IT-Security ist nicht eindimensional, und sollte daher immer von allen Seiten betrachtet werden – denn einem Angreifer ist es egal, ob etwas per Anweisung/Richtlinie in einem Unternehmen verboten ist, so lange es nicht auch technisch sicher gelebt & umgesetzt wurde und wird.