Mit der zunehmenden Bedeutung von IT-Systemen steigen Bedarf und Anforderungen an IT-Sicherheit. Im Folgenden soll ein Überblick über den rechtlichen Rahmen, die grundlegenden technischen Standards sowie die speziellen Anforderungen aufgrund der Eigenschaften und Entwicklung von Informationstechnik und der jeweils geltenden Unternehmensspezifika gegeben werden.
Die klassischen Sicherheitskriterien (Gewährleistung von Verfügbarkeit, Integrität und Vertraulichkeit) sind inzwischen allgemein akzeptiert. Daher werden deren Einhaltung bei zahlreichen Anforderungen zur IT-Sicherheit ausdrücklich verlangt. Abhängig von konkreten Fragestellungen wurden die klassischen Sicherheitskriterien in Kapitel 1 um weitere Schutzziele erweitert. Aus diesen Gründen entstand das Konzept mehrseitiger IT-Sicherheit. Dadurch wird nicht nur die Verlässlichkeit von IT-Systemen gewährleistet, sondern auch die Beherrschbarkeit. Bei mehrseitiger IT-Sicherheit werden deshalb alle beteiligten Interessengruppen in die Gestaltung der IT-Sicherheit einbezogen.
Zur Erfüllung der Sorgfaltspflicht wird von den Betreibern von IT-Systemen die Einrichtung eines Risikomanagements gefordert. Dabei ist eine umfassende Sicht nötig, um die erforderlichen Nachweise der Compliance erbringen zu können.
Im Kontext der zu erreichenden Compliance ist auch die Einhaltung des Datenschutzes notwendig (siehe Kapitel 1). Auch im Zuge des Schutzes des Fernmeldegeheimnisses wurden zahlreiche angrenzende Bestimmungen aufgeführt, die letztlich konkrete Folgen für die Gewährleistung mehrseitiger IT-Sicherheit haben. Deshalb sind die entsprechenden Anforderungen einander abzugleichen, zumal in der Praxis oft ein grundlegender Gegensatz zwischen gesetzlichen Erfordernissen und betrieblichen Eigeninteressen konstruiert wird. Eine Konvergenz dieser Interessen kann durch den Einsatz datenschutzfreundlicher Techniken erreicht werden.
Über die Konzeption von IT-Sicherheit existieren aufgrund der Vielzahl zu lösender Probleme umfangreiche Vorstellungen in Literatur und Praxis. Diese sind jedoch meist zu produktspezifisch ausgelegt oder zu oberflächlich skizziert.
Aus der Fülle aktueller Entwicklungen werden zwei generelle Linien aufgegriffen und hierzu markante Vertreter näher untersucht. Dabei wurde Wert darauf gelegt, dass die betroffenen IT-Systeme bereits praktisch erprobt sind.