Im Allgemeinen ist eine Sicherheitsverletzung ein Verstoß gegen eine Richtlinie oder ein Gesetz, das oder die darauf abzielt, etwas zu sichern. Wenn Personen oder Fahrzeuge Kontrollpunkte umgehen oder sichere Gebäude betreten, ohne die entsprechenden Ausweise vorzulegen, sind Sicherheitsverletzungen im Allgemeinen offensichtlich. Weniger offensichtlich sind Sicherheitsverletzungen, die Daten oder Informationen betreffen. Im Datenkontext ist eine Sicherheitsverletzung jede Aktivität, die die Vertraulichkeit bestimmter Informationen gefährdet.
In den meisten Fällen ist gesetzlich festgelegt, was eine Sicherheitsverletzung ist oder nicht. Gesetze in vielen Ländern legen Sicherheitsmaßnahmen für eine Vielzahl von Dingen fest, von Grenzübertritten bis hin zu Datenaustausch und elektronischen Handelstransaktionen. Eine Verletzung wird normalerweise als jede vorsätzliche oder anderweitige Handlung definiert, die ein bestimmtes definiertes Sicherheitsinteresse schwächt.
Die bekanntesten Sicherheitsverletzungen verursachen in der Regel einen spürbaren Schaden. Eine Sicherheitsverletzung am Flughafen, die es einem Passagier ermöglicht, mit einer Waffe in ein Flugzeug zu steigen, oder ein Datenverlust, der zu Identitätsdiebstahl führt, sind klare Beispiele. Nach den meisten Gesetzen zu Sicherheitsverletzungen ist Schaden jedoch nicht immer eine Voraussetzung. Die Androhung eines Schadens oder die Wahrscheinlichkeit eines Schadens ist in der Regel ausreichend.
Die Gesetze zu Sicherheitsverstößen in den meisten Ländern basieren auf der Wahrscheinlichkeit eines Schadens, um sowohl Anreize für starke Sicherheitspraktiken zu schaffen als auch schlechte Handlungen zu bestrafen, ohne abzuwarten, ob zuerst jemand oder etwas verletzt wird. Obwohl die Strafen für Verstöße gesetzlich streng sein können, ist das vorrangige Ziel in der Regel die Sicherheit. Gerade bei Datenschutz- und Informationssicherheitsverletzungen reicht oft schon die Wahrscheinlichkeit eines Schadens, um größere Schutzmaßnahmen zu veranlassen.
Da immer mehr sensible Informationen online gespeichert werden, werden die Chancen von Internet- und Computersicherheitsverletzungen immer realer, und damit auch die Möglichkeit von Identitätsdiebstahl, schwerwiegenden finanziellen Verlusten oder anderen Schäden. Die meisten Datenschutzgesetze verlangen von jedem Unternehmen, das regelmäßig sensible Informationen sammelt oder speichert, bestimmte Vorkehrungen zum Schutz dieser Informationen zu treffen. Meistens müssen Daten mit einer Reihe von Passwörtern und elektronischen Schlüsseln geschützt werden. Mobile Daten, insbesondere Daten, die auf Laptops von Mitarbeitern oder anderer tragbarer Hardware gespeichert sind, müssen in der Regel bei Verlust oder Diebstahl vor versehentlicher Offenlegung oder Datenverletzung geschützt werden.
Gesetze werden oft von der Industrie weiter spezialisiert. Viele Länder haben andere Gesetze zur Gesundheitsdatensicherheit als Gesetze, die Finanzinformationen und die Möglichkeit von Sicherheitsverletzungen bei Kreditkarten regeln. Jedes Land und manchmal innerhalb jedes Landes, jedes Bundesstaates oder jeder Provinz hat unterschiedliche Gesetze und verbindliche Sicherheitsrichtlinien. Die meisten haben auch Gesetze, die sich darauf beziehen, wie betroffene Personen benachrichtigt werden müssen, falls ihre Informationen Teil einer Sicherheitsverletzung waren. Patienten, deren Akten versehentlich ins Internet gestellt wurden, Studierende, deren Studienunterlagen aus einer Universitätsdatenbank gehackt wurden, und andere, deren Informationen in irgendeiner Weise kompromittiert wurden, haben grundsätzlich Anspruch auf zumindest Benachrichtigung, wenn nicht sogar auf Vergütung und Rückerstattung.
Die Unterschiede zwischen den gesetzlichen Anforderungen können es Unternehmen, die in mehreren Rechtsordnungen tätig sind, erschweren, sicherzustellen, dass ihre Sicherheitspraktiken allgemein konform sind. Da sich die Gesetze mit der Technologie ändern und weiterentwickeln, müssen sich auch die einzelnen Sicherheitsverfahren ändern. In den meisten Fällen beschäftigen Unternehmen Compliance-Beauftragte, Rechtsanwälte und Datensicherheitsanalysten, um den gesamten Daten- und anderen Informationsaustausch zu überwachen und sicherzustellen, dass alle relevanten Sicherheitsgesetze eingehalten werden.