Ist eine der äußeren Schalen durchlässig, so lässt sich der Schutz der inneren Schalen umgehen. Ein besseres Bild ist also das einer Kette:

Eine Kette ist nicht sicherer als ihr schwächstes Glied.

Beispiele

• Die physische Sicherheit, die ein abschließbarer Raum bietet, nützt nichts ohne organisatorische Sicherheit - wenn sich niemand für das Abschließen zuständig fühlt.
• Die Hardware-Sicherheit durch einen versiegelten PC nützt nichts ohne physische Sicherheit: Ein Dieb kann den PC einfach wegtragen und zu Hause in aller Ruhe aufbrechen. Oder das FBI installiert einen Tastaturspion (»Keylogger«).
• Die Betriebssystemsicherheit eines Passwortschutzes (oder des NTFS) für die Festplatte nützt nichts ohne eine Hardwaresicherung, die das »Booten« von einer anderen Quelle (z. B. einer Diskette) verhindert.
• Die Anwendungssicherheit durch Vergabe von Zugriffsrechten in einem Datenbanksystem nützt nichts, wenn das Betriebssystem gestattet, Dateien mit einem Editor zu analysieren.
• Die Sicherheit der PGP-Verschlüsselung nützt nichts auf einem Rechner, auf dem ein »Trojanisches Pferd« die Passphrase ausspäht. Z. B. KL.EXE (KeyLogger).

Gene Spafford: Using encryption on the Internet is the equivalent of arranging an armored car to deliver credit-card information from someone living in a cardboard box to someone living on a park bench.

Der »klassische« Passwortschutz: