Was bringt es denn, wenn der Angreifer einen Client mit sich trägt, wenn der Server erstmal nach nem Passwort fragt, mit dem er die Dateien entschlüsseln kann. Natürlich sollte der Client das Passwort beim Ausschalten vergessen. Und der Server sollte das nach Arbeitsende auch irgendwie aus seinem Arbeitspeicher löschen/überschreiben.

.. Aber sonst hast du Recht. Die am schlechtesten geschützte Stelle wird ausgenutzt. Nur wenn alles gleicher Maßen gut geschützt wird, hat man ein sicheres System. Deswegen greifen "böse Menschen" fast nie die gutgeschützten Server wie Google, Facebook & Co. an, sondern lieber die privaten Clients mit den Sicherheitslücken im IE, Ihrem Java, usw.

Viele schöne Grüße
Puke