#Hosting · 3 Min. Lesezeit · Tim Rinkel

CISA-DESASTER! Eigener Admin der US-Cyberbehörde verschenkt JETZT die AWS-GovCloud-Schlüssel auf GitHub

CISA-DESASTER! Eigener Admin der US-Cyberbehörde verschenkt JETZT die AWS-GovCloud-Schlüssel auf GitHub

Wenn du jemals genervt warst, dass deine Firmen-IT „bitte keine Passwörter ins Repo“ predigt — atme tief durch. Bei der US-Cybersicherheitsbehörde CISA ist genau das passiert. Ein Contractor hat ein öffentliches GitHub-Repo unterhalten, das seit November 2025 AWS-GovCloud-Admin-Keys, plaintext-Passwörter, SSH-Keys, Auth-Tokens, Deploy-Logs und interne DHS-Dokumente offen ins Netz stellte.

SCHOCK: Was im Repo lag

Sicherheitsfirma GitGuardian entdeckte das Repo letzte Woche. Drin: eine Datei mit dem treffenden Namen importantAWStokens, in der die Admin-Credentials zu drei AWS-GovCloud-Servern klar lesbar liegen. Dazu Zugriff auf interne Artifactory-Systeme — also genau die Schnittstelle, über die CISA Software-Pakete verteilt. Wer dort Code injizieren könnte, hätte Persistenz über vertrauenswürdige Deploys.

UNGLAUBLICH: Der Admin hat die Sicherheitsfunktion EXTRA ausgeschaltet

Im Commit-Log sieht man, wie der Admin die GitHub-Funktion deaktiviert hat, die Secrets in öffentlichen Repos blockt. „Passwörter in einer CSV im Klartext, Backups im Git, explizite Befehle, die Secret-Detection abzuschalten“ — so beschreibt einer der Forscher den Befund. Das ist kein Lapsus mehr, sondern eine Anleitung, wie man es nicht macht.

GEFAHR! 48 Stunden lang weiter gültig

Nach der Takedown-Meldung hat CISA das Repo offline genommen. Doch die geleakten AWS-Keys waren noch 48 Stunden gültig — eine bizarre Verzögerung, in der jeder mit gespeicherter Kopie unbemerkt weitergreifen konnte. CISA betont, dass es aktuell keine Hinweise auf erfolgreiche Datenabflüsse gibt.

EXTRA-TIPP: Was du daraus für DEIN GitHub mitnimmst

  1. Niemals Production-Secrets in Repos checken — auch nicht in private. Stattdessen ein Vault (Hashicorp, AWS Secrets Manager, sops + age) nutzen.
  2. GitHub Secret Scanning + Push Protection aktivieren, beides ist gratis.
  3. Pre-Commit-Hook mit gitleaks oder trufflehog einbauen.
  4. Bei Tokens immer Ablaufdatum < 90 Tage setzen — selbst wenn eines durchrutscht, bleibt das Fenster klein.

FAZIT: Sicherheitsbehörden sind nur so sicher wie ihre Praktiken

Capitol Hill verlangt Antworten — und das zu Recht. Die größte US-Cyberbehörde wird gerade vorgeführt, wie ein einzelner Contractor mit drei Klicks ein National-Security-Risiko bauen kann. Für deine eigene Firma heißt das: Trust-but-verify gilt nicht nur für Mitarbeiter, sondern auch für Partner und externe Dienstleister. Sonst landest du in der nächsten „Worst Leak“-Schlagzeile.

Häufige Fragen

Was war konkret im Repo?
AWS-GovCloud-Admin-Credentials für drei Server, plaintext-Passwörter, SSH-Keys, Auth-Tokens, Deployment-Logs, interne CISA- und DHS-Entwicklungsdaten und Zugriff auf das Artifactory-System (das CISAs Software-Bundles verteilt). Eine Datei mit dem Namen importantAWStokens machte es Findern besonders leicht.
Wer hat den Leak entdeckt?
Die französisch-amerikanische Sicherheitsfirma GitGuardian, die auf öffentliche Secret-Leaks spezialisiert ist. Sie hat das Repo letzte Woche identifiziert und CISA informiert.
Wurden Daten oder Systeme kompromittiert?
CISA sagt: nach aktuellem Stand keine Hinweise. Endgültige Klarheit gibt es erst nach forensischer Auswertung der GovCloud-Access-Logs für die betroffenen Zeiträume. Politisch ist der Schaden so oder so groß — der Kongress fordert Erklärungen.
Was bedeutet das für mich als IT-Admin?
Aktiviere GitHub Secret Scanning + Push Protection für jedes Repo. Setze gitleaks oder trufflehog als Pre-Commit-Hook ein. Rotiere langlebige Tokens auf maximal 90 Tage. Nutze Vaults statt CSV-Files. Und behandle Contractor-Repos genauso paranoid wie eigene.

Quellen

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert