IT-Sicherheit ist eine von Haus aus technisch dominierte Disziplin, die jedoch in starkem Umfang organisatorische Maßnahmen erfordert und zwingend die rechtlichen Rahmenbedingungen einhalten muss. Es handelt sich um eine ganzheitliche Aufgabe, deren technische, organisatorische und rechtliche Komponenten in enger Wechselbeziehung miteinander verzahnt sind.
Die technische Sicherheit wird flankiert von organisatorischen Maßnahmen wie Policies, Nutzungsrichtlinien oder Zertifizierungen. Technik und Organisation wiederum werden in Verträgen oder Betriebsvereinbarungen rechtlich gestaltet und umgesetzt. Überdacht wird das System von einem verbindlichen Risikomanagement, dass durch die Leitungsebene des Unternehmens umzusetzen ist. Insgesamt ergibt sich eine vielschichtige Pflichtenstruktur, die sich aus einer breiten Palette von Maßnahmen zusammensetzt.
Daraus ergibt sich eine ausgeprägte Ganzheitlichkeit der Informationssicherheit. Zur Vermeidung von Haftung und Schadensersatz ist nicht allein der Einsatz von Technik, sondern sind insbesondere auch organisatorische Maßnahmen wie Nutzungsrichtlinien, Schulung und Mitarbeiterkontrolle sowie rechtliche Gestaltungen erforderlich.
Das Bundesdatenschutzgesetz ist in drei Novellierungen, die zum 01.09.2009, zum 01.04.2010 und 11.06.2010 in Kraft treten, grundlegend erneuert worden. Die Kernaussagen der komplexen Änderungen zeit- und praxisnah aufzuarbeiten, ist Aufgabe jedes IT-Verantwortlichen. Auch hier zeigt sich die enge Verzahnung von Technik, Organisation und Recht.