Die US-Bundesbehörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat kürzlich einen Bericht zur Nachbearbeitung veröffentlicht und zugegeben, dass sie bei der Reaktion auf einen schwerwiegenden Cybersicherheitsvorfall im Mai dieses Jahres über keine internen Notfallpläne oder Reaktions-„Playbooks“ verfügte. Mitarbeiter der Behörde mussten in der Anfangsphase eines Notfallvorfalls, bei dem Zugangsdaten zu Systemen der US-Regierung verloren gingen, schnell Reaktionsrichtlinien vorbereiten, während sie Brände vor Ort löschten.

Der Vorfall begann im Mai dieses Jahres. Der unabhängige Cybersicherheitsreporter Brian Krebs erhielt von einem Forscher des Cybersicherheitsunternehmens GitGuardian den Hinweis, dass ein Mitarbeiter eines CISA-Outsourcing-Dienstleisters eine große Anzahl sensibler Schlüssel, Passwörter und Anmeldeinformationen, die für den Zugriff auf US-Regierungssysteme verwendet werden, in ein öffentliches GitHub-Repository hochgeladen und offengelegt hat. Nachdem die Versuche des Forschers, den Outsourcer zu kontaktieren, keine Reaktion erhielten, benachrichtigte Krebs sofort CISA. CISA ergriff nach Erhalt des Berichts schnell Maßnahmen, schaltete das entsprechende Repository offline und widerrief und ersetzte alle offengelegten Anmeldeinformationen, um potenziellen Missbrauchsrisiken vorzubeugen.
Obwohl CISA in einem am Freitag veröffentlichten Überprüfungsbericht betonte, dass der Vorfall nicht zur Offenlegung von Kunden- oder Missionsdaten geführt habe, und sich bei den Forschern und Reportern bedankte, die die Schwachstelle entdeckt hatten, gab die Agentur auch zu, dass ihre Kommunikationskanäle für Sicherheitsforscher zur Meldung möglicher Vorfälle zu diesem Zeitpunkt „nicht klar definiert“ waren. Um sicherzustellen, dass Organisationen auf einen Sicherheitsvorfall vorbereitet sind, anstatt in letzter Minute zu improvisieren, ist es laut CISA von entscheidender Bedeutung, im Voraus ein Reaktionsleitfaden für „alle erwarteten Anforderungen“ zu erstellen. Derzeit hat CISA Anpassungen vorgenommen, um externen Forschern künftig eine schnellere und einfachere Kontaktaufnahme mit der Agentur zu ermöglichen.
CISA gab nicht an, wie lange das Fehlen eines vorbereiteten Playbooks die Reaktion auf den Vorfall verzögerte, und ein Sprecher reagierte nicht sofort auf die Bitte von TechCrunch um einen Kommentar. Externe Analysten wiesen darauf hin, dass CISA als Kernabteilung des Heimatschutzministeriums, die für den Schutz von Bundesnetzen und kritischer Infrastruktur verantwortlich ist, seit Donald Trump im Januar 2025 seine zweite Amtszeit als Präsident angetreten hat, keinen ständigen Direktor mehr hat. Darüber hinaus musste die Agentur seit dem Amtsantritt der neuen Regierung auch Entlassungen, Zwangsurlaube und andere Schocks hinnehmen, von denen etwa ein Drittel aller Mitarbeiter betroffen waren.