Untersuchung zu Datenabfluss bei US-Cyberbehörde CISA

Medienberichten zufolge steht die Führung der US-Cybersecurity and Infrastructure Security Agency (CISA) wegen des Umgangs mit sensiblen Informationen in der Kritik.

Einem Bericht des US-Magazins Politico vom 27. Januar 2026 zufolge soll der amtierende Direktor der CISA, Madhu Gottumukkala, sensible Regierungsdokumente in eine öffentlich zugängliche Version von ChatGPT hochgeladen haben. Dies habe laut internen Quellen automatisierte Sicherheitswarnungen innerhalb des Heimatschutzministeriums (DHS) ausgelöst.

Hintergrund des Vorfalls

Den vorliegenden Informationen zufolge ereignete sich der Vorfall im Sommer 2025. Es wird berichtet, dass Sensoren, die unbefugte Datenabflüsse verhindern sollen, allein in der ersten Augustwoche mehrfach Alarm schlugen. Bei den betroffenen Dateien soll es sich um interne Vertragsdokumente handeln, die als „For Official Use Only“ (FOUO) eingestuft waren – eine Kennzeichnung für sensible, jedoch nicht als „classified“ (geheim) eingestufte Informationen.

In der Berichterstattung wird hervorgehoben, dass für Gottumukkala eine Ausnahmegenehmigung zur Nutzung von ChatGPT bestanden haben soll, während der Zugriff für die restliche Belegschaft des Ministeriums standardmäßig blockiert war. Diese Genehmigung sei laut Quellen von Politico kurz nach seinem Amtsantritt im Mai 2025 beim Office of the Chief Information Officer (OCIO) erwirkt worden.

Widersprüchliche Darstellungen zum Zeitablauf

Bezüglich der Dauer der Nutzung existieren unterschiedliche Angaben:

• Behördenangaben: Eine Sprecherin der CISA gab an, die Nutzung sei „kurzfristig und begrenzt“ gewesen und habe bereits Mitte Juli 2025 geendet.
• Medienberichte: Den von Politico zitierten Quellen zufolge wurden die Sicherheitswarnungen jedoch bis in den August 2025 hinein registriert.

Weitere organisatorische Entwicklungen

Der Vorfall wird in den Berichten in einen größeren Kontext behördsinterner Probleme gestellt. Demnach soll Gottumukkala im Juli 2025 einen Lügendetektortest (Polygraph), der für den Zugang zu hochgradig klassifizierten Informationen notwendig ist, nicht bestanden haben. Im Zuge dessen seien laut Bericht sechs langjährige Mitarbeiter suspendiert worden, wobei untersucht werde, ob Einfluss auf den Prozess der Sicherheitsüberprüfung genommen wurde.

Referenz:
Dieser Bericht basiert auf den Veröffentlichungen von Politico (John Sakellariadis et al., „Trump’s acting cyber chief uploaded sensitive files into a public version of ChatGPT“, 27. Januar 2026). © 2026 Fachinformationsdienst für IT-Leitung und Cybersecurity