Sicherheitsrisiken durch hartecodierte Secrets: Eine unterschätzte Bedrohung in der Entwicklerwelt

Table of Contents

Code mit Risiken – wenn Passwörter in Repositories landen

Zugangsdaten, die versehentlich online gelangen, sind weiterhin ein ernsthaftes Sicherheitsproblem. Der jüngste Secrets Sprawl-Report von GitGuardian zeigt, dass hartecodierte Zugangsdaten nach wie vor eine große Herausforderung in Entwicklerumgebungen darstellen und in manchen Fällen sogar noch problematischer geworden sind. Millionen von Zugangsdaten werden jedes Jahr öffentlich, trotz moderner Schutzmaßnahmen. Besonders alarmierend ist die Rolle, die KI-Tools und Container-Infrastrukturen bei der Verbreitung dieser Daten spielen. Im Jahr 2024 entdeckte GitGuardian mehr als 23 Millionen neue Zugangsdaten – oftmals als “Secrets” bezeichnet – in öffentlichen GitHub-Repositories. Dies stellt einen Anstieg von 25 Prozent im Vergleich zum Vorjahr dar.

Die Mehrheit dieser Funde besteht nicht aus leicht identifizierbaren API-Schlüsseln oder Tokens, sondern aus generischen Geheimnissen wie Passwörtern, Datenbank-Zugangsdaten oder Authentifizierungs-Strings ohne klar definierte Muster. Diese sind schwieriger mittels automatisierter Systeme zu erkennen und stellen somit ein wachsendes Risiko dar, insbesondere für Unternehmen, die auf automatisierte Sicherheitsprüfungen angewiesen sind.

GitHub und seine Maßnahmen

Um dem Problem entgegenzuwirken, hat GitHub im Jahr 2024 die “Push Protection” eingeführt, eine Schutzmaßnahme für öffentliche Repositories. Diese soll verhindern, dass bekannte Schlüsselmuster, wie etwa OpenAI- oder GitHub-Tokens, versehentlich veröffentlicht werden. Allerdings greift dieser Schutz nur bei eindeutig erkennbaren Schlüsseln. Bei generischen oder neuen Mustern greift der Schutzmechanismus oft nicht.

In privaten Repositories, wo solche Schutzmaßnahmen seltener aktiv sind, ist die Anzahl der enthaltenen Secrets achtmal höher. Viele Entwickler verlassen sich auf die vermeintliche Sicherheit der Nichtöffentlichkeit – ein gefährlicher Trugschluss.

Verborgene Risiken in Tools und Containern

Nicht nur Quellcode birgt Gefahren. Auch in beliebten Collaboration-Tools wie Slack, Jira oder Confluence wurden zahlreiche Secrets entdeckt, die teilweise noch kritischere Auswirkungen haben als in Repositories. Alarmierend ist, dass über 100.000 gültige Secrets in öffentlich zugänglichen Docker-Images gefunden wurden, einschließlich Zugangsdaten zu AWS-, GCP- oder GitHub-Instanzen großer Unternehmen.

Solche Leaks entstehen häufig, weil in CI/CD-Pipelines oder Dockerfiles Zugangsdaten über Umgebungsvariablen oder Shell-Kommandos fest codiert werden und auch dann bestehen bleiben, wenn sie später gelöscht werden. Mit der zunehmenden Nutzung von KI-Werkzeugen wie GitHub Copilot ergeben sich neue Herausforderungen. Laut Report stieg die Rate der Leaks in Repositories mit aktivierter Copilot-Unterstützung um 40 Prozent im Vergleich zum Durchschnitt. Dies liegt nicht nur an potenziell unsicheren Codevorschlägen, sondern auch an der erhöhten Geschwindigkeit und Frequenz, mit der Entwickler Code generieren – oft auf Kosten der grundlegenden Sicherheitsmaßnahmen.

Das Geheimnis mit den Secrets

Viele Unternehmen setzen auf Secrets Manager wie HashiCorp Vault oder AWS Secrets Manager. Doch die bloße Existenz eines Tools bedeutet nicht, dass es auch korrekt genutzt wird. In einer Stichprobe von Projekten, die Secrets Manager einsetzen, enthielten dennoch 5 Prozent Leaks. Oft bleiben geleakte Secrets lange aktiv, sogar Jahre nach ihrer Entdeckung. Besonders kritisch ist dies bei Nicht-Personen-Identitäten, wie Service-Accounts oder Automatisierungsprozessen, bei denen selten ein Lifecycle-Management betrieben wird.

Der Schluss: Tools allein sind nicht ausreichend. Was fehlt, ist ein umfassender Prozess zur Entdeckung, Rotation und automatisierten Entfernung von Zugangsdaten.

Weitere Sicherheitsherausforderungen

Der aktuelle Global Threat Report 2025 von CrowdStrike schlägt Alarm: Cyberangriffe, die von China unterstützt werden, sind um 150 Prozent gestiegen. Banken, Medienunternehmen und die Fertigungsindustrie sind besonders stark betroffen mit bis zu dreimal so vielen gezielten Attacken.

Anthropic hat Claude 3.7 Sonnet vorgestellt, das nach eigenen Angaben leistungsstärkste KI-Modell des Unternehmens und das erste hybride Reasoning-Modell am Markt. Es zeichnet sich durch die Integration zweier Betriebsmodi aus.

KI bietet sowohl Chancen für Unternehmen als auch für Cyberkriminelle. Welche neuen Sicherheitsherausforderungen im Zusammenhang mit KI werden auf Unternehmen zukommen und welche KI-basierten Bedrohungen werden das Jahr 2024 prägen? Sicherheitsexperten werfen einen Blick auf die wichtigsten Entwicklungen.

Zurück zum Blog

28. Juli 2025

Google startet “OSS Rebuild” zur Stärkung der Open-Source-Software-Sicherheit

Google hat ein Projekt namens “OSS Rebuild” gestartet, um die Sicherheit von Open-Source-Software zu verbessern. Es ermöglicht die reproduzierbare Erstellung von Softwarepaketen, um Transparenz zu erhöhen und Angriffe auf Abhängigkeiten zu erschweren. Besonders fokussiert es sich auf Pakete aus PyPI, npm und Crates.io. Das Tool prüft, ob Software-Artefakte ihrer Quellcode-Historie entsprechen, was unerwünschte Veränderungen wie Backdoors aufdeckt. Gleichzeitig verspricht es eine Entlastung für Maintainer, indem es die Notwendigkeit komplexer Sicherheits-Pipelines reduziert. OSS Rebuild ist über eine Kommandozeilen-Toolschnittstelle zugänglich.

25. Juli 2025

[Lesetipp] Ransomware 2025: Warum Familienunternehmen im Visier stehen (Quelle: www.der-windows-papst.de)

Im Beitrag “Ransomware 2025 – Warum Familienunternehmen im Visier stehen” analysiert Der Windows Papst, weshalb gerade mittelständische und familiengeführte Betriebe zunehmend zur Zielscheibe von Cyberangriffen werden. Der Artikel beleuchtet aktuelle Entwicklungen, Angriffsmuster und gibt Tipps zur Abwehr. Besonders relevant für Unternehmen mit sensiblen Daten und begrenzten IT-Ressourcen. 👉 Zum Originalartikel auf der-windows-papst.de Ransomware 2025: […]

21. Juli 2025

Im Praxistest: Sicherheitslösungen gegen raffinierte Cyberangriffe

Heutzutage entwickeln Angreifer immer raffiniertere Methoden, um in Computersysteme einzudringen. Um dem entgegenzuwirken, müssen aktuelle Antivirenlösungen auch verschleierte Bedrohungen erkennen können. Das Institut AV-Test hat nun in einer umfassenden Untersuchung überprüft, wie gut diese Programme in der Praxis wirklich abschneiden. Dabei traten auch bei bekannten Softwarelösungen unerwartete Schwächen zutage.

15. Juli 2025

Microsoft bestätigt WSUS-Synchronisationsfehler: Auswirkungen und Ausblick für IT-Administratoren

Aktuelle Schwierigkeiten mit WSUS: Microsoft bestätigt Synchronisationsfehler, der die Verteilung von Windows-Updates unterbricht. Administratoren berichten von fehlgeschlagenen Verbindungen. Microsoft arbeitet an einer Lösung, aber es gibt kein offizielles Zeitfenster für die Behebung.

07. Juli 2025

QUAIDAL: Leitfaden zur Verbesserung der Datenqualität in KI-Systemen

Der Einsatz von künstlicher Intelligenz in kritischen Bereichen erfordert Daten von höchster Qualität. Das Bundesamt für Sicherheit in der Informationstechnik hat mit dem Leitfaden QUAIDAL ein Werkzeug entwickelt, das die Qualität von Trainingsdaten bewertet und verbessert. Gerade Entwickler von Hochrisiko-KI-Systemen profitieren davon. Laut der Präsidentin des BSI ist die Zuverlässigkeit von KI-Systemen nur mit hochwertigen Trainingsdaten gewährleistet.

30. Juni 2025

PeaZip 10.5: Schnelleres Arbeiten mit Archiven und verbesserte Sicherheit für Windows-Nutzer

PeaZip 10.5 bringt zahlreiche Optimierungen, die die Arbeit mit Archiven erleichtern, insbesondere durch verbesserte Geschwindigkeit und Benutzerfreundlichkeit. Neue Sicherheits- und Analysefunktionen für Windows ermöglichen proaktive Warnungen bei potenziell gefährlichen Dateien und eine direkte Überprüfung von SHA256-Hashes. Die Version wurde mit Lazarus 4.0 kompiliert und die Archiv-Engine auf Pea 1.25 aktualisiert.

Name	Borlabs Cookie
Anbieter	Eigentümer dieser Website, Impressum
Zweck	Speichert die Einstellungen der Besucher, die in der Cookie Box von Borlabs Cookie ausgewählt wurden.
Cookie Name	borlabs-cookie
Cookie Laufzeit	1 Jahr

Akzeptieren	Google Tag Manager
Name	Google Tag Manager
Anbieter	Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland
Zweck	Cookie von Google zur Steuerung der erweiterten Script- und Ereignisbehandlung.
Datenschutzerklärung	https://policies.google.com/privacy?hl=de
Cookie Name	_ga,_gat,_gid
Cookie Laufzeit	2 Jahre

Akzeptieren	Facebook Pixel
Name	Facebook Pixel
Anbieter	Meta Platforms Ireland Limited, 4 Grand Canal Square, Dublin 2, Ireland
Zweck	Cookie von Facebook, das für Website-Analysen, Ad-Targeting und Anzeigenmessung verwendet wird.
Datenschutzerklärung	https://www.facebook.com/policies/cookies
Cookie Name	_fbp,act,c_user,datr,fr,m_pixel_ration,pl,presence,sb,spin,wd,xs
Cookie Laufzeit	Sitzung / 1 Jahr

Akzeptieren	Facebook
Name	Facebook
Anbieter	Meta Platforms Ireland Limited, 4 Grand Canal Square, Dublin 2, Ireland
Zweck	Wird verwendet, um Facebook-Inhalte zu entsperren.
Datenschutzerklärung	https://www.facebook.com/privacy/explanation
Host(s)	.facebook.com

Akzeptieren	Google Maps
Name	Google Maps
Anbieter	Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland
Zweck	Wird zum Entsperren von Google Maps-Inhalten verwendet.
Datenschutzerklärung	https://policies.google.com/privacy
Host(s)	.google.com
Cookie Name	NID
Cookie Laufzeit	6 Monate