RepoGuard
BlogÜberAnmelden

10. Juni 2026

Welche Secrets in öffentlichen GitHub-Repos landen

Ein öffentliches Repository ist für jeden lesbar - und automatisierte Bots durchsuchen neue public Repos innerhalb von Minuten nach Zugangsdaten. Das sind die Secrets, die am häufigsten landen, und wie du es verhinderst.

Was wirklich landet

  • API-Keys und Tokens - Cloud-Anbieter, Zahlungsdienstleister, Drittanbieter-Services.
  • Cloud-Credentials - AWS-Access-Keys, GCP-Service-Account-JSON, Azure-Connection-Strings.
  • .env-Dateien, die aus Versehen committet wurden, mit Datenbank-URLs und Passwörtern.
  • Private Keys - SSH-Keys, TLS-Zertifikate, Signing-Keys.
  • Hartkodierte Passwörter und Datenbank-Connection-Strings in Code oder Konfiguration.

Warum es schlimmer ist, als es aussieht

Sobald ein Secret in einem öffentlichen Repo liegt, gilt es als kompromittiert. Bots durchsuchen den öffentlichen Event-Stream von GitHub laufend und finden einen frischen Key oft in Minuten. Das Löschen des Commits reicht nicht - der Wert bleibt in der Git-Historie und in allem, was das Repo bereits geklont oder gecacht hat.

Ein gelöschter Commit ist kein gelöschtes Secret. Der Wert bleibt in der Git-Historie und in jedem Klon - Rotation ist der einzige echte Fix.

Wie du es verhinderst

  • Secrets in Umgebungsvariablen oder einem Secret-Manager halten, niemals im Code.
  • Vor dem ersten Commit eine gründliche .gitignore anlegen (.env, *.pem, Credential-Dateien).
  • GitHub Secret Scanning und Push Protection für deine Repos aktivieren.
  • Jedes Secret rotieren, sobald du einen Verdacht hast - Rotation ist der einzige echte Fix.
  • Die Repository-Sichtbarkeit regelmäßig prüfen, damit ein internes Repo nie unbemerkt öffentlich wird.

Was nach einem Leak zu tun ist

Wenn ein Secret bereits exponiert wurde, handle schnell:

  • Rotiere oder widerrufe das Secret sofort - bevor du irgendetwas anderes tust.
  • Prüfe die Provider-Logs auf unbefugte Nutzung, während es aktiv war.
  • Entferne es aus der Git-Historie, falls es nicht bestehen bleiben darf, und force-push danach.
  • Richte Monitoring ein, damit die nächste Exposure in Minuten statt Wochen erkannt wird.

Exposure früh erkennen

Prävention senkt das Risiko, aber Fehler passieren trotzdem. Je schneller du erfährst, dass ein Repo öffentlich wurde, desto schneller kannst du Keys rotieren und Schaden begrenzen. Kontinuierliches Monitoring deiner Accounts macht aus einem stillen Leak eine sofortige Warnung.

Öffentlichen GitHub-Footprint prüfen

Gib einen GitHub-Benutzernamen oder eine Organisation ein, um alle öffentlichen Repositories zu sehen - ohne Login.

Zurück zum Blog