Castro beschreibt das frühere Risikomodell so: Selbst hoch versierte Angreifer hätten Beschränkungen unterlegen, und Organisationen hätten sich unausgesprochen darauf verlassen – nach dem Motto: „Wäre es wirklich so schlimm, wie ihr sagt, wären wir längst kompromittiert." Diese Welt sei vorbei. Automatisierung verkürze die Zeit von der Entdeckung einer Angriffskette über deren Validierung bis zur Ausnutzung drastisch. Anthropic habe zudem ausdrücklich gewarnt, dass solche Fähigkeiten es weniger erfahrenen Gruppen ermöglichten, Arbeit zu leisten, die zuvor weit mehr Können und Personal erfordert hätte.

Die Verantwortung lasse sich nicht allein an den CISO delegieren, so Castro. Das Schwachstellenproblem sei in vielen Unternehmen strukturell größer als die Zuständigkeit einer einzelnen Führungskraft – bedingt durch alte Abhängigkeiten, Zwänge der Release-Geschwindigkeit, fragile Produktionsumgebungen und begrenzte Entwicklungsressourcen. Governance könne der Vorstand nicht abgeben.

Zur rechtlichen Einordnung verweist Castro auf die sogenannte Caremark-Rechtsprechung in Delaware, die in Diskussionen über die Aufsichtspflichten von Direktoren häufig zitiert werde: Vorstände müssten über Berichtssysteme verfügen, die wesentliche Risiken sichtbar machen, und sich tatsächlich mit deren Ergebnissen befassen. Melde das eigene Reporting Tausende ernster offener Schwachstellen, sei es Aufgabe des Vorstands, Aufsicht auszuüben.

Viele Organisationen reagierten auf Druck aus dem Vorstand mit dem Versprechen, schneller zu patchen. Das helfe – bis es die Produktion störe. Wenn Notfall-Patches verlässlich Kunden beeinträchtigten, entstehe ein Zielkonflikt zwischen Gefährdung und Ausfallzeit. Nötig sei ein Modell, das Häufigkeit und Wirkungsradius von Notfall-Reparaturen verringere, statt denselben fragilen Prozess nur zu beschleunigen.

Castro sieht zugleich eine Verschiebung der Haftung. In der EU sei der Cyber Resilience Act (CRA) in Kraft getreten, dessen zentrale Pflichten im Dezember 2027 wirksam würden; viele Organisationen müssten mit höheren Anforderungen an den Umgang mit Schwachstellen, an „secure-by-design"-Praktiken und an Verantwortlichkeit über den gesamten Software-Lebenszyklus rechnen. Im Finanzsektor sei mit DORA (Digital Operational Resilience Act) ein harmonisiertes Regelwerk für das Management von IKT-Risiken und operative Resilienz anwendbar geworden. In den USA würden Fahrlässigkeitsklagen in Sammelverfahren erhoben, in denen Kläger mangelnde Sorgfalt als Ursache von Datenpannen geltend machten.

Als eigenen Lösungsansatz nennt Castro – als offen gekennzeichnete Eigenwerbung – das Vorgehen von Chainguard: standardmäßig abgesicherte Software-Komponenten, die Schwachstellen von vornherein minimieren und deren Anhäufung über die Zeit reduzieren sollen. Das bedeute weniger kritische Funde, weniger Notfall-Patchzyklen und geringere Störungen, wenn die nächste prominente CVE auftauche. Durch strukturelle Verringerung des Rückstands lasse sich Entwicklungszeit von ertragloser Brandbekämpfung hin zu Innovation umlenken.

Seine Kernforderung: Vorstände sollten die Annahme aufgeben, Angreifer bewegten sich weiter im Tempo von gestern. CISOs sollten aufhören, „schneller patchen" oder eine Risikoakzeptanz für ausreichend zu halten. Wenn nach einem Vorfall gefragt werde, warum ein Unternehmen mit 13.000 offenen Schwachstellen der Stufe „Hoch" gelebt habe, müsse die einzig verteidigbare Antwort lauten: „Haben wir nicht – wir haben das System verändert."