Bericht: Leiter der US-Cybersicherheitsbehörde lud sensible Regierungsdokumente in ChatGPT hoch

 (dexerto.com)
2 Punkte von GN⁺ 2026-01-30 | 1 Kommentare | Auf WhatsApp teilen
  • Laut Berichten hat der amtierende Leiter der Cybersecurity and Infrastructure Security Agency (CISA) Regierungsvertragsdokumente mit Geheimhaltungsbezug in ChatGPT hochgeladen
  • Die betreffenden Dokumente waren als „For Official Use Only“ gekennzeichnet und lösten interne Sicherheitswarnungen sowie eine Untersuchung auf Bundesebene aus
  • Berichten zufolge beantragte er eine Sonderausnahme, um auf ChatGPT zugreifen zu können, obwohl der Zugang für andere Mitarbeiter des Heimatschutzministeriums gesperrt war
  • Eine CISA-Sprecherin erklärte, die Nutzung sei „kurzzeitig und begrenzt“ gewesen; nach dem Vorfall wurde ein Schadensbewertungsverfahren eingeleitet
  • Der Vorfall ereignete sich vor dem Hintergrund einer ausgeweiteten KI-Nutzungspolitik der Bundesregierung und unterstreicht die Bedeutung von KI-Sicherheitsmanagement in öffentlichen Einrichtungen

Überblick über den ChatGPT-Upload-Vorfall

  • Politico berichtet, dass Madhu Gottumukkala, amtierender Leiter der CISA, der obersten Cybersicherheitsbehörde der US-Regierung, sensible Regierungsdokumente in die öffentliche Version von ChatGPT hochgeladen habe
    • Bei den hochgeladenen Dokumenten handelte es sich um regierungsbezogene Vertragsunterlagen, die als „For Official Use Only“ gekennzeichnet waren
    • Der Vorfall ereignete sich im Sommer 2025; ein internes Cybersicherheits-Monitoring-System entdeckte ihn Anfang August
  • Nach der Entdeckung wurde sofort eine vom Department of Homeland Security (DHS) geführte Schadensbewertung (damage assessment) eingeleitet, um mögliche Datenoffenlegungen zu untersuchen
  • Da die öffentliche Version von ChatGPT Benutzereingaben mit OpenAI teilt, wurde die Möglichkeit aufgeworfen, dass sensible Daten aus dem internen Netzwerk nach außen gelangen konnten

Reaktion der CISA und offizielle Stellungnahme

  • CISA-Sprecherin Marci McCarthy erklärte, Gottumukkala habe „unter Kontrolle des DHS eine Genehmigung zur Nutzung von ChatGPT erhalten
    • Sie betonte, die Nutzung sei „kurzzeitig und begrenzt“ gewesen
  • Gottumukkala ist seit Mai 2025 als amtierender Leiter im Amt; der Senat hat Sean Plankey bislang noch nicht als regulären Leiter bestätigt
  • Politico erwähnte auch weitere problematische Vorfälle während seiner Amtszeit
    • So sei er bei einer Gegenspionage-Polygraphenprüfung für den Zugang zu hochrangigen Informationen durchgefallen
    • In einer jüngsten Kongressanhörung wies er diese Einschätzung jedoch zurück

KI-Politik der Bundesregierung und Zeitpunkt des Vorfalls

  • Der Vorfall ereignete sich in einer Phase, in der die Regierung Donald Trumps die Einführung von KI in Bundesbehörden vorantreibt
    • Präsident Trump unterzeichnete im Dezember 2025 eine Executive Order, die KI-Regulierung auf Ebene der Bundesstaaten einschränkt
    • Das US-Verteidigungsministerium (Pentagon) kündigte eine „AI-first“-Strategie an, um den Einsatz von Künstlicher Intelligenz im Militär auszuweiten
  • Vor diesem politischen Hintergrund gilt der Vorfall als Beispiel, das die Sicherheitsrisiken beim KI-Einsatz im öffentlichen Sektor offenlegt

Interne Sicherheitswarnung und Untersuchungsverfahren

  • Unmittelbar nachdem das Cybersicherheits-Monitoring-System den Upload in ChatGPT erkannt hatte, wurde ein interner Alarm ausgelöst
    • Anschließend leitete das DHS eine offizielle Untersuchung ein, um mögliche Datenoffenlegung und das Ausmaß des Schadens zu bewerten
  • Dem Bericht zufolge war der Zugriff auf ChatGPT für normale DHS-Mitarbeiter gesperrt, doch Gottumukkala erhielt über einen Antrag auf Sonderausnahme Zugriff
  • Innerhalb der Bundesregierung wurden Bedenken geäußert, dass die Datenverarbeitung durch OpenAI mit den Sicherheitsrichtlinien interner Regierungsnetzwerke kollidieren könnte

Auswirkungen und Bedeutung des Vorfalls

  • Der Vorfall zeigt, dass selbst hochrangige Sicherheitsverantwortliche der Bundesregierung bei der Nutzung von KI-Tools Sicherheitsrisiken ausgesetzt sein können
  • Er unterstreicht die Notwendigkeit, Richtlinien für den KI-Einsatz in öffentlichen Einrichtungen zu verschärfen und Datenschutz- und Schutzmechanismen zu überprüfen
  • Während sich die Einführung von KI-Technologien beschleunigt, wird die Bedeutung von Sicherheitskontrollen und transparenten Nutzungsverfahren hervorgehoben

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2026-01-30
Hacker-News-Kommentare

  • In solchen Situationen wirkt ein LLM nur für GovCloud absolut notwendig
    Es ist frustrierend, dass die Regierung so wirkt, als würde sie von „den ernannten Neffen der Neffen“ geführt
    werden
    Ich muss ständig an die HBO-Miniserie Chernobyl denken — wie an die Szene, in der der Wissenschaftsminister aus einer Schuhfabrik kam; es fühlt sich an, als lebten wir jetzt in einer Zeit, in der niemand mehr kompetent in seinem Job sein muss

    • Dem Artikel zufolge war ChatGPT für die meisten DHS-Mitarbeiter gesperrt, und nur Gottumukkala hatte eine Sondergenehmigung, es eingeschränkt zu nutzen
      Dass er trotzdem bei einer Sicherheitsprüfung auffiel, bedeutet, dass die Regierung eine breite Nutzung davon nicht für sicher hielt
      Zusammen mit OpenAI arbeitet man bereits an ChatGPT Gov, einem Modell eigens für die Regierung
    • Inkompetente Menschen in Machtpositionen zu setzen, ist ein klassisches politisches Mittel, um Loyalität zu sichern
      Weil sie ihre Position nicht durch Leistung erlangt haben, sind sie nur dem Ernennenden gegenüber loyal und kümmern sich nicht um die Qualität der Arbeit
      Je schwächer die Führung, desto eher wird zu solchen Methoden gegriffen, und leider funktioniert das ziemlich gut
    • „Die ernannten Neffen der Neffen“ — dabei darf man die Large Adult Sons nicht vergessen
      Das dazugehörige Meme findet sich im Artikel des New Yorker und auf KnowYourMeme
    • Es wirkt wie eine bewusste Strategie, die Regierung inkompetent erscheinen zu lassen, damit am Ende private Firmen, die von Freunden oder Familienmitgliedern betrieben werden, die Arbeit übernehmen
      So lassen sich Ressourcen viel effizienter abzweigen
    • Nur zur Einordnung: HBOs Chernobyl ist Fiktion. In Wirklichkeit gab es keine Szene, in der der „Schuhfabrikdirektor“ Wodka trinkt

  • Das Niveau der Sicherheitsoperationen (op-sec) dieser Regierung ist fast so schlampig wie bei Barney Fife

    • Das Sicherheitsteam von Maduro in Venezuela würde dieser Einschätzung vielleicht leicht widersprechen
    • Fife war immerhin im Herzen ein anständiger Mensch. Außerdem durfte er von seinem Vorgesetzten nicht einmal eine Waffe tragen
    • Der generelle Mangel an Kompetenz in dieser Regierung ist auf dem Niveau eines „Kleinkinds mit Klebestift“
    • Diese Inkompetenz ist vielleicht kein Bug, sondern ein Feature
    • Ich habe selbst zehn Jahre in Beschaffung und Vertrieb gearbeitet, und beim Lesen musste ich lachen
      Wenn jemand ohne Ahnung von Vergabeverfahren versucht, das per Onlinesuche zu lösen, ist das kaum anders als Führungskräfte im Jahr 2007, die nach „Was ist ein RFP?“ suchten

  • Jemand hätte bereits ein sicheres ChatGPT Pro auf Azure-Basis nutzen können, und trotzdem wurde das öffentliche 4o verwendet — das ist seltsam
    Die Regierung hatte bereits eine getrennte sichere Umgebung
    Am Ende gab es zwar eine Genehmigung, es nur für „inoffizielle Dokumente“ zu verwenden, aber ein solcher grundlegender Fehler ist für einen CISA-Leiter schwer akzeptabel

    • Wenn er allerdings nur eine eingesetzte Marionette war, wusste er vermutlich gar nicht, wie man solche Tools richtig nutzt

  • Das Original liest man am besten im Politico-Artikel

  • Es sind immer die Leute ganz oben, die Regeln brechen
    Ich kenne Leute aus dem militärischen Kommunikationsbereich, und dort haben ranghohe Offiziere häufig Sicherheitsverfahren ignoriert, einfach weil es ihnen zu lästig war

  • Schon in öffentlichen sozialen Medien waren die Menschen nachlässig
    Mit dem Aufkommen von LLMs dürfte sich diese Tendenz noch verstärken

    • Genau hier liegt das eigentliche Risiko. Derzeit gibt es bei LLMs nicht einmal eine Möglichkeit, die Löschung von Daten zu verlangen

  • In ITAR-/EAR-regulierten Branchen (Luft- und Raumfahrt, Verteidigung usw.) ist es Pflicht, den Zugriff auf ChatGPT.com zu sperren
    Dass das offenbar noch nicht ohnehin der Fall war, ist schockierend

    • Stimme zu. Allerdings sind ITAR- und EAR-Vorschriften gerade im Hochschulbereich sehr vage
    • Dem Bericht zufolge beantragte Gottumukkala eine Sonderausnahme, um auf ChatGPT zugreifen zu können

  • Das Kompetenzniveau dieser Sache ist genau wie erwartet

    • Er wurde direkt von Kristi Noem ernannt
      Laut Wikipedia-Profil wurde er im April 2025 zum stellvertretenden DHS-Sekretär ernannt und begann im Mai als kommissarischer Direktor der CISA zu arbeiten

  • Es hat erstaunlich viel Spaß gemacht, die Cookie-Einstellungen einzeln abzuwählen
    Ein Drittel von 1668 Partnerfirmen beruft sich auf „berechtigtes Interesse“
    Wenn Privacy Badger nur 19 davon blockiert, füllen manche vielleicht einfach den Raum mit Fake-Cookies
    Am Ende habe ich ganz vergessen, den Artikel zu lesen

    • Dieselben Cookies können mit mehreren Partnern geteilt werden, oder die gesammelten Daten werden weitergegeben
      Das ist nicht bloß ein „Cookie-Gesetz“, sondern ein Gesetz zur Weitergabe personenbezogener Daten
      Wenn man zum Beispiel meine SSN und E-Mail an 1668 Firmen verkaufen will, braucht man für jede einzelne meine Zustimmung

  • Offenbar will die Regierung das Problem am Ende lösen, indem sie es mit Gewalt in Grok integriert

    • DOGE hat sich die nötigen Daten vermutlich schon alle geholt, wird aber trotzdem noch mehr wollen