CISA, die US-Cyberbehörde, räumt ein, nach dem Datenleck eines Mitarbeiters auf GitHub keine Notfallpläne gehabt zu haben.
Die US-Cybersicherheitsbehörde (CISA) gab bekannt, dass sie während des Vorfalls einen Notfallplan erstellen musste, nachdem ein Auftragnehmer vertrauliche Regierungs-Zugangsdaten auf GitHub öffentlich gemacht hatte.
Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) räumte in einem Post-Mortem-Bericht ein, dass die Behörde keinen im Voraus vorbereiteten Notfallplan (Playbook) für den im Mai aufgetretenen kritischen Datenleck in der Cloud hatte. Dies führte dazu, dass die Beamten „Zeit damit verbringen mussten, [das Playbook] zu Beginn des Vorfalls zu erstellen“, während sie gleichzeitig Ad-hoc-Probleme lösten. Der Vorfall begann im Mai, als Sicherheitsforscher von GitGuardian eine große Menge vertraulicher Daten, wie Schlüssel und Anmeldeinformationen (Credentials), für den Zugriff auf US-Regierungssysteme in einem öffentlich zugänglichen GitHub-Repository entdeckten. Diese Daten wurden von einem Mitarbeiter eines Auftragnehmers hochgeladen, der für CISA tätig ist. Die Forscher versuchten, den Auftragnehmer direkt zu kontaktieren, erhielten jedoch keine Antwort. Die Geschichte wurde öffentlich, nachdem die Forscher Brian Krebs, einem unabhängigen investigativen Cybersicherheitsjournalisten, den Fall gemeldet hatten und Krebs CISA direkt kontaktierte. Erst nach der Kontaktaufnahme durch den Journalisten entfernte CISA das Repository und widerrief oder änderte umgehend alle offengelegten vertraulichen Daten. Interessanterweise ist CISA eine Behörde, die seit Jahren öffentliche und private Organisationen dazu aufruft und drängt, Playbooks für die Reaktion auf verschiedene Arten von Cybervorfällen zu erstellen. Doch im jüngsten Bericht räumte die Behörde selbst ein, dass sie „es versäumt hatte, zuvor ein GitHub/Cloud-Playbook“ speziell für solche Situationen zu erstellen. CISA bestätigte jedoch, dass die Überprüfung nach dem Vorfall keine Beweise dafür ergab, dass böswillige Akteure die durchgesickerten Daten verwendet hatten und keine Kundendaten oder andere sensible Informationen betroffen waren.
Dieser Vorfall ist eine wichtige Erinnerung daran, dass selbst nationale Cybersicherheitsbehörden Prozessschwächen aufweisen können, und unterstreicht die Notwendigkeit vorausschauender Notfallpläne statt ad-hoc-Lösungen.