Unternehmen können in etlichen Bereichen etwas für die Sicherheit ihrer Informationen tun. Sie können ihre Rechner vor Virenbefall und Schadsoftware anderer Art schützen. Sie können die Netzwerkarchitektur so gestalten, dass wichtige Informationen nur auf bestimmten, leicht zu überwachenden Wegen durchs Unternehmen fließen. Sie können Informationen klassifizieren und je nach Klassifikation unterschiedliche Prozesse der Verarbeitung vorsehen. Sie können den Internet- und E-Mailzugriff an Bedingungen knüpfen. Sie können wichtige Daten regelmäßig sichern und diese Sicherungen räumlich getrennt vom operativen Rechenzentrum aufbewahren. Sie können … etc. etc.
Da in den meisten Firmen, insbesondere dort wo prozessorientiert und abteilungsübergreifend gearbeitet wird, alles mit allem in Verbindung steht, gilt bzgl. der Informationssicherheit das Prinzip des löchrigen Wassereimers. Auch wenn einige Teile des Eimers sehr hoch und undurchdringlich für schädliche Einflüsse von außen sind, fließt trotzdem Wasser ab, wenn an anderer Stelle der Eimer weniger hoch oder löchrig ist. Sein Inhalt fließt stets durch die schwächste, niedrigste und löchrigste Stelle ab.
Übertragen auf die Gesamtheit aller Maßnahmen zur Informationssicherheit im Unternehmen bedeutet dass, dass teure Einzelmaßnahmen bei gleichzeitigem Außerachtlassen anderer Schwachstellen nicht nur wenig bringen. Sondern auch ein Gefühl von falscher Sicherheit erzeugen. So wie bei einem Haus, dass über eine gepanzerte Vordertür und vergitterte, mit Alarmmeldern bestückte Fenster verfügt. Aber in dessen Hintereingang nicht mal eine einfache abschließbare Tür ist.
