## CISA-Auftragnehmer legt sensible Daten auf GitHub offen Gesetzgeber beider Kammern des Kongresses fordern Antworten von der **U.S. Cybersecurity & Infrastructure Security Agency (CISA)**, nachdem KrebsOnSecurity berichtet hat, dass ein CISA-Auftragnehmer absichtlich AWS GovCloud-Schlüssel und eine Fülle anderer Geheimnisse der Behörde auf einem öffentlichen **GitHub**-Konto veröffentlicht hat. Die Untersuchung erfolgt, während die CISA immer noch darum kämpft, den Vorfall einzudämmen und die kompromittierten Anmeldedaten ungültig zu machen.  Am 18. Mai berichtete KrebsOnSecurity, dass ein CISA-Auftragnehmer mit administrativen Zugriffsrechten auf die Code-Entwicklungsplattform der Behörde ein öffentliches GitHub-Profil namens „**Private-CISA**“ erstellt hatte, das Klartext-Anmeldedaten für Dutzende von internen CISA-Systemen enthielt. Experten, die die offengelegten Geheimnisse überprüften, sagten, dass die Commit-Logs des Code-Repositorys zeigten, dass der CISA-Auftragnehmer den integrierten Schutz von GitHub gegen die Veröffentlichung sensibler Anmeldedaten in öffentlichen Repos deaktiviert hatte. Die CISA bestätigte das Leck, hat jedoch nicht auf Fragen zur Dauer der Datenexposition geantwortet. Experten, die das inzwischen stillgelegte Private-CISA-Archiv überprüften, sagten jedoch, dass es ursprünglich im November 2025 erstellt wurde und ein Muster aufweist, das mit einem einzelnen Betreiber übereinstimmt, der das Repository als Arbeitsbereich oder Synchronisationsmechanismus und nicht als kuratiertes Projekt-Repository verwendet. ## Kongressuntersuchung In einer schriftlichen Erklärung sagte die CISA: „Es gibt keine Anzeichen dafür, dass sensible Daten infolge des Vorfalls kompromittiert wurden.“ Aber in einem Schreiben vom 19. Mai (PDF) an den amtierenden Direktor der CISA, **Nick Andersen**, sagte **Senatorin Maggie Hassan** (D-NH), dass das Leck von Anmeldedaten ernste Fragen aufwirft, wie eine solche Sicherheitslücke bei der Behörde auftreten konnte, die für die Verhinderung von Cyberangriffen zuständig ist. „Diese Berichterstattung wirft ernste Bedenken hinsichtlich der internen Richtlinien und Verfahren der CISA zu einer Zeit erheblicher Cybersicherheitsbedrohungen gegen die kritische Infrastruktur der USA auf“, schrieb Senatorin Hassan.  Senatorin Hassan stellte fest, dass der Vorfall vor dem Hintergrund erheblicher interner Umwälzungen bei der CISA stattfand, die mehr als ein Drittel ihrer Belegschaft und fast alle ihrer leitenden Führungskräfte verlor, nachdem die Trump-Administration eine Reihe von Frühverrentungen, Abfindungen und Rücktritten in den verschiedenen Abteilungen der Behörde erzwang. **Abgeordneter Bennie Thompson** (D-MS), der ranghöchste Vertreter im Ausschuss für innere Sicherheit des Repräsentantenhauses, teilte die Bedenken der Senatorin. „Wir sind besorgt, dass dieser Vorfall eine geschwächte Sicherheitskultur und/oder eine Unfähigkeit der CISA widerspiegelt, ihre Vertragsunterstützung angemessen zu verwalten“, schrieb Thompson in einem Schreiben vom 19. Mai an den amtierenden CISA-Chef, das von **Abgeordneter Delia Ramirez** (D-Ill), der ranghöchsten Vertreterin des Unterausschusses für Cybersicherheit und Infrastrukturschutz, mitunterzeichnet wurde. „Es ist kein Geheimnis, dass unsere Gegner – wie China, Russland und Iran – versuchen, Zugang zu und Persistenz auf Bundesnetzwerken zu erlangen. Die Dateien im ‚Private-CISA‘-Repository lieferten die Informationen, den Zugang und die Roadmap, um genau das zu tun.“ ## Anhaltende Schwachstellen KrebsOnSecurity hat erfahren, dass die Behörde mehr als eine Woche, nachdem die CISA erstmals von der Sicherheitsfirma **GitGuardian** über das Datenleck informiert wurde, immer noch daran arbeitet, viele der offengelegten Schlüssel und Geheimnisse ungültig zu machen und zu ersetzen. Am 20. Mai hörte KrebsOnSecurity von **Dylan Ayrey**, dem Erfinder von **TruffleHog**, einem Open-Source-Tool zur Entdeckung von privaten Schlüsseln und anderen Geheimnissen, die in Code auf GitHub und anderen öffentlichen Plattformen vergraben sind. Ayrey sagte, die CISA habe immer noch keinen RSA-Privatschlüssel ungültig gemacht, der im Private-CISA-Repo offengelegt wurde und Zugriff auf eine GitHub-App gewährte, die dem CISA-Unternehmenskonto gehört und in der CISA-IT-GitHub-Organisation mit vollem Zugriff auf alle Code-Repositorys installiert ist. „Ein Angreifer mit diesem Schlüssel kann Quellcode aus jedem Repository in der CISA-IT-Organisation lesen, einschließlich privater Repos, bösartige selbst gehostete Runner registrieren, um CI/CD-Pipelines zu kapern und Repository-Geheimnisse abzurufen, und Repository-Admin-Einstellungen ändern, einschließlich Branch-Schutzregeln, Webhooks und Deploy-Keys“, sagte Ayrey gegenüber KrebsOnSecurity. CI/CD steht für Continuous Integration und Continuous Delivery und bezieht sich auf eine Reihe von Praktiken, die zur Automatisierung des Erstellens, Testens und Bereitstellens von Software verwendet werden. KrebsOnSecurity informierte die CISA am 20. Mai über Ayreys Erkenntnisse. Die CISA bestätigte den Erhalt dieses Berichts, hat jedoch nicht auf Nachfragen geantwortet. Ayrey sagte, die CISA habe den offengelegten RSA-Privatschlüssel offenbar irgendwann nach dieser Benachrichtigung ungültig gemacht. Er wies jedoch darauf hin, dass die CISA immer noch keine kompromittierten Anmeldedaten rotiert hat, die mit anderen kritischen Sicherheitstechnologien verbunden sind, die im Technologieportfolio der Behörde eingesetzt werden (KrebsOnSecurity nennt diese Technologien vorerst nicht öffentlich). Ayrey sagte, sein Unternehmen Truffle Security überwache GitHub und eine Reihe anderer Code-Plattformen auf offengelegte Schlüssel und versuche, betroffene Konten auf die Offenlegung sensibler Daten aufmerksam zu machen. Dies sei auf GitHub einfach möglich, da die Plattform einen Live-Feed veröffentlicht, der eine Aufzeichnung aller Commits und Änderungen an öffentlichen Code-Repositorys enthält. Er sagte jedoch, dass auch kriminelle Akteure diese öffentlichen Feeds überwachen und oft schnell auf API- oder SSH-Schlüssel reagieren, die versehentlich in Code-Commits veröffentlicht werden.  Praktisch gesehen ist es wahrscheinlich, dass Cybercrime-Gruppen oder ausländische Gegner die Veröffentlichung dieser CISA-Geheimnisse ebenfalls bemerkt haben, wobei die gravierendste Veröffentlichung offenbar Ende April 2025 stattfand, sagte Ayrey. „Wir überwachen diesen Datenstrom nach Schlüsseln und haben Tools, um herauszufinden, wem sie gehören“, sagte er. „Wir haben Beweise dafür, dass Angreifer diesen Datenstrom ebenfalls überwachen. Jeder, der GitHub-Ereignisse überwacht, könnte diese Informationen besitzen.“ **James Wilson**, der Enterprise Technology Editor des Sicherheits-Podcasts *Risky Business*, sagte, dass Organisationen, die GitHub zur Verwaltung von Code-Projekten verwenden, Richtlinien von oben nach unten festlegen können, die Mitarbeiter daran hindern, die GitHub-Schutzmaßnahmen gegen die Veröffentlichung von geheimen Schlüsseln und Anmeldedaten zu deaktivieren. Aber Wilsons Co-Moderator **Adam Boileau** sagte, es sei unklar, ob irgendeine Technologie Mitarbeiter daran hindern könne, ihr eigenes persönliches GitHub-Konto zu eröffnen und es zur Speicherung sensibler und proprietärer Informationen zu nutzen. „Letztendlich ist dies etwas, das man nicht mit einer technischen Kontrolle lösen kann“, sagte Boileau im Podcast dieser Woche. „Das ist ein menschliches Problem, bei dem man einen Auftragnehmer für diese Arbeit eingestellt hat und dieser aus eigenem Antrieb beschlossen hat, GitHub zu nutzen, um Inhalte von einem Arbeitsrechner auf einen Heimrechner zu synchronisieren. Ich weiß nicht, welche technischen Kontrollen man einführen könnte, wenn dies vermutlich außerhalb von allem geschieht, was die CISA verwaltet oder sogar Einblick darauf hatte.“