Im Jahr 2024 wurden laut GitGuardian-Bericht mehr als 23 Millionen neue Zugangsdaten – sogenannte "Secrets" – in öffentlichen GitHub-Repositories entdeckt. Das entspricht einem Anstieg von 25 Prozent gegenüber dem Vorjahr. Besonders brisant: Der Großteil dieser Funde bestand nicht aus leicht erkennbaren API-Schlüsseln oder Tokens, sondern aus generischen Geheimnissen wie Passwörtern, Datenbank-Credentials oder Authentifizierungs-Strings ohne klar definierbare Muster. Diese lassen sich schwerer automatisiert erkennen und sind damit ein wachsendes Risiko – gerade für Unternehmen, die auf automatisierte Sicherheitsprüfungen setzen.

GitHub hat 2024 mit der sogenannten "Push Protection" eine Schutzmaßnahme für öffentliche Repositories etabliert. Sie soll verhindern, dass bekannte Schlüsselmuster wie OpenAI- oder GitHub-Tokens versehentlich veröffentlicht werden. Der Schutz greift jedoch nur bei eindeutig erkennbaren Schlüsseln – bei generischen oder neuen Mustern greift das Netz oft nicht. Hinzu kommt: In privaten Repositories, wo die Schutzmechanismen seltener aktiv sind, ist die Quote an enthaltenen Secrets achtmal höher. Viele Entwickler scheinen auf die vermeintliche Sicherheit durch Nichtöffentlichkeit zu setzen – ein trügerischer Irrglaube.

Verborgene Risiken in Tools und Containern

Nicht nur Quellcode birgt Gefahren: Auch in gängigen Collaboration-Tools wie Slack, Jira oder Confluence wurden zahlreiche Secrets entdeckt – teils mit kritischeren Auswirkungen als in Repositories. Besonders brisant: Über 100.000 gültige Secrets wurden in öffentlich zugänglichen Docker-Images gefunden. Darunter auch Zugangsdaten zu AWS-, GCP- oder GitHub-Instanzen großer Unternehmen. Viele dieser Leaks entstehen, weil in CI/CD-Pipelines oder Dockerfiles Zugangsdaten über Umgebungsvariablen oder Shell-Kommandos fest codiert werden – und anschließend in Layern weiterleben, selbst wenn sie später gelöscht werden.

Die zunehmende Nutzung von KI-Werkzeugen wie GitHub Copilot bringt neue Herausforderungen mit sich. Laut Report stieg die Leckrate in Repositories mit aktivierter Copilot-Unterstützung um 40 Przent gegenüber dem Durchschnitt. Der Grund liegt nicht nur in potenziell unsicheren Codevorschlägen, sondern auch in der gestiegenen Geschwindigkeit und Frequenz, mit der Entwickler Code produzieren – oft zu Lasten der Security-Basics. Sicherheitsüberlegungen bleiben dabei schnell auf der Strecke, insbesondere bei generierten Konfigurationen und Hilfsfunktionen.

Verwaltet, aber nicht gelöst: Das Geheimnis mit den Secrets

Zwar setzen immer mehr Unternehmen auf Secrets Manager wie HashiCorp Vault oder AWS Secrets Manager. Doch auch hier zeigt sich: Nur weil ein Tool vorhanden ist, heißt das nicht, dass es richtig genutzt wird. In einer Stichprobe von Projekten mit Secrets Manager-Nutzung enthielten 5 Prozent trotzdem Leaks. Und oft bleiben geleakte Secrets auch lange aktiv – selbst Jahre nach ihrer Entdeckung. Besonders kritisch ist das bei Non-Human-Identities, etwa Service-Accounts oder Automatisierungsprozessen, bei denen man selten Lifecycle-Management betreibt. Das Fazit: Die Tools allein genügen nicht. Was fehlt, ist ein ganzheitlicher Prozess – vom Aufspüren über das Rotieren bis hin zur automatisierten Entfernung von Zugangsdaten.