Dass IT-Sicherheit nicht wie Krieg ist, schrieb ich schon. Aber wie was ist sie dann? Ein Versuch:

IT-Sicherheit ist wie Deichbau. Baut oder erhöht man nur auf einer Seite des Gewässers, läuft das Wasser auf der anderen trotzdem über. Was man am Oberlauf erfolgreich eingedämmt hat, ist als Problem nicht einfach verschwunden, sondern es macht sich dann eben ein Stück den Fluss hinunter um so stärker bemerkbar. Wenn der Deich ein Loch hat, dann wird das Wasser dieses Loch finden und ausnutzen. Ob ein Deich Standards einhält, kümmert das Wasser nicht. Halten muss er, und formale Vorschriften sind höchstens ein Hilfsmittel, um das zu erreichen.

Passt das? Wenn nein, warum nicht?