Höchst peinlicher Flop bei der US-Cyberagentur CISA

20. Mai 2026 um 10:28
  • security
  • International
image
Illustration: Erstellt durch Inside IT mit Le Chat

Jemand aus der Security-Behörde der US-Regierung speicherte Passwörter, Schlüssel und mehr in einem Github-Repository – und liess es komplett offen.

Ausgerechnet der für Security-Empfehlungen an US-Behörden zuständigen Cybersecurity and Infrastructure Security Agency (CISA) ist ein schwerwiegendes Security-Missgeschick passiert. Einem Bericht des Magazins 'The Register' zufolge hat ein Agenturmitarbeiter ein Github-Repository namens "Private-CISA" offen gelassen, das Passwörter im Klartext, private Schlüssel, Tokens und andere Geheimnisse enthielt. Diese waren zudem noch in Files mit ganz eindeutigen Namen wie "external-secret-repo-creds.yaml" oder "AWS-Workspace-Firefox-Passwords.csv" enthalten. Und dies nicht weniger als sechs Monate lang.
Das Magazin wurde vom Security-Researcher Guillaume Valadon von Gitguardian über den Vorfall informiert. Dieser hatte das Repository, das er am 14. Mai gefunden hatte, zunächst für einen Scherz gehalten. "Es wurde schnell klar, dass es sich um eine schwerwiegende Sicherheitslücke handelte und die Zeit knapp wurde. Dass eine nationale Behörde sechs Monate lang 844 Megabyte an Material zur Produktionsinfrastruktur in einem öffentlichen Github-Repository gespeichert hatte, ist ein Fall von gröbster Fahrlässigkeit."
Gitguardian informierte die CISA noch am Tag des Fundes. Diese entfernte das Repository dann am nächsten Tag, aber erst, nachdem sich auch der bekannte Security-Blogger Brian Krebs eingeschaltet und so den Druck erhöht hatte.
Auf Anfrage des Magazins erklärte die CISA, dass sie sich der Situation bewusst sei und den Vorfall weiterhin untersuche. Derzeit gebe es aber keine Anzeichen dafür, dass durch diesen Vorfall sensible Daten offengelegt wurden.
Trotzdem ist dies natürlich ein schwerwiegender Fauxpas für eine Security-Behörde, die anderen Best-Practices predigen soll. Die CISA hat allerdings auch organisatorisch mit grossen Schwierigkeiten zu kämpfen. Seit dem Amtsantritt von Donald Trump hat sie keine feste Leiter mehr. Zudem wurde ihr Personalbestand stark reduziert und ihr Budget um einige hundert Millionen Dollar gesenkt.

Loading

Mehr zum Thema

image

Finanzplatz Schweiz von KI-Modell Mythos bedroht

Die Schweizerische Bankiervereinigung und das Schweizer Zentrum zur Bekämpfung von Finanzkriminalität sehen in der Mythos-KI eine Bedrohung für den hiesigen Finanzplatz.

publiziert am 19.6.2026
imageAbo

EFK sieht Lücken in der Cyberabwehr des Bundes

Bei der Zusammenarbeit zwischen FS BIS und dem Bacs bestehen noch Lücken – insbesondere bei Vorgaben, Prozessen und der Meldung von Cybervorfällen.

publiziert am 18.6.2026
image

Hackerkampagne kompromittiert 74'000 Fortinet-Firewalls

Der "Fortibleed" getaufte Angriff legt Zugangsdaten von Organisationen weltweit offen. Sicherheitsforscher nennen das Ausmass "erschreckend".

publiziert am 18.6.2026
image

Ericsson kündigt Führungswechsel an

Beim schwedischen Netzwerkausrüster kündigt sich ein Führungswechsel an. CEO Börje Ekholm tritt zurück, der bisherige Leiter des Netzwerkgeschäfts, Per Narvinger, übernimmt.

publiziert am 17.6.2026