kurz darauf wurde das Repository offline genommen.

Welche Risiken entstanden

Auch wenn das Repository nach Bekanntwerden relativ schnell entfernt wurde, bestand während der öffentlichen Verfügbarkeit ein reales Risiko.

Falls einige der Zugangsdaten noch gültig waren, hätten sie theoretisch Zugriff ermöglichen können auf:

• Cloud‑Infrastruktur der US‑Regierung in AWS GovCloud
• interne Entwicklungs‑ und Deployment‑Systeme von CISA
• Identitäts‑ und Authentifizierungsdienste
• DevOps‑Pipelines und Konfigurationssysteme

Forscher erklärten, dass einige der gefundenen Zugangsdaten zum Zeitpunkt der Entdeckung offenbar noch aktiv waren.

Ob jemand diese Daten tatsächlich missbraucht hat, ist öffentlich jedoch nicht bestätigt worden.

Was CISA dazu sagt

CISA bestätigte den Vorfall und erklärte, man untersuche die Umstände rund um das Repository.

Nach Angaben der Behörde gebe es keine Hinweise darauf, dass sensible Daten kompromittiert oder Systeme tatsächlich verletzt wurden.

Parallel dazu prüfen Behörden und Auftragnehmer, welche technischen und organisatorischen Maßnahmen nötig sind, um ähnliche Vorfälle künftig zu verhindern.

Der Fall rief außerdem politische Aufmerksamkeit hervor: Mitglieder des US‑Kongresses forderten Briefings darüber, wie es zur Veröffentlichung kommen konnte und ob Risiken für staatliche Systeme bestanden.

Warum der Vorfall besonders peinlich ist

Der Leak sorgte für zusätzliche Aufmerksamkeit, weil CISA selbst die führende zivile Cybersicherheitsbehörde der US‑Regierung ist. Die Organisation veröffentlicht regelmäßig Empfehlungen für Behörden, Unternehmen und Betreiber kritischer Infrastruktur – etwa zu:

• sicherem Umgang mit Zugangsdaten
• Secret‑Management
• sicheren DevOps‑Prozessen
• Vermeidung sensibler Daten in öffentlichen Code‑Repositories

Dass ausgerechnet Zugangsdaten im Umfeld dieser Behörde öffentlich in GitHub landeten, verdeutlicht eine Ironie: Der Vorfall zeigt genau jene operativen Sicherheitsfehler, vor denen CISA normalerweise andere Organisationen warnt.

Die größere Lehre aus dem Vorfall

Der Fall ist kein Einzelfall in der Softwareentwicklung. Immer wieder gelangen Zugangsdaten versehentlich in öffentliche Repositories, etwa wenn Entwickler Konfigurationsdateien oder Secrets direkt in Versionskontrolle einchecken.

Heute durchsuchen spezialisierte Sicherheitswerkzeuge große Code‑Plattformen automatisch nach solchen Leaks. In diesem Fall führte genau diese Art von Scan dazu, dass ein Forscher den Fehler bemerkte und meldete, bevor ein bestätigter Missbrauch bekannt wurde.

Trotzdem zeigt der Vorfall, wie ein einzelnes falsch konfiguriertes Repository – besonders in komplexen Regierungs‑ oder Unternehmensumgebungen – potenziell Zugriff auf kritische Infrastruktur eröffnen kann, wenn Zugangsdaten nicht sorgfältig verwaltet werden.