Tim Pritlove

Ja, also da sind wirklich beeindruckende Entwicklungen, deren Konsequenzen

auf jeden Fall in Frage stellen, oder in eine komplett andere Realität hieven, wie IT betrieben wird.

Es gibt da eine, ich weiß nicht, ob ich das hier erwähnt hatte, vor einem Monat oder zwei, die Seite Zero Day Clock, wo so ein bisschen mal das Ganze, die Entwicklung so ein bisschen dargestellt wird, so

welche Zeit vergeht eigentlich, also die Time to Exploit, also die Zeit, die vergeht zwischen, es gibt eine Schwachstelle, die mitgeteilt wird und dass sie ausgenutzt wird, wird bestätigt.

Das ist natürlich bei einem Zero Day, also einer Schwachstelle, die der Öffentlichkeit nicht bekannt war und durch ihre Ausnutzung der Öffentlichkeit überhaupt bekannt wird, da ist das dann eben Null oder kleiner Null.

Und bei dem größeren Teil der Schwachstellen halt so im Bereich von Tagen und jetzt wandert es halt von Tagen in Richtung Stunden.

Und wenn man die Kurve so weitermalt, dann ist es halt irgendwann in ein, zwei Jahren so bei einer Minute.

Und gleichermaßen nimmt der Anteil an Schwachstellen zu,

die zum Zeitpunkt ihres Bekanntwerdens eben schon ausgenutzt wurden, also die durch Ausnutzung bekannt werden.

Das ist ja quasi der schlechteste Fall.

Deren Anteil nimmt zu.

Es gibt relativ viele Schwachstellen, die man jetzt nicht unbedingt in the wild exploited sieht.

Vor allem, also primär einfach, weil es keinen interessiert oder weil sie nicht massenhaft genug sind.

Da gibt es relativ schöne Kurven, wo, sagen wir mal, nach bestem Wissen und gewissen Daten zusammengefasst wurden und dann extra poliert werden.

Da ist natürlich auch relativ viel ...

Extrapolation und Annahme mit dabei, aber kann schon eben erwarten, dass jetzt das industrialisiert wird, Schwachstellen zu finden und Exploits zu machen.

So, dann gibt es jetzt, also dieses Zero-Day-Clock zeigt eben nur mal ein bisschen Daten.

Dann gibt es einen Call-to-Action-Programm.

Der also sagt, was folgt denn daraus?

Erstens, hold the makers accountable.