US-Cybersicherheitsbehörde CISA hatte keinen Incident-Playbook, enthüllt die Behörde
Die US-Cybersicherheitsbehörde CISA hat zugegeben, im Mai keinen vorbereiteten Notfallplan für Reaktionen auf Sicherheitsvorfälle gehabt zu haben, nachdem ein investigativer Reporter die Behörde auf exponierte Zugangsdaten aufmerksam machte.

Die US-Bundesbehörde für Cybersicherheit, CISA, hat eingeräumt, im Mai keinen vorbereiteten Reaktionsplan für Sicherheitsvorfälle gehabt zu haben. Dies geschah, nachdem ein investigativer Reporter die Behörde auf öffentlich zugänglich gemachte sensible Schlüssel und Anmeldeinformationen für den Zugriff auf US-Regierungssysteme aufmerksam gemacht hatte. CISA-Mitarbeiter "mussten während der frühen Phasen des Vorfalls Zeit aufwenden, um [einen Leitfaden] zu erstellen", heißt es in einem Bericht der Behörde, der die Bedeutung vorbereiteter Leitfäden für "alle erwarteten Bedürfnisse" unterstreicht.
Die Behörde, eine Einheit des Ministeriums für Innere Sicherheit, die für die Verteidigung föderaler Netzwerke und kritischer Infrastrukturen zuständig ist, gab nicht an, wie lange das Fehlen eines Leitfadens die Reaktion verzögert hat. Ein Sprecher reagierte nicht sofort auf Anfragen von TechCrunch.
Der Sicherheitsvorfall wurde erstmals im Mai vom Cybersicherheitsjournalisten Brian Krebs gemeldet. Er berichtete, wie ein Sicherheitsforscher des Cybersicherheitsunternehmens GitGuardian ihn auf zahlreiche exponierte Passwörter und Zugriffsschlüssel aufmerksam machte, die in einem öffentlich zugänglichen GitHub-Repository gespeichert waren und von einem Mitarbeiter eines CISA-Auftragnehmers hochgeladen worden waren.
Laut Krebs versuchte der Forscher vergeblich, den Auftragnehmer zu informieren. Erst nachdem Krebs die CISA kontaktiert hatte, entfernte die Behörde das Repository und sperrte oder ersetzte die exponierten Zugangsdaten, um potenziellen Missbrauch zu verhindern. CISA gab an, dass keine Kunden- oder Missionsdaten kompromittiert wurden, und dankte dem Forscher und dem Reporter für ihre Hilfe. Die Behörde räumte ein, dass ihre Kanäle für Sicherheitsforscher zur Meldung potenzieller Vorfälle "nicht gut definiert waren" und dass Änderungen vorgenommen wurden.