Apps & Software, Netzwerk +2

844 Megabyte pures IT-Gift: Was der riesige GitHub-Leak über die digitale Realität der USA verrät

23.05.2026 5 Min. Lesezeit
Foto: © Dieses Bild wurde mithilfe von künstlicher Intelligenz generiert
Zurück

Es gibt Sicherheitsvorfälle, die sind technisch so komplex, dass man den Opfern ein gewisses Maß an Entlastung zugestehen muss. Und dann gibt es Vorfälle, die so monumental dumm, handwerklich schlampig und konzeptionell desaströs sind, dass sie jegliche professionelle Fassung sprengen

Was sich Mitte Mai 2026 bei der Cybersecurity and Infrastructure Security Agency (CISA) – der obersten Cyber-Abwehrbehörde der USA – abgespielt hat, fällt zweifelsfrei in die zweite Kategorie.

Als die Sicherheitsfirma GitGuardian ein öffentliches GitHub-Repository mit dem irrwitzigen Namen „Private-CISA“ entdeckte, hielten die Forscher den Fund zunächst für einen Fake, einen sogenannten Honeypot, um Angreifer anzulocken.

Zu absurd wirkten die Dateinamen.

Doch eine Tiefenanalyse zeigte die bittere Realität: Ein externer IT-Dienstleister der Behörde hatte über Monate hinweg die innersten digitalen Kronjuwelen der US-Infrastruktur unverschlüsselt ins weltweite Netz gestellt. Es ist das peinlichste und potenziell gefährlichste Datenleck des Jahres.

Eine Chronik des absoluten Kontrollversagens

Das Repository umfasste stolze 844 Megabyte an Daten, inklusive der kompletten Git-Historie. Die Analyse der Ordnerstrukturen und Dateinamen liest sich wie ein Best-of-Katalog dessen, was man in der IT-Sicherheit in der allerersten Vorlesung als absolut tödlich deklariert.

© Krebsonsecurity
  • Der Kern des Lecks: Unter Dateinamen wie importantAWStokens.txt und AWS-Workspace-Firefox-Passwords.csv lagen administrative Zugangsschlüssel (Root- beziehungsweise Admin-Credentials) zu drei hochsensiblen Amazon AWS GovCloud-Servern sowie dutzenden internen CISA-Systemen im Klartext vor.
  • Architektur-Blaupausen: Neben Passwörtern enthielt das Datenpaket Kubernetes-Manifeste, ArgoCD-Konfigurationsdateien und komplette Terraform-Infrastruktur-Skripte. Für versierte Angreifer ist das die exakte Straßenkarte der behördlichen Cloud-Infrastruktur. Sie wissen nun genau, wie CISA-Software gebaut, getestet und ausgerollt wird.
  • Aktive Sabotage von Schutzmaßnahmen: Der absolute Tiefpunkt der technischen Analyse offenbarte, dass der verantwortliche Administrator nicht nur Backups fehlerhaft committet, sondern in seinen Skripten explizite Befehle hinterlegt hatte, um die automatische Secret-Scanning-Funktion von GitHub gezielt zu deaktivieren.

Die Spuren der Git-Metadaten deuten darauf hin, dass ein Mitarbeiter des Virginia-basierten Regierungsdienstleisters Nightwing das Repository bereits am 13. November 2025 angelegt hatte. 

Zweck der Übung war offenbar die private Synchronisation von Daten zwischen dem Arbeits-Laptop und dem heimischen PC. Über ein halbes Jahr lang standen diese Türen für jedermann offen.

Die Sollbruchstelle namens „Outsourcing“

Wirtschaftlich zeigt dieser Vorfall die toxische Abhängigkeit von Behörden und Großkonzernen von externen IT-Dienstleistern.

CISA selbst verfügt über exzellente Forensiker und scharf formulierte Sicherheitsrichtlinien. Doch auf dem Papier nützt die beste Security-Policy nichts, wenn die operative Umsetzung an Subunternehmer ausgelagert wird, die ihre eigenen Leute nicht im Griff haben.

Für die Sicherheitsbranche und den US-Staatsapparat ist der Schaden immens. Die CISA koordiniert die Abwehr von Ransomware-Angriffen, schützt kritische Infrastrukturen (KRITIS) wie Stromnetze und Wasserwerke und predigt der Wirtschaft seit Jahren das Prinzip von „Secure by Design“ und die vollständige Abschaffung von Passwörtern zugunsten von Phishing-resistenten Passkeys.

Dass dieselbe Behörde nun dabei erwischt wurde, wie ihre Cloud-Zentralschlüssel in einer unverschlüsselten CSV-Datei auf einer öffentlichen Microsoft-Plattform lagen, beschädigt die Glaubwürdigkeit der Behörde nachhaltig.

Berichten zufolge sollen einzelne AWS-Zugangsdaten auch nach der Abschaltung des Repositories noch gültig gewesen sein. Belastbar belegt ist zumindest, dass Forscher die Gültigkeit der exponierten AWS-GovCloud-Keys prüfen konnten. Sollte sich bestätigen, dass die Credentials erst mit Verzögerung rotiert wurden, wäre das ein schweres Versäumnis im Incident Response.

Wer profitiert durch so einen Schaden?

In der Natur der Sache liegend vor allem staatliche Akteure und Industriespione. Sie haben ein detailliertes Abbild der US-Verteidigungslinien geschenkt bekommen. Wirtschaftlich profitieren werden zudem spezialisierte Auditing-Firmen und Anbieter von automatisiertem Secret-Management (wie HashiCorp Vault oder eben GitGuardian), deren Produkte nun schlagartig zur Pflichtausstattung bei jeder Regierungs-Ausschreibung werden dürften.

Wer gerät dadurch unter Druck?

Der Rüstungs- und IT-Dienstleister Nightwing. Wer als Security-Spezialist für Regierungsbehörden auftritt und solch eklatante Fehler toleriert, ist für künftige Großprojekte im Grunde verbrannt. Aber auch die Führung der CISA steht vor dem Kongress unter massivem Rechtfertigungsdruck, da hier fundamentale Compliance-Audits intern versagt haben.

Fazit: Wenn Bequemlichkeit die nationale Sicherheit aushebelt

Das Desaster der CISA ist das perfekte Lehrstück für die größte Schwachstelle der gesamten Cybersicherheit: den Faktor Mensch. Sie können Milliarden in Next-Gen-Firewalls, KI-gestützte Bedrohungserkennung und Zero-Trust-Architekturen investieren.

Wenn am Ende ein gestresster oder schlichtweg inkompetenter Administrator im Homeoffice die Sicherheitsmechanismen abschaltet, um sich die Arbeit beim Abgleich seiner privaten Daten zu erleichtern, brennt das gesamte digitale Kartenhaus ab.

Die CISA versucht sich derzeit in Schadensbegrenzung und betont, es gäbe „keine Anzeichen dafür, dass sensible Daten kompromittiert wurden“. Das ist die typische, beruhigende PR-Floskel, die man in solchen Momenten absondern muss.

In der Realität war die Haustür über mehrere Monate sperrangelweit offen. Wer glaubt, dass professionelle Akteure in diesem Zeitraum nicht längst die Räumlichkeiten digital vermessen haben, leidet unter akutem Realitätsverlust.

Dieser Vorfall muss radikale Konsequenzen haben.

Es darf Angestellten und Dienstleistern technisch schlichtweg physisch nicht mehr möglich sein, Code in öffentliche Repositories zu pushen, ohne dass vorgeschaltete Gatekeeper dies blockieren. 

Wenn der oberste Hüter der IT-Sicherheit seine Glaubwürdigkeit zurückgewinnen will, muss er jetzt schonungslos aufräumen – angefangen bei den eigenen Auftragnehmern.

Tobias Wieser 23.05.2026
Themen: Apps & Software, Netzwerk, Security, Web & Server

Weitere Artikel

Das Ende der Melodie? Warum 44 % aller Deezer-Uploads nur noch KI-Slop sind
Mythos oder Medizin? Die technische Wahrheit hinter dem iPhone-Neustart
Tschüss, Kindle.exe! Warum Tech-Giganten den Desktop aufgeben
Googles „Apple-Move“: Die neue Downgrade-Sperre im Tech-Check
Quellenverzeichnis (4)
CISA Admin Leaked AWS GovCloud Keys on Githubkrebsonsecurity.comBildgenerierung mithilfe von künstlicher Intelligenzchatgpt.comU.S. cybersecurity agency leaks GovCloud keys on GitHubwww.techzine.euHow We Got a CISA GitHub Leak Taken Down in Under a Dayblog.gitguardian.com

Das Internet vergisst nicht? Leider doch. Zum Zeitpunkt der Veröffentlichung unseres Beitrags wurden die verlinkten externen Quellen von unserer Redaktion intensiv geprüft und waren vollständig funktionsfähig. Da Webseiten im Laufe der Zeit umstrukturiert, verschoben oder offline genommen werden, können einzelne Verweise im Original mittlerweile leider nicht mehr erreichbar sein.

Solltest du auf einen „toten Link" stoßen, kannst du uns gerne über unsere Kontaktseite darüber informieren. Wir werden uns umgehend darum kümmern und die entsprechenden Verweise aktualisieren.

Fehlerhaften Link melden
Link in die Zwischenablage kopiert!
Einstellungen löschen?
Deine Cookie-Auswahl wird zurückgesetzt und die Seite neu geladen.