• Datenschutz
  • Vertraulichkeit: Dateien dürfen nur von autorisierten Benutzern gelesen werden.
  • Übertragungssicherheit: Das Ausspähen der übertragenen Informationonen zwischen Rechnern, Geräten und Benutzer soll verhindert werden.
  • Privatsphäre: Persönlichkeitsdaten bzw. Anonymität müssen gewahrt bleiben.
  • Einhaltung der Datenschutzgesetze

• Datensicherheit
  • Funktionalität: Hardware und Software sollen erwartungsgemäß funktionieren.
  • Integrität: Software und Daten dürfen nicht unbemerkt verändert werden.
  • Authentizität: Echtheit und Glaubwürdigkeit einer Person oder eines Dienstes müssen überprüfbar sein.
  • Verbindlichkeit: Urheber von Veränderungen müssen erkennbar sein und dürfen Veränderung nicht abstreiten können.
• Randthemen
  • Verbindlichkeit
  • Nicht-Anfechtbarkeit: der Nachweis, dass eine Nachricht versendet und empfangen worden ist
  • Zugriffssteuerung: Reglementierung des Zugriffes von außen
  • Verfügbarkeit: Verhinderung von Systemausfällen und Datenverlusten
  • Nachweisbarkeit
  • in bestimmtem Kontext (z.B. im Internet) auch Anonymität zu nennen.

Folgende Aspekte sind in einer umfassenden Informationssicherheit zumindest teilweise enthalten:

• IT-Sicherheit bezeichnet die Sicherheit von technischen Systemen der Informations- und Kommunikationstechnologie.

Grundsätzlich wird unter IT-Sicherheit der Zustand eines IT-Systems (oder auch einer Organisation) verstanden, in dem die Risiken, die beim jedem IT-Einsatz bestehen, durch angemessenen Maßnahmen auf ein tragbares Maß reduziert wurden.

Verwandte Begriffe sind :

• Computersicherheit: die Sicherheit eines Computersystems vor Ausfall und Manipulation (Datensicherheit) sowie vor unerlaubtem Zugriff (Datenschutz)
• Netzwerksicherheit (Eher ein Teilaspekt der Computersicherheit)
• Datensicherheit ist ein aus dem Datenschutz stammender Begriff mit dem Ziel, Daten jeglicher Art in ausreichendem Maße vor Verlust, Manipulationen, unberechtigter Kenntnisnahme durch Dritte und anderen Bedrohungen zu schützen. Dabei sind auch nicht dem Datenschutz unterliegende Daten eingeschlossen. Hinreichende Datensicherheit ist eine Voraussetzung für effektiven Datenschutz. Nur wenn geeignete Schutzmaßnahmen getroffen werden, kann man davon ausgehen, dass vertrauliche bzw. personenbezogene Daten nicht in die Hände von Unbefugten gelangen. Hierbei spricht man in der Regel von technischen und organisatorischen Maßnahmen zum Datenschutz, welche in der Anlage zum § 9 BDSG und in den Landesdatenschutzgesetzen beschrieben sind.
• Betriebssystemsicherheit (Mehr Teilaspekt der Computersicherheit)
• Datensicherung ist ein Synonym für Backup. Er war jedoch der ursprüngliche Datenschutzrechtliche Begriff für Datensicherheit!

In den Kindertagen des (Personal-)Computers verstand man unter Computersicherheit die Sicherstellung der korrekten Funktionalität von Hardware (Ausfall von z.B. Bandlaufwerken oder anderen mechanischen Bauteilen) und Software (richtige Installation und Wartung von Programmen). Mit der Zeit änderten sich die Anforderungen an die Computer (Internet, Speichermedien); die Aufgaben zur Computersicherheit mussten anders gestaltet werden. Somit bleibt der Begriff der Computersicherheit wandelbar und Spiegel der momentanen technologischen Welt.

Private und öffentliche Unternehmen sind heute in allen Bereichen ihrer Geschäftstätigkeit, Privatpersonen in den meisten Belangen des täglichen Lebens auf IT-Systeme angewiesen. Da neben der Abhängigkeit auch die Risiken für IT-Systeme in Unternehmungen i.d.R. größer sind als für Computer und Netzwerke in privaten Haushalten, wird Informationssicherheit überwiegend in Unternehmen betrieben. Entsprechende Verpflichtungen lassen sich im gesamten deutschsprachigen Raum aus den verschiedenen Gesetzen zum Gesellschaftsrecht, Haftungsrecht, Datenschutz, Bankenrecht usw. herleiten. Dort stellt Informationssicherheit einen Baustein des Risikomanagements dar. International spielen Vorschriften wie Basel II und der Sarbanes-Oxley Act eine wichtige Rolle.

Zu den Bedrohungen für die IT-Sicherheit gehören unter anderem:

• Computerviren, Trojaner und Würmer, die zusammengefasst als Malware bezeichnet werden
• Spoofing, Phishing, Pharming oder Vishing, wo eine falsche Identität vorgetäuscht wird
• Hacking, Cracking sowie andere Formen von Sabotage
• Spionage, z.B. in Form von Man in the Middle Angriffen,
• höhere Gewalt, z.B. in Form von Blitzschlag, Feuer oder Überschwemmung
• Social Engineering

Während im Firmenumfeld die ganze Themenbreite der Computersicherheit Beachtung findet, verbinden viele Privatanwender mit dem Begriff primär den Schutz vor Viren oder Spyware.

Die ersten Computerviren waren noch recht harmlos und dienten lediglich dem Aufzeigen diverser Schwachstellen von Computersystemen. Doch recht bald erkannte man, dass Viren zu weitaus mehr in der Lage sind. Es begann eine rasante Weiterentwicklung der Schädlinge und der Ausbau ihrer Fähigkeiten – vom simplen Löschen von Dateien über das Ausspionieren von Daten (z. B. von Passwörtern) bis hin zum Öffnen des Rechners für entfernte Benutzer (Backdoor).

Mittlerweile existieren diverse Baukästen im Internet, die neben einer Anleitung auch alle notwendigen Bestandteile für das einfache Programmieren von Viren liefern. Nicht zuletzt schleusen kriminelle Organisationen Viren auf PCs ein, um diese für ihre Zwecke (UBE/UCE, DoS-Attacken, etc.) zu nutzen. So entstanden bereits riesige Bot-Netze, die auch illegal vermietet werden.

Ein System wird dann als sicher bezeichnet, wenn der Aufwand für das Eindringen in das System höher ist als der daraus resultierende Nutzen für den Angreifer. Deshalb ist es wichtig, die Hürden für einen erfolgreichen Einbruch möglichst hoch zu setzen und damit das Risiko zu reduzieren.

Der Mangel an Computersicherheit ist eine vielschichtige Bedrohung, die nur durch eine anspruchsvolle Abwehr beantwortet werden kann. Der Kauf einer Software ist kein Ersatz für eine umsichtige Untersuchung der Risiken, möglicher Verluste, der Abwehr und von Sicherheitsbestimmungen.

Ist einmal die Sicherheit eines Systems verletzt worden, muss es als kompromittiert betrachtet werden, was Maßnahmen zur Verhinderung weiterer Schäden und zur Datenrettung erfordert.

Die Maßnahmen müssen im Rahmen der Erstellung eines Sicherheitskonzeptes an den Wert der zu schützenden Daten angepasst werden. Zuviele Maßnahmen führen zu Kosten- und Akzeptanzproblemen, bei zuwenig Maßnahmen bleiben "lohnende" Sicherheitslücken offen.

Informationssicherheit ist grundsätzlich eine Aufgabe der Leitung einer Organisation oder eines Unternehmens und sollte nach einem Top-Down Ansatz organisiert sein. Insbesondere die Verabschiedung von Informationsschutz- und Sicherheitsrichtlinien (Security Policy) ist Aufgabe des obersten Managements. Weitere Aufgabe des Managements ist die installation eines Sicherheitsmanagementsystems. Dieses ist für die operative Umsetzung und Kontrolle der Security Policy zuständig. Durch diese Maßnahmen sollen geeignete Organisations- und Managementstrukturen geschaffen werden. Hauptartikel: ISMS

Maßnahmen sind unter anderem physische bzw. räumliche Sicherung von Daten, Zugriffskontrollen, das Aufstellen fehlertoleranter Systeme und Maßnahmen der Datensicherung und die Verschlüsselung. Wichtige Voraussetzung ist die Sicherheit der verarbeitenden Systeme. Ein effektives Sicherheitskonzept berücksichtigt jedoch neben technischen Maßnahmen auch organisatorische und personelle Maßnahmen.

Zu den Sicherheitsmaßnahmen, die von jedem Verantwortlichen für die Informationssicherheit in Unternehmen, aber vor allem auch von jedem privaten Nutzer von Computern und Netzwerken in Privathaushalten im Hinblick auf die IT-Sicherheit getroffen werden können, gehören unter anderem die folgenden Punkte.

Für viele Programme werden Aktualisierungen angeboten. Diese bieten nicht immer nur eine erweiterte oder verbesserte Funktionalität, sondern beheben häufig auch schwere Sicherheitslücken. Besonders betroffen sind alle Programme, die Daten mit dem Internet austauschen, wie zum Beispiel Betriebssysteme, Browser, Schutzprogramme oder E-Mail-Programme. Die Aktualisierungen sollten so schnell wie möglich auf den entsprechenden Rechnersystemen installiert werden. Viele Programme bieten eine automatische Funktion an, die die Aktualisierung im Hintergrund ohne das Eingreifen des Benutzers bewerkstelligt, indem die neue Software direkt aus dem Internet geladen wird. Bei langsamen Datenverbindungen oder sehr großen Datenmengen ist es ratsam, die Aktualisierungen von Massenspeichern, wie zum Beispiel CDs oder DVDs, zu laden.

Wenn Daten aus dem Internet oder von E-Mail-Servern heruntergeladen oder von Datenträgern kopiert werden, besteht immer die Möglichkeit, dass sich darunter auch schädliche Dateien befinden. Um dies zu vermeiden, muss eine sogenannte Antiviren-Software installiert werden. Auch bei dieser Software ist darauf zu achten, dass sie regelmäßig (unter Umständen sogar mehrmals täglich) aktualisiert wird. Schadprogramme sind in der Regel auf spezielle Betriebssysteme oder Browser ausgerichtet.

Eine weitere Maßnahme zur Reduktion der Gefahren besteht in der Diversifizierung von Software, also darin, Software von verschiedenen, auch nicht marktführenden Anbietern zu verwenden. Die Angriffe von Hackern zielen oftmals auf Produkte von großen Anbietern, weil sie damit den größten Effekt erzielen und gegebenenfalls den größten, wennauch zweifelhaften, Ruhm erlangen. Insofern kann es ratsam sein, auf Produkte von kleineren und weniger bekannten Unternehmen oder zum Beispiel auf Open-Source-Software zurückzugreifen.

Für Angriffe, die ohne das aktive Zutun des Nutzers drohen, ist es unerlässlich eine Firewall zu installieren. Viele unerwünschte Zugriffe auf den Computer und unbeabsichtigte Zugriffe vom eigenen Computer, die vom Benutzer meist gar nicht bemerkt werden, können auf diese Weise verhindert werden. Die Konfiguration einer Firewall ist nicht trivial und erfordert eine gewisse Kenntnis der Vorgänge und Gefahren.

Der System-Administrator darf tiefgehende Änderungen an einem Computer durchführen. Dies erfordert es entsprechende Kenntnis der Gefahren, und es ist für normale Benutzer alles andere als ratsam, mit den Rechten eines Administrators im Internet zu surfen, Dateien oder E-Mails herunterzuladen. Moderne Betriebssysteme verfügen daher über die Möglichkeit, die Benutzerrechte einzuschränken, so dass zum Beispiel Systemdateien nicht verändert werden können. Von diesen Möglichkeiten ist unbedingt Gebrauch zu machen.

Bei aktiven Inhalten handelt es sich um Funktionalitäten, die die Bedienung eines Computers vereinfachen sollen. Das automatische Öffnen beziehungsweise Ausführen von heruntergeladenen Dateien birgt jedoch die Gefahr, dass diese schädlichen Code ausführen und den Rechner infizieren. Um dies zu vermeiden sollten aktive Inhalte, wie zum Beispiel ActiveX, Java oder JavaScript, soweit wie möglich deaktiviert werden.

Daten, die nicht in die Hände Dritter geraten sollen, sollten durch geeignete Maßnahmen, wie zum Beispiel PGP, verschlüsselt werden (siehe auch Kryptographie). Dies betrifft nicht nur Daten die zwischen zwei bestimmten Rechnern ausgetauscht werden, sondern auch entsprechende Daten, die sich auf Massenspeichern befinden, und beim Übertragen sensibler Daten, wie zum Beispiel Kreditkartennummern, während des Surfens im Internet (siehe auch https). Ein Zugriff auf die Inhalte darf nur dann möglich sein, wenn die Beteiligten über den richtigen Schlüssel verfügen. Besonders gefährdet sind unverschlüsselte, kabellose Netze, wie zum Beispiel nicht konfigurierte WLANs, da hierbei Unbefugte unbemerkt Zugriff auf die Daten und sogar die Kontrolle über den ungeschützten Computer erlangen können.

Passwörter, persönliche Identifikationsnummern (PIN) und Transaktionsnummern (TAN) dürfen auf keinen Fall unverschlüsselt gespeichert oder übertragen werden.

Von jeder Datei, die wichtig ist, muss mindestens eine Sicherungskopie auf einem separaten Speichermedium angefertigt werden. Hierzu gibt es zum Beispiel Backup-Software, die diese Aufgaben regelmäßig und automatisch erledigt.

Automatisch erstellte Protokolle oder Logdateien können dabei helfen, zu einem späteren Zeitpunkt zu ermitteln, wie es zu Schäden an einem Rechnersystem gekommen ist.

Entwickler von Software, die zum sicheren Datenaustausch zwischen Rechnern eingesetzt wird, müssen moderne Entwicklungssysteme und Programmiersprachen einsetzen, da ältere Systeme nicht über die entsprechenden Funktionalitäten verfügen, sichere Software zu erstellen. Sichere Software ist nur in entsprechenden, modernen und sicheren Laufzeitumgebungen lauffähig.

Ein wichtiger Aspekt in der Umsetzung von Sicherheitsrichtlinien ist die Ansprache der eigenen Mitarbeiter, die Bildung von sogenannter IT-Security Awareness. Hier fordern die ersten Arbeitsrichter den Nachweis der erfolgten Mitarbeitersensibilisierung für den Fall eines etwaigen Verstoßes gegen die Firmenrichtlinien. Mitarbeitersensibilisierung variiert typischerweise von Unternehmen zu Unternehmen. Ausgehend von Präsenzveranstaltungen über web basierte Seminare bis hin zu Sensibilisierungskampagnen.

Um ein gewisses Standardmaß an Informationssicherheit zu gewährleisten, ist die regelmäßige Überprüfung von Maßnahmen zur Risikominierung und -dezimierung Pflicht. Auch hier rücken wieder organisatorische und technische Aspekte in den Vordergrund.

Technische Sicherheit kann zum Beispiel durch Maßnahmen wie regelmäßige Penetration-Tests erreicht werden, um evtl. bestehende Sicherheitsrisiken im Bereich von IT-Systemen, Applikationen und / oder IT-Infrastruktur zu erkennen und zu beseitigen.

Organisatorische Sicherheit kann durch Audits der entsprechenden Fachabteilungen einer Organisation erreicht und überprüft werden. Beispielsweise können vordefinierte Testschritte bzw. Kontrollpunkte eines Prozesses während eines Audits getestet werden.

Aus Feststellungen der weitreichenden Überprüfungsmethoden lassen sich Maßnahmen zur weiteren Risikominimierung bzw. -dezimierung ableiten. Eine Methodik wie in diesem Absatz beschrieben, ist unmittelbar konform zu Normen wie ISO 27001, BS7799 oder gesetzlichen Vorschriften. Hier wird meist eine Nachvollziehbarkeit über Vorgänge der Informationssicherheit unmittelbar eingefordert, indem Unternehmen ein Risikomanagement abverlangt wird.

Zur Bewertung und Zertifizierung (Qualitätsmanagement) der Sicherheit von Computersystemen existieren internationale Normen. Wichtige Normen in diesem Zusammenhang sind vor allem die amerikanischen TCSEC- und die europäischen ITSEC-Standards sowie der neuere Common-Criteria-Standard. Die Zertifizierung erfolgt in Deutschland in der Regel durch das Bundesamt für Sicherheit in der Informationstechnik.

• IT-Grundschutzhandbuch des BSI

Das IT-Grundschutzhandbuch definiert für die verschiedenen Aspekte einer IT-Landschaft konkrete Maßnahmen, die zur Erhaltung der Sicherheit bei niedrigem und mittlerem Schutzbedarf erfüllt werden müssen (Waschzettel). Das Grundschutzhandbuch ist primär in Deutschland bekannt, liegt allerdings auch englischsprachig vor.

• ISO 27001: Normenreihe für Informationsicherheitsmanagementsysteme (ISMS)
• ISO/IEC 17799:2005: Leitfaden für das Informationssicherheitsmanagement
• BS 7799-1
• BS 7799-2
• ITIL
• BS 15000
• ISO 20000: IT-Service-Management
• CobiT
• ISO 13335: Normenreihe zum Sicherheitsmanagement in der Informations- und Kommunikationstechnik
• ISO 27799: Health informatics - Security management in health using ISO 17799 speziell für den Gesundheitsbereich
• Common Criteria for Information Technology Security Evaluation
• Trusted Computer System Evaluation Criteria

Vorlage:MehrfacheintragIm internationalen Umfeld hat sich mittlerweile der British Standard BS7799 "Leitfaden zum Management von Informationssicherheit" durchgesetzt, der 1995 zum ersten Mal veröffentlicht wurde.

Aus Teil 1 des British Standard BS7799 ist mittlerweile der ISO/IEC-Standard 17799:2000 hervorgegangen, der nun in revidierter Fassung als ISO/IEC 17799:2005 vorliegt.

Die ISO 17799 führt verschiedene Aufgabenfelder der IT-Sicherheit auf. Sie ist eher abstrakt, ohne auf konkrete Maßnahmen einzugehen. Im Bereich der technischen Sicherheitsmassnahmen lässt sich die ISO/IEC 17799 sinnvoll durch das IT-Grundschutzhandbuch des Bundesamts für Sicherheit in der Informationstechnik ergänzen.

Aus Teil 2 von BS7799 hat sich der ISO/IEC Standard 27001:2005 entwickelt. Er spezifiziert die Anforderungen an ein ISMS (Information Security Management System) und ist, vergleichbar zu ISO 9001, ein Management-Standard, nach dem auch zertifiziert werden kann. Die ISO/IEC-Standards zur Informationssicherheit sollen sukzessive erweitert werden: vier weitere Standards der der 27000-er Reihe sind bereits in Entwicklung, weitere in Planung.

Neben den Standards zur Informationssicherheit gibt es auch Standards für die Ausbildung von Sicherheitsfachkräften. Als wichtigste sind zu nennen die Zertifizierungen der ISACA (Information Systems Audit and Control Association), z.B. CISM (Certified Information Security Manager), CISA (Certified Information Security Auditor), des ISC² z.B. CISSP (Certified Information System Security Professional),sowie die GIAC-Zertifizierungen des SANS Institute.

Programmierfehler in fast jeder Software machen es quasi unmöglich, Sicherheit vor jeder Art von Angriffen zu erreichen. Durch den Anschluss von Computern mit sensiblen Daten (z.B. Homebanking, Bearbeitung der Dissertation) an das (Breitband-)Internet sind diese Schwachstellen auch von Aussen nutzbar. Der Standard an IT-Sicherheit in Privathaushalten ist geringer, da kaum ausreichende Maßnahmen zur Absicherung der Infrastruktur(z.B. unterbrechungsfreie Stromversorgung, Einbruchsschutz) ergriffen werden.

Aber auch in anderen Bereichen besteht in privaten Haushalten weiterhin ein Defizit.

Viele private Benutzer haben noch nicht verstanden, dass es wichtig ist die Konfiguration der genutzten Software an die jeweiligen Bedürfnisse anzupassen. So ist es bei vielen an das Internet angeschlossenen Rechnern nicht nötig, dass auf ihnen Server-Programme laufen. Da Server-Dienste von vielen Betriebssystemen in der Standardinstallation geladen werden, schließt man mit deren Deaktivierung eine Reihe wichtiger Angriffspunkte.

Sicherheitsaspekte wie zum Beispiel die Einrichtung von Zugriffsbeschränkungen, sind Benutzern ebenfalls fremd. Außerdem ist es von Bedeutung, sich über Schwachstellen in der eingesetzten Software zu informieren und regelmäßig Aktualisierungen einzuspielen.

Zur Computersicherheit gehört nicht nur der präventive Einsatz technischer Werkzeuge wie beispielsweise Firewalls, Intrusion-Detection-Systeme etc., sondern auch ein organisatorischer Rahmen in Form durchdachter Grundsätze (Policy, Strategie), die den Menschen als Anwender der Werkzeuge in das System einbezieht. Allzu oft gelingt es Hackern, durch Ausnutzung eines zu schwachen Kennworts oder durch so genanntes Social Engineering Zugang zu sensiblen Daten zu erlangen.

Zur Beschleunigung des Prozesses und Hervorhebung der Wichtigkeit haben unter anderem die Ergebnisse von Basel II, die Vorschriften von BaFin und des KWG sowie der einzelnen Verbandsrevisionen der Sparkassen und Banken beigetragen. Verstärkt werden sowohl externe als auch interne Prüfungen auf dieses Thema ausgelegt. Gleichzeitig entstand ein umfangreiches Dienstleistungsangebot zur Durchführung verschiedener Projekte, die einen IT-Sicherheitsprozesses in Unternehmen etablieren sollen. Anbieter sind sowohl innerhalb der jeweiligen Unternehmensgruppe als auch auf dem externen Markt zu finden.

Bei anderen Finanzdienstleistungsinstituten, Versicherungsunternehmen und den Unternehmen des Wertpapierhandels wird das Konzept im Allgemeinen identisch sein, wobei hier zum Beispiel auch andere Gesetze eine Rolle spielen können.

In den weiteren Sektoren der Wirtschaft sind weniger relevante Aufsichtsbehörden, Gesetzgebungen u.ä. aber auch weniger prüfende Stellen wie zum Beispiel Revisionen zu finden. Die Bedeutung von IT-Sicherheit behält trotzdem auch hier ihren Stellenwert. Hilfestellung gewährt hier das IT-Grundschutzhandbuch des BSI, dessen Nutzung kostenfrei ist.

In diesem Bereich ist das IT-Grundschutzhandbuch des BSI das Standardwerk. In großem Maße erhalten diese Stellen das zugehörige GSTOOL, welches die Durchführung deutlich vereinfacht, kostenlos.

Die Sabotage von Computersystemen, also die "Daten-sachbeschädigung" bei der Daten verändert werden ("Computersabotage") ist nach § 303b StGB strafbar und wird mit Haftstrafe von bis zu fünf Jahren oder Geldstrafe bestraft. Das Ausspähen von Daten, also das bloße Verschaffen, § 202a StGB, wird mit Haftstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

Daten sind nach § 202a Abs. 2 i.V.m. Abs. 1 aber nur vor dem Ausspähen geschützt, wenn sie "besonders gesichert" sind, um ein Ausufern des Tatbestandes zu vermeiden. Das heisst, erst wenn der Nutzer seine Daten technisch schützt geniesst er auch den strafrechtlichen Schutz. Besonders umstrittene Bereiche des § 202a StGB: Ob das bloße Hacken eines Rechners einen Straftatbestand darstellt ist rechtlich umstritten (schließlich erlangt man dadurch noch keine Daten, auch wollte die gesetzliche Konzeption dies (wohl) nicht erfassen. Weiter ist umstritten, ob die Verschlüsselung zur besonderen Sicherung zählt. (Sie ist zwar sehr effektiv, aber es wird argumentiert, die Daten seien ja nicht gesichert sondern lägen nur in "unverständlicher" bzw. schlicht "anderer" Form vor.

• Gutmann-Methode zum sicheren Löschen von Daten
• Bundesamt für Sicherheit in der Informationstechnik
• Europäische Agentur für Netz- und Informationssicherheit

• Bundesamt für Sicherheit in der Informationstechnik: IT-Sicherheitsmanagement und IT-Grundschutz BSI-Standards zur IT-Sicherheit. Bundesanzeiger 2005, ISBN 3-89817-547-2
• Dieter Burgartz, Ralf Röhrig: Information Security Management - Praxishandbuch für Aufbau, Zertifizierung und Betrieb. Vierteljährliche Aktualisierung, TÜV Media GmbH, ISBN 3-8249-0711-9
• Claudia Eckert: IT Sicherheit. 4. Auflage 2006, Oldenbourg, ISBN 3-486-57851-0
• Gabriela Hoppe, Andreas Prieß: Sicherheit von Informationssystemen. Gefahren, Maßnahmen und Management im IT-Bereich. Verlag Neue Wirtschafts-Briefe 2003, ISBN 3-482-52571-4
• Frederik Humpert: IT-Grundschutz umsetzen mit GSTOOL. Hanser, ISBN 3-446-22984-1
• Heinrich Kersten, Klaus-Dieter Wolfenstetter: Handbuch der Informations- und Kommunikationssicherheit Fachverlag Deutscher Wirtschaftsdienst GmbH & Co. KG, Köln, 2000, ISBN 3871564036
• Hans-Peter Königs: IT-Risiko-Management mit System Vieweg 2005, ISBN 3528058757
• Ulrich Moser: Information Security. Sicherheitskonzepte für Unternehmen. BPX.ch ICT-Fachverlag, Rheinfelden 2005, ISBN 3905413388
• Klaus-Rainer Müller: IT-Sicherheit mit System. 2. Auflage 2005. Vieweg, ISBN 3-528-15838-7
• Klaus-Rainer Müller: Handbuch Unternehmenssicherheit. Vieweg, 2005, ISBN 3-528-05889-7
• Hartmut Pohl, Gerhard Weck: Einführung in die Informationssicherheit Oldenbourg 1993, ISBN 3486220365
• Christoph Ruland: Informationssicherheit in Datennetzen VMI Buch AG, Bonn 1993, ISBN 3892380813
• Bruce Schneier: Angewandte Kryptographie. Addison-Wesley, ISBN 3-89319-854-7
• Bruce Schneier: Beyond Fear. Springer, ISBN 0-387-02620-7
• Bruce Schneier: Secrets & Lies: IT-Sicherheit in einer vernetzten Welt. Broschiert, 2004, dpunkt Verlag, ISBN 3-89864-302-6
• Markus Schumacher: Hacker Contest. Xpert.press, ISBN 3-540-41164-X
• Clifford Stoll: Kuckucksei: Die Jagd auf die deutschen Hacker, die das Pentagon knackten. Fischer Taschenbücher, ISBN 3-596-13984-8
• Görtz, Stolp: Informationssicherheit im Unternehmen. Sicherheitskonzepte und -lösungen in der Praxis Addison-Wesley 1999, ISBN 3827314267
• Gerd Wolfram: Bürokommunikation und Informationssicherheit. Vieweg, Wiesbaden 1986, ISBN 3528036044
• Allgemeine IT-Sicherheits Broschüre für Konsumenten
• Hacker's Guide. Markt und Technik, ISBN 3-8272-6522-3
• Hacking Intern. Data Becker, ISBN 3-8158-2284-X
• Sicherheitskultur im Unternehmen. Umfangreiche Artikelsammlung zur Informationssicherheit, Sicherheitskultur und Security Awareness eBook als kostenfreier PDF-Download
• BSI: Maßnahmenkatalog und Best Practices für die Sicherheit von Webanwendungen, August 2006, PDF Download

• Computer- & Mediendelikte Kommentar (CuMK)
• Umfangreicherer Text über "Sicherheit in Netzen"
• Diskussionsforum zum Thema Privatspähre, Datenschutz und Informationssicherheit
• Linuxbezogener Text zu Sicherheit am Rechner - auch als pdf-Version.
• Bundesamt für Sicherheit in der Informationstechnik
• Europäische Agentur für Netz- und Informationssicherheit
• Informationsseite über die Gefahren des Internets und den Schutz vor diesen Gefahren
• Computer Emergency Response Team des Deutschen Forschungsnetzes
• Informationsportal zum Thema IT Risikomanagement mit umfangreicher virtueller Bibliothek (eLibrary) mit vielen Fachartikeln zum Thema
• Ken Thompson, Reflections on Trusting Trust. Exzellenter englischer Artikel über Softwaresicherheit und deren Untergrabung, etwa durch Trojaner.
• Zeitschrift <kes> (Zeitschrift für Kommunikations- und EDV-Sicherheit, Organ des Bundesamtes für Sicherheit in der Informationstechnik)
• Online-Fachportal zur Informationssicherheit und Security-Themen, umfassende nicht-technische Magazinartikel
• Onlinemagazin zum Thema Datensicherheit