Beardsley stellt sich ausdrücklich nicht gegen CVEs. Er bezeichnet sie als wichtigen, sogar grundlegenden Bestandteil moderner Sicherheitsprogramme. Der Autor verweist dabei auch auf seinen eigenen Hintergrund: Er sitzt im CVE Board, war zuletzt bei CISA als Section Chief für die Known Exploited Vulnerabilities, kurz KEV, tätig und hat nach eigener Darstellung einen erheblichen Teil seiner Laufbahn mit Patch-Planung, dem Schreiben von Exploits und Metasploit-Modulen sowie der Erkennung neuer Angriffe im Netzwerk verbracht.

Gerade deshalb richtet er den Blick auf einen anderen Schwerpunkt. Nach mehreren Jahrzehnten praktischer Arbeit in der Reaktion auf Sicherheitsvorfälle sei für ihn klar geworden, dass die meisten Probleme nicht daraus entstehen, dass jemand eine kritische interne Datenbank nicht gepatcht hat. Stattdessen seien die Rahmenbedingungen der Vernetzung selbst häufig gegen die Verteidiger gerichtet.

Als grundlegendes Problem beschreibt Beardsley die Entscheidung für IP als universelle Basis moderner Netze. Weil das „I“ in TCP/IP für Internet stehe, ende bei ausreichend Zeit praktisch alles, was über IP kommuniziere, irgendwann in einer Situation, in der es aus dem Internet erreichbar und exponiert sei. Genau das sei einerseits die große Stärke von TCP/IP, andererseits aber auch dessen Achillesferse aus Sicht der Sicherheit.

Zur Untermauerung verweist er auf den M-Trends-Report 2026 von Google. Der Bericht hebt hervor, dass Exploits 2025 den am häufigsten beobachteten Vektor für die Erstinfektion darstellten; ausgenutzte Schwachstellen machten demnach 32 Prozent aller Erstzugriffsvektoren aus. Beardsley lenkt den Blick jedoch auf die Kehrseite dieser Zahl: 68 Prozent, also mehr als zwei Drittel aller Erstzugriffe, beruhten nicht auf der technischen Ausnutzung einer Schwachstelle.

Für ihn ist das kein Widerspruch, sondern Folge derselben Struktur. Mit genügend Einfallsreichtum, Zeit und Glück sei letztlich fast alles erreichbar. Die Trennlinie zwischen internem und externem Netz sei für Sicherheitsverantwortliche seit Langem bestenfalls theoretisch. Vor diesem Hintergrund sei „Zero-Trust“ seit rund 15 Jahren ein angestrebter Zielzustand: Identität und Autorisierung sollen in jeder Netzwerktransaktion stecken, unabhängig von ihrer Herkunft.

In der Praxis werde dieser Ansatz laut Beardsley jedoch regelmäßig von Altsystemen ausgebremst, die sich angeblich nicht auf diese Weise verwalten lassen. Hinzu komme, dass selbst sorgfältig aufgebaute Grenzen immer wieder durchbrochen würden – etwa wenn jemand einen Drucker zwischen IT- und OT-Netz verbindet und daraus Shadow-IT-Probleme entstehen.

Auch die Eigenschaften von TCP/IP selbst verschärften das Problem. Die gewählten Standards seien außerordentlich interoperabel, Systeme könnten frei miteinander kommunizieren, und Router umgingen beschädigte Verbindungen aktiv – selbst dann, wenn diese Unterbrechungen absichtlich als Sperre gesetzt wurden. Was für Innovation, Industrie, Handel, Unterhaltung und Kunst ein Vorteil sei, sei aus Sicht der Sicherheit „eine absolute, quantifizierbare Katastrophe“.

Das Netzwerk arbeite damit aktiv gegen die Vorstellung, dass nur bestimmte Rechner mit bestimmten anderen Rechnern kommunizieren sollten. Kein Wunder also, schreibt Beardsley, dass sich viele heutige Sicherheitsverletzungen eher auf eine fehlgeleitete Netzbrücke oder einen Fehlklick in einer E-Mail zurückführen lassen als auf ein versäumtes Patch. Unternehmen abzusichern sei deshalb grundlegend schwierig, während Hacker, Kriminelle und Spione beim Erlangen und Halten von Zugriffen einen scheinbar dauerhaften Vorteil hätten – ganz ohne Exploit.