CISA, die Behörde für US-Bundesnetze, ließ eigene AWS-Schlüssel auf GitHub liegen

Ein GitGuardian-Forscher namens Guillaume Valadon durchsuchte öffentliche GitHub-Commits, als er auf ein Repository stieß, dessen Name wie ein Versehen klang: Private-CISA. Es gehörte einem Auftragnehmer der Cybersecurity and Infrastructure Security Agency, der Bundesbehörde, die für die Verteidigung der US-Regierungsnetze zuständig ist. Im Repository lagen Administrationszugänge für drei AWS-GovCloud-Konten, eine CSV mit Klartext-Benutzernamen und -Passwörtern für Dutzende interner CISA-Systeme sowie Schritt-für-Schritt-Notizen dazu, wie die Behörde ihre eigene Software baut, testet und ausliefert. Der Auftragnehmer hatte zudem die GitHub-Funktion abgeschaltet, die Pushes auf exponierte Geheimnisse scannt.

Zwei Dateinamen im Private-CISA-Baum richten den Großteil des Schadens an. Die eine, importantAWStokens, listet die Administrator-Schlüssel der drei GovCloud-Server. Die andere, AWS-Workspace-Firefox-Passwords.csv, ist genau das, was der Name sagt: ein Firefox-Passwort-Export, im Klartext, der die internen CISA-Arbeitsbereiche abdeckt, das Artifactory der Behörde für interne Code-Pakete sowie ihre Landing-Zone-DevSecOps-Umgebung, jenen kontrollierten Bereich, in dem Bundesteams nahezu klassifizierungssensiblen Code schreiben und prüfen. Es gibt keine Verschlüsselungsschicht, keinen Vault-Verweis, keine Token-Rotationslogik. Es ist eine CSV.

AWS GovCloud ist die isolierte Cloud-Region, die Amazon für US-Regierungs-Workloads betreibt, die innerhalb des FedRAMP-High-Rahmens und vergleichbarer Compliance-Vorgaben bleiben müssen. Administrationszugänge in dieser Region sind keine gewöhnlichen Cloud-Zugangsdaten. Es sind die Schlüssel, mit denen ein Angreifer neue Konten anlegen, die Protokollierungs-Konfiguration ändern und Infrastruktur in einer Region hochziehen kann, die gegen das öffentliche Internet luftdicht sein soll. Wer die Datei importantAWStokens während der sechs Monate kopierte, in denen sie öffentlich lag, hätte direkt in diese Umgebung hineinspazieren können.

Das könnte Ihnen auch gefallenEin Login-Fehler ließ 70 Millionen cPanel-Webseiten für jedermann offen stehen

Das Muster des Auftragnehmers wirkte auf die Leute, die später die Commit-Historie durchforsteten, weniger böswillig als bequem. Die Pushes folgten dem Takt eines Menschen, der über Git Dateien zwischen einem Arbeitsnotebook und einem Heimrechner synchronisiert. Damit dieser Workflow ohne ausgelöste Secret-Scanning-Alarme funktionierte, musste der Kontoinhaber den standardmäßigen Push-Schutz von GitHub von Hand deaktivieren — eine Einstellung, die genau dafür existiert, solche Unfälle zu verhindern. Die Sperre wurde abgeschaltet, und die Commits begannen.

Die offizielle Stellungnahme der CISA stellt den Vorfall als eingegrenzt dar. „Es gibt keine Hinweise darauf, dass infolge dieses Vorfalls sensible Daten kompromittiert wurden“, erklärte die Behörde und ergänzte, sie werde zusätzliche Schutzmaßnahmen einführen. Diese Aussage ist enger gefasst, als sie zunächst klingt. Um zu wissen, dass über sechs Monate kein GovCloud-Konto missbraucht wurde, müsste ein Prüfer jeden CloudTrail-Eintrag, jede IAM-Rollen-Änderung und jede Workspace-Anmeldung in diesem Zeitfenster durchgehen — und die Behörde hat nicht gesagt, dass sie diese Arbeit geleistet hat, sondern nur, dass ihr bisher keine Belege vorliegen. Unabhängige Beobachter merkten zudem an, dass die geleakten AWS-Zugangsschlüssel nach Abzug des Repositorys noch etwa zwei Tage gültig blieben — also genau jenes Fenster, in dem eine zuvor angefertigte Kopie weiterhin funktioniert hätte.

Es ist dieselbe Behörde, die das bundesweite Programm Secret Sprawl betreibt, anderen Ressorts Leitlinien zur Zugangsdaten-Hygiene veröffentlicht und private Betreiber wiederholt davor gewarnt hat, dass das Offenliegen von API-Token im Versionskontrollsystem zu den häufigsten Einfallstoren für Ransomware-Gruppen gehört. Ihr eigener Known-Exploited-Vulnerabilities-Katalog, den US-Auftragnehmer gesetzlich nachverfolgen müssen, stuft nicht rotierte Cloud-Zugangsdaten als Befund mit hoher Schweregrad-Einstufung ein. Das Private-CISA-Repository erfüllte jedes Kriterium, das die Behörde anlegt, wenn sie allen anderen attestiert, versagt zu haben.

Valadon, der zum Forschungsteam von GitGuardian gehört, sagte, der Fund sei selbst nach Verifizierung schwer zu lesen gewesen. „Passwörter im Klartext in einer CSV, Backups in Git, explizite Befehle, die Secret-Detection von GitHub abzuschalten“, schrieb er. „Ich war ernsthaft überzeugt, dass das alles gefälscht ist, bevor ich den Inhalt tiefer analysiert habe. Das ist mit Abstand das schlimmste Leck, das ich in meiner Karriere gesehen habe.“ GitGuardian informierte die CISA am 15. Mai, das Repository wurde im darauffolgenden Wochenende auf privat gestellt.

Was die CISA bislang öffentlich nicht gesagt hat: ob die betroffenen GovCloud-Konten vollständig rotiert wurden, bei welchen internen Systemen aus der Passwort-CSV die Zugangsdaten gewechselt sind und ob das Office of Inspector General des Department of Homeland Security eine formelle Überprüfung eröffnen wird. Der Auftragnehmer, der Berichten zufolge für die staatsnahe Cybersicherheitsfirma Nightwing arbeitet, wurde nicht namentlich genannt. Das Repository wurde am 13. November 2025 angelegt und Mitte Mai 2026 entfernt, womit das öffentliche Expositionsfenster sechs Monate und zwei Tage umfasst. Die Zahl, die die Öffentlichkeit als Nächstes erwarten darf, ist, an wie vielen dieser Tage die Schlüssel tatsächlich verwendet wurden.

Schlagwörter: AWS GovCloud, CISA, credential leak, Cybersicherheit, GitGuardian, GitHub, Guillaume Valadon, Nachrichten, Nightwing

Mehr davon

Eine KI hat einen funktionierenden Zero-Day-Exploit geschrieben — Google fing ihn ab

GPT-5.5 ist gerade auf AWS gelandet und beendet Microsofts siebenjährigen Lock-in mit OpenAI

Ein Scan von 380.000 mit KI gebauten Apps findet Tausende ohne jede Authentifizierung

Hexstrike-AI: Die Dämmerung der autonomen Zero-Day-Ausnutzung

Shors Algorithmus: Ressourcenbedarf für RSA-2048-Faktorisierung sank in unter einem Jahr um eine Größenordnung

Linus Torvalds erklärt KI-generierten Kernel-Code zur neuen Normalität in Linux 7.1