CISA-Zugangsdaten im öffentlichen GitHub-Repo durchgesickert

Bei einem schwerwiegenden Sicherheitsvorfall, der die entscheidende Bedeutung einer ordnungsgemäßen Verwaltung von Zugangsdaten unterstreicht, kam es bei der amerikanischen Cybersecurity and Infrastructure Security Agency (CISA) zu einem schwerwiegenden Verstoß gegen sensible Verwaltungszugangsdaten. Der Sicherheitsforscher Brian Krebs berichtete kürzlich, dass die Bundesbehörde versehentlich eine umfangreiche Sammlung von Klartext-Passwörtern, privaten SSH-Schlüsseln, Authentifizierungstokens und anderen sensiblen CISA-Assets über ein öffentlich zugängliches GitHub-Repository offengelegt habe. Die Exposition war über einen längeren Zeitraum aktiv, und es gibt Hinweise darauf, dass das Endlager seit mindestens November 2025 für die Öffentlichkeit sichtbar war.

Die Entdeckung dieses Credential Exposure-Vorfalls zeigt eine besorgniserregende Lücke zwischen den von einer staatlichen Cybersicherheitsbehörde erwarteten Sicherheitsverantwortungen und den tatsächlich angewandten Betriebspraktiken. Das betreffende Repository wurde „Private-CISA“ genannt, was eine ironische Diskrepanz zwischen dem beabsichtigten Zweck – der Geheimhaltung von Materialien – und dem tatsächlichen Ergebnis der öffentlichen Zugänglichmachung sensibler Informationen zeigt. Das Repository wurde inzwischen offline genommen, jedoch nicht bevor es in den Monaten, in denen es zugänglich blieb, möglicherweise von böswilligen Akteuren entdeckt und ausgenutzt wurde.

Die Warnung bezüglich des kompromittierten Repositorys stammt von GitGuardian, einem Unternehmen, das sich auf Lösungen zur Geheimniserkennung und Codesicherheit spezialisiert hat. Guillaume Valadon, ein Forscher bei GitGuardian, entdeckte das offengelegte Repository durch die kontinuierlichen Scanvorgänge des Unternehmens für öffentlichen Code. Der Erkennungsmechanismus von Valadon stellt die Art der automatisierten Überwachung dar, die Sicherheitsmängel erkennt, bevor menschliche Administratoren darauf aufmerksam werden. Nachdem Valadon den Verstoß entdeckt hatte, versuchte er, den Eigentümer des Repositorys direkt zu kontaktieren, erhielt jedoch keine Antwort von CISA-Vertretern bezüglich der offengelegten Anmeldeinformationen.

Laut Korrespondenz zwischen Valadon und Krebs wurde die Situation deutlich besorgniserregender, als die Commit-Historie des Repositorys untersucht wurde. Beweise aus den Git-Protokollen zeigen, dass die integrierten geheimen Schutzmechanismen von GitHub – Funktionen, die speziell entwickelt wurden, um zu verhindern, dass Entwickler versehentlich vertrauliche Informationen preisgeben – vom Administrator des Repositorys absichtlich deaktiviert wurden. Dies deutet darauf hin, dass es sich bei dem Verstoß nicht nur um ein Versehen handelte, sondern vielmehr um eine bewusste Umgehung genau der Sicherheitsvorkehrungen, die GitHub zum Schutz vor genau dieser Art von Sicherheitsversagen bereitstellt.

Die Auswirkungen dieser AWS GovCloud-Zugangsdatenverletzung sind erheblich für die Sicherheitsinfrastruktur des Bundes. Zu den offengelegten Anmeldeinformationen gehörten Authentifizierungstoken für AWS GovCloud-Dienste, was einen potenziellen unbefugten Zugriff auf die von der Bundesregierung genutzte Cloud-Infrastruktur bedeutet. Wenn private SSH-Schlüssel kompromittiert werden, könnten sie es Angreifern ermöglichen, direkt auf Remote-Systeme zuzugreifen. In Quellcode-Repositorys gespeicherte Klartext-Passwörter stellen einen grundlegenden Verstoß gegen bewährte Sicherheitspraktiken dar und schaffen mehrere Wege für unbefugten Zugriff auf kritische Systeme.

Dieser Vorfall wirft ernsthafte Fragen zur Sicherheitskultur und den Schulungspraktiken innerhalb der CISA auf, einer Organisation, die eine erhebliche Verantwortung für die Beratung anderer Bundesbehörden und Einrichtungen des Privatsektors in Fragen der Cybersicherheit trägt. Die eigenen Sicherheitsmängel der Organisation untergraben ihre Glaubwürdigkeit als vertrauenswürdige Autorität für Infrastruktursicherheitspraktiken. Wenn die mit dem Schutz der kritischen Infrastruktur Amerikas beauftragte Behörde ihre eigenen Referenzen nicht sichern kann, äußert sie Bedenken hinsichtlich der Wirksamkeit ihrer Leitlinien für andere Organisationen.

Der zeitliche Ablauf der Enthüllung ist besonders besorgniserregend, da die Anmeldeinformationen monatelang zugänglich blieben, bevor sie entdeckt und gemeldet wurden. Während dieses Zeitfensters bestanden für verschiedene Bedrohungsakteure – von einzelnen Hackern bis hin zu hochentwickelten nationalstaatlichen Einheiten – mehrere Möglichkeiten, auf die offengelegten Geheimnisse zuzugreifen und diese auszunutzen. Das tatsächliche Ausmaß des Verstoßes bleibt unklar, da es bekanntermaßen schwierig ist, festzustellen, ob die Anmeldeinformationen von Unbefugten entdeckt und verwendet wurden.

Die geheimen Schutzfunktionen von GitHub, die in diesem Fall deaktiviert wurden, fungieren als entscheidende letzte Verteidigungslinie gegen Fehler bei den Anmeldeinformationen des Entwicklers. Diese Schutzmaßnahmen warnen Benutzer, wenn sie versuchen, bestimmte Muster zu übernehmen, die üblicherweise mit Geheimnissen verbunden sind, wie z. B. AWS-Schlüssel, private kryptografische Schlüssel oder Authentifizierungstoken. Durch die Deaktivierung dieser Schutzmaßnahmen entfernte der Repository-Administrator eine grundlegende Schutzmaßnahme, die speziell für Szenarien entwickelt wurde, in denen die menschliche Wachsamkeit versagen könnte.

Der Vorfall ist ein Beispiel für ein umfassenderes Muster von Sicherheitsmängeln in der Technologiepraxis der Regierung. Trotz erheblicher Investitionen in die Cybersicherheitsinfrastruktur und der Einrichtung spezialisierter Agenturen wie CISA werden grundlegende betriebliche Sicherheitsmaßnahmen manchmal übersehen oder aktiv umgangen. Diese Lücke zwischen Sicherheitsverantwortung und tatsächlichen Sicherheitspraktiken stellt eine ständige Herausforderung für bundesstaatliche Informationssicherheitsprogramme dar.

Als Reaktion auf die Offenlegung hat CISA das kompromittierte Repository inzwischen aus dem öffentlichen Zugriff entfernt. Aufgrund der langjährigen Natur der Gefährdung können jedoch alle darin enthaltenen Anmeldeinformationen möglicherweise bereits gefährdet sein und eine sofortige Rotation erfordern. Organisationen, die auf ähnliche Weise mit Anmeldeinformationen umgehen, sind vergleichbaren Risiken ausgesetzt, und dieser Vorfall dient als warnendes Beispiel für die Gefahren der Deaktivierung von Sicherheitsmaßnahmen, die genau diese Art von Fehlern verhindern sollen.

Die breitere Sicherheitsgemeinschaft hat betont, wie wichtig es ist, die Verwaltung von Geheimnissen mit größter Ernsthaftigkeit zu behandeln. Umgebungsvariablen, Konfigurationsdateien und Geheimverwaltungssysteme sollten verwendet werden, um Anmeldeinformationen vom Quellcode zu trennen. Darüber hinaus stellen die Grundsätze der geringsten Rechte sicher, dass der potenzielle Schaden durch eingeschränkte Zugriffsberechtigungen minimiert wird, selbst wenn Anmeldeinformationen kompromittiert werden.

Dieser Vorfall unterstreicht die dringende Notwendigkeit für Organisationen auf allen Regierungs- und Industrieebenen, strenge Sicherheitspraktiken einzuhalten, einschließlich regelmäßiger Prüfungen der Repository-Zugriffskontrollen, der Deaktivierung von Sicherheitsschutzmechanismen und Anmeldedatenverwaltungspraktiken. Die Folgen einer Nichtbeachtung dieser grundlegenden Sicherheitshygienepraktiken können schwerwiegend sein, insbesondere für Organisationen, die für den Schutz kritischer nationaler Sicherheitsinteressen der Infrastruktur verantwortlich sind.