Bericht: Leiter der US-Cybersicherheitsbehörde lud sensible Regierungsdokumente in ChatGPT hoch

• Laut Berichten hat der amtierende Leiter der Cybersecurity and Infrastructure Security Agency (CISA) Regierungsvertragsdokumente mit Geheimhaltungsbezug in ChatGPT hochgeladen
• Die betreffenden Dokumente waren als „For Official Use Only“ gekennzeichnet und lösten interne Sicherheitswarnungen sowie eine Untersuchung auf Bundesebene aus
• Berichten zufolge beantragte er eine Sonderausnahme, um auf ChatGPT zugreifen zu können, obwohl der Zugang für andere Mitarbeiter des Heimatschutzministeriums gesperrt war
• Eine CISA-Sprecherin erklärte, die Nutzung sei „kurzzeitig und begrenzt“ gewesen; nach dem Vorfall wurde ein Schadensbewertungsverfahren eingeleitet
• Der Vorfall ereignete sich vor dem Hintergrund einer ausgeweiteten KI-Nutzungspolitik der Bundesregierung und unterstreicht die Bedeutung von KI-Sicherheitsmanagement in öffentlichen Einrichtungen

Überblick über den ChatGPT-Upload-Vorfall

• Politico berichtet, dass Madhu Gottumukkala, amtierender Leiter der CISA, der obersten Cybersicherheitsbehörde der US-Regierung, sensible Regierungsdokumente in die öffentliche Version von ChatGPT hochgeladen habe
  • Bei den hochgeladenen Dokumenten handelte es sich um regierungsbezogene Vertragsunterlagen, die als „For Official Use Only“ gekennzeichnet waren
  • Der Vorfall ereignete sich im Sommer 2025; ein internes Cybersicherheits-Monitoring-System entdeckte ihn Anfang August
• Nach der Entdeckung wurde sofort eine vom Department of Homeland Security (DHS) geführte Schadensbewertung (damage assessment) eingeleitet, um mögliche Datenoffenlegungen zu untersuchen
• Da die öffentliche Version von ChatGPT Benutzereingaben mit OpenAI teilt, wurde die Möglichkeit aufgeworfen, dass sensible Daten aus dem internen Netzwerk nach außen gelangen konnten

Reaktion der CISA und offizielle Stellungnahme

• CISA-Sprecherin Marci McCarthy erklärte, Gottumukkala habe „unter Kontrolle des DHS eine Genehmigung zur Nutzung von ChatGPT erhalten“
  • Sie betonte, die Nutzung sei „kurzzeitig und begrenzt“ gewesen
• Gottumukkala ist seit Mai 2025 als amtierender Leiter im Amt; der Senat hat Sean Plankey bislang noch nicht als regulären Leiter bestätigt
• Politico erwähnte auch weitere problematische Vorfälle während seiner Amtszeit
  • So sei er bei einer Gegenspionage-Polygraphenprüfung für den Zugang zu hochrangigen Informationen durchgefallen
  • In einer jüngsten Kongressanhörung wies er diese Einschätzung jedoch zurück

KI-Politik der Bundesregierung und Zeitpunkt des Vorfalls

• Der Vorfall ereignete sich in einer Phase, in der die Regierung Donald Trumps die Einführung von KI in Bundesbehörden vorantreibt
  • Präsident Trump unterzeichnete im Dezember 2025 eine Executive Order, die KI-Regulierung auf Ebene der Bundesstaaten einschränkt
  • Das US-Verteidigungsministerium (Pentagon) kündigte eine „AI-first“-Strategie an, um den Einsatz von Künstlicher Intelligenz im Militär auszuweiten
• Vor diesem politischen Hintergrund gilt der Vorfall als Beispiel, das die Sicherheitsrisiken beim KI-Einsatz im öffentlichen Sektor offenlegt

Interne Sicherheitswarnung und Untersuchungsverfahren

• Unmittelbar nachdem das Cybersicherheits-Monitoring-System den Upload in ChatGPT erkannt hatte, wurde ein interner Alarm ausgelöst
  • Anschließend leitete das DHS eine offizielle Untersuchung ein, um mögliche Datenoffenlegung und das Ausmaß des Schadens zu bewerten
• Dem Bericht zufolge war der Zugriff auf ChatGPT für normale DHS-Mitarbeiter gesperrt, doch Gottumukkala erhielt über einen Antrag auf Sonderausnahme Zugriff
• Innerhalb der Bundesregierung wurden Bedenken geäußert, dass die Datenverarbeitung durch OpenAI mit den Sicherheitsrichtlinien interner Regierungsnetzwerke kollidieren könnte

Auswirkungen und Bedeutung des Vorfalls

• Der Vorfall zeigt, dass selbst hochrangige Sicherheitsverantwortliche der Bundesregierung bei der Nutzung von KI-Tools Sicherheitsrisiken ausgesetzt sein können
• Er unterstreicht die Notwendigkeit, Richtlinien für den KI-Einsatz in öffentlichen Einrichtungen zu verschärfen und Datenschutz- und Schutzmechanismen zu überprüfen
• Während sich die Einführung von KI-Technologien beschleunigt, wird die Bedeutung von Sicherheitskontrollen und transparenten Nutzungsverfahren hervorgehoben