Fr Sicherheits- und Risikoexperten

29.10.2010

ein Empowered-Bericht: Wie man der Angstmache zum Thema Cloud-Sicherheit entgeht
von Chenxi wang, ph.d. mit Stephanie Balaouras und Lindsey Coit

F&A: Cloud-Sicherheit entmystifiziert

KUR zFA S S U n g
Auf dem von Forrester 2010 in Boston veranstalteten Sicherheitsforum kamen Eran Feigenbaum, Sicherheitsdirektor bei Google Apps, und Archie Reed, Cheftechnologe fr Cloud-Sicherheit bei HP, gemeinsam mit mir auf die Bhne, um ein Hauptforum zur Cloud-Sicherheit zu leiten. Wir haben Themen wie private und ffentliche Clouds im Vergleich, Cloud-Sicherheitsstandards und sich abzeichnende Trends behandelt. Dieses Dokument gibt die wesentlichen Inhalte der zwischen Publikum und Diskussionsleitern ausgetauschten Fragen und Antworten wieder.

F R Agen
1. 2. 3. 4. Ist die Cloud zwangslufig weniger sicher als meine eigene IT-Infrastruktur oder kann sie sogar sicherer sein? Worin bestehen die wesentlichsten Sicherheitsbedenken? Wie kann ich einen Cloud-Sicherheitsanbieter beurteilen? Welche Haupttrends bestehen heute bei Cloud-Diensten?

5. Gibt es Normenausschsse, die an einem allgemeinen Satz von sicherheitsbezogenen Standards fr Cloud-Dienste arbeiten?

Cloud-dienSte werden trotz SiCherheitSbedenken zunehmend in AnSpruCh genommen In der Branche schwirren schon seit einiger Zeit Meinungen ber Cloud umher. Sicherheits- und Risikoexperten bleiben skeptisch bei der Frage, ob Cloud-Anbieter die Verantwortung fr den Schutz der Benutzer und ihrer Daten und Privatsphre gerecht werden knnen. Trotz dieser Bedenken werden Cloud-Dienste nach Befragungen mehrerer IT-Funktionstrger durch Forrester verstrkt angenommen. Es folgen ein paar unserer Umfrageergebnisse:

IT-Entscheidungstrger und Personen mit Einfluss sagen, dass Cloud-Computing von grter

Wichtigkeit ist oder eine hohe Prioritt hat. In einer vor kurzem von Forrester durchgefhrten Befragung von 2.803 IT-Entscheidungstrgern gaben 49% aus nordamerikanischen Unternehmen und 45% aus europischen Unternehmen an, dass die Verfolgung einer Strategie der Annahme von Cloud-Infrastrukturdiensten in den nchsten 12 Monaten hohe oder hchste Prioritt geniet (siehe Abbildung 1).1 Eine weitere Forrester-Umfrage vermeldet, dass jedes vierte Unternehmen bereits eine Art von Cloud-Computing nutzt.2
Sitz Forrester Research, Inc. 400Technology Square, Cambridge, MA 02139 USA Tel.: +1 617.613.6000 Fax: +1 617.613.5000 www.forrester.com

F&A: Cloud-Sicherheit entmystifiziert

Fr Sicherheits- und Risikoexperten

Sicherheitsaspekte haben keine endgltige Entscheidungsgewalt mehr. Sicherheitsexperten

haben nicht mehr die Macht, den Zugang zu oder die Nutzung von Technologien wie Cloud-, mobile, soziale oder Videokonferenzdienste zu blockieren. Auf dem Forrester-Sicherheitsforum 2010 haben wir 85 anwesende Sicherheitsexperten danach befragt, wie sie die mit EmpoweredTechnologien ausgestatteten Mitarbeiter von heute untersttzen.3 Von den 85 Befragten gaben nur 28 an, dass ihr Unternehmen keine Form von Cloud-Computing einsetzt oder im Pilotstadium testet. Auerdem gaben nur 12 der 85 Befragten an, dass sie noch ein Vetorecht bei Empowered-Technologien haben.

Da Fhrungskrfte aus Wirtschaft und Informatik mit Volldampf auf die Cloud-Dienste zusteuern, ist es wahrscheinlich am besten, nicht mehr auf Cloud-Sicherheit zu beharren und sich auf den Wechsel zur Cloud einzustellen.
Abbildung 1 Cloud-Dienste haben sowohl in Nordamerika als auch in Europa Vorrang
Welche der folgenden Technologie-Initiativen wird in Ihrem IT-Unternehmen in den nchsten 12 Monaten wahrscheinlich die hchste Prioritt haben? Strategie der Annahme von Angeboten von Software als Dienstleistung verfolgen Strategie der Annahme von Cloud-InfrastrukturDiensten (virtuelle Server oder SoftwarePlattformen bei Dienstanbietern) verfolgen Cloud-Computing-Strategie verfolgen/umsetzen Basis: 36% 35% 35% 37% 45% 49% Europa Nordamerika

562 IT-Entscheidungstrger und Personen mit Ein uss aus Europa 1195 IT-Entscheidungstrger und Personen mit Ein uss aus Nordamerika

Quelle: Global IT Budgets, Priorities, And Emerging Technology Tracking Survey, Q2 2010
56689 Quelle: Forrester Research, Inc.]

1. ist die Cloud zwangslufig weniger sicher als meine eigene it-infrastruktur oder kann sie sogar sicherer sein? Es ist wichtig, dass man Cloud-Dienste nicht von vornherein wegen Sicherheitsbedenken abtut; die Vorteile der Cloud, darunter Effektivitt und konomie, sind berzeugend genug, um eine tiefgrndigere Kosten-Nutzen-Analyse anzustellen. Auerdem kann ein Cloud-Anbieter ber IT-Sicherheitsfunktionen verfgen, die den eigenen internen Mglichkeiten gleichkommen oder diese sogar bertreffen. Der Wechsel zu einem Cloud-Dienst kann Ihre Sicherheitslage in der Tat verbessern. Denken Sie einmal darber nach: Ist es sicherer, sensitive Unternehmensdaten auf den Laptops und USBs von Endbenutzern oder in einer zentralen Datenbank bei einem von Ihnen grndlich berprften Cloud-Anbieter zu speichern?

29.10.2010

2010, Forrester Research, Inc. Vervielfltigung verboten

F&A: Cloud-Sicherheit entmystifiziert

Fr Sicherheits- und Risikoexperten

Zustzlich zu anderen Bewertungskriterien sollten Sie nach einem Anbieter Ausschau halten, der

homogene IT-Umgebungen erstellt hat. Die meisten Cloud-Anbieter brauchen sich

nicht mit der Kompliziertheit von Legacy-Anwendungen und -Infrastrukturen abzugeben, wie sie in vielen Unternehmen vorhanden sind. Sie verwenden normalerweise in allen Datenzentren identische Server und Systemsoftware und unterhalten eventuell global eine Anwendungsversion. In einer solchen homogenen Umgebung kann man leicht erkennen, wenn etwas nicht stimmt, und sofort Abhilfe schaffen.

Branchenzertifizierungen zum Nachweis seiner Sicherheitsreife durchlaufen hat. Anbieter

von Cloud-Diensten wissen, dass sicherheitsbezogene Bedenken eine der wesentlichsten Schranken fr eine schnellere Annahme von Cloud-Diensten darstellen. Als Reaktion darauf setzen viele Anbieter weithin anerkannte Industrienormen wie SAS 70 Typ II, ISO 27001/2 und FISMA in der Hoffnung um, einige dieser Bedenken auszurumen. Diese Zertifizierungen allein sind nicht hinreichend, doch sollten sie bei Ihren berlegungen bercksichtigt werden.

ausgereifte Bedrohungsintelligenz und Threat Management-Fhigkeiten entwickelt

hat. Manche Cloud-Dienste, vor allem Sicherheitsdienste, haben einen guten berblick ber Bedrohungen, weil sie ein so hohes Verkehrsaufkommen verarbeiten. Es empfiehlt sich zu gewhrleisten, dass Ihr Anbieter diese Transparenz nutzt, um ausgereifte Bedrohungserkenntnisse und die Fhigkeit zur schnellen Reaktion darauf zu entwickeln.

hochqualifiziertes Sicherheitspersonal aufgebaut hat. Wenn Sie einem Diensteanbieter

ihre Daten anvertrauen, sollten Sie mit dessen Datenschutzmethoden zufrieden sein. Dabei kommt es am Ende darauf an, wen der Anbieter in seinem Sicherheitsteam hat und wie kompetent dieses Team ist. Google beschftigt etwa 175 qualifizierte Sicherheitskrfte in der Sicherheitsgruppe. Ihr eigenes Unternehmen kann sich eine solche Investition unter Umstnden nicht leisten.

Letztendlich fhrt Cloud-Computing selbst nicht zwangslufig zu mehr oder weniger Sicherheit. Sie mssen die Sicherheitsreife des Cloud-Anbieters genauso wie bei einem herkmmlichen Auslagerungsvorhaben beurteilen. 2. worin bestehen die wesentlichsten Sicherheitsbedenken? Whrend Anbieter von Cloud-Diensten Manahmen zur Sicherung ihrer IT-Kerninfrastrukturen ergriffen haben wie zum Beispiel die Umsetzung ausgereifter Sicherheitsprozesse, Richtlinien und Normen und die Einstellung von qualifiziertem Personal bestehen dennoch ein paar weitere sicherheitsbezogene Bedenken. Forrester-Kunden haben uns mitgeteilt, dass sie ber folgende Punkte am hufigsten besorgt sind:

29.10.2010

2010, Forrester Research, Inc. Vervielfltigung verboten

F&A: Cloud-Sicherheit entmystifiziert

Fr Sicherheits- und Risikoexperten

Gewhrleistung von Datensicherheit bei der bertragung, Lagerung, Nutzung und

Entsorgung. Viele Anbieter bieten sichere Datenbertragung in ihre und aus ihren Umgebungen ber HTTPs oder andere sichere Kanle an. Eine viel geringere Anzahl von ihnen bietet auch Datenschutz bei der Lagerung (z.B. Verschlsselung). Noch weniger verbreitet ist eine Form des Schutzes von genutzten Daten (d.h. in der Anwendung) und die Garantie einer sicheren Datenentsorgung. Was wir brauchen, sind Dienste, die Daten ber den gesamten Lebenszyklus vom ersten Auftreten in der Cloud-Infrastruktur bis zur permanenten Lschung sichern knnen. Die Cloud-Branche befindet sich insgesamt noch nicht auf diesem ausgereiften Niveau.

Wahrung von Identitts- und Zugangskontrolle. Es ist leicht, die Anmeldung bei einem

oder selbst zwei verschiedenen Cloud-Diensten zu verwalten. Kompliziert wird das bei mehreren Cloud-Anbietern, der Verwaltung unterschiedlicher Standards und dem Abwickeln des Zugangs Dritter zu ihren Daten und Anwendungen in der Cloud-Umgebung. Die Aufrechterhaltung von Identitts- und Zugangskontrolle in einer Umgebung mit privater Infrastruktur, ffentlichen und mglicherweise privaten Clouds stellt eine Herausforderung dar.

3. wie kann ich einen Cloud-Sicherheitsanbieter beurteilen? Genau wie bei jedem anderen Auslagerungsdienst schwankt die Sicherheitsreife von Anbieter zu Anbieter. Es obliegt letztendlich den Sicherheits- und Risikoexperten, gemeinsam mit den entsprechenden Kollegen in der Sourcing- und Zuliefererverwaltung die einzelnen Cloud-Anbieter anhand einer Checkliste von Sicherheits- Compliance-, Datenschutz- und weiteren rechtlichen und vertraglichen Anforderungen zu beurteilen. Bei der Bewertung eines Cloud-Diensteanbieters sind SAS 70 II, ISO 27001/2, FISMA und andere Zertifizierungen ntzlich, denn Sie sagen Ihnen, ob der Anbieter wesentliche Prozesse und Kontrollen eingerichtet hat. Doch die Zertifizierungen allein reichen nicht aus, denn sie wurden nicht speziell fr Cloud-Dienste entwickelt. Sie brauchen noch immer Ihre eigene Anforderungsliste. Sie knnen bei Ihren Sicherheits- und Risikoanforderungen fr Ihre internen IT-Systeme beginnen und diese entsprechend Cloud-spezifischen Problemen und Bedenken anpassen. Um Sie bei diesem Vorgang zu untersttzen, hat Forrester eine Checkliste von Hauptfragen und -problemen zusammengestellt.4 Sie sollten auch einplanen, Ihre Anforderungen nach folgenden Gesichtspunkten anzupassen:

Art des Cloud-Dienstes. Es gibt viele Arten von Cloud-Diensten, darunter Software-

as-a-Service (Software als Dienstleistung; SaaS), Platform-as-a-Service (Plattform als Dienstleistung; PaaS) und Infrastructure-as-a-Service (Infrastruktur als Dienstleistung; IaaS), die alle unterschiedliche Sicherheitsanforderungen haben. Zum Beispiel kann eine IaaSEinrichtung Ihnen als Benutzer die vollstndige Kontrolle ber ein Gast-VM-Betriebssystem (VM: Virtual Machine) bis hoch zu Ihren Anwendungen einrumen. SaaS steht auf einem

29.10.2010

2010, Forrester Research, Inc. Vervielfltigung verboten

F&A: Cloud-Sicherheit entmystifiziert

Fr Sicherheits- und Risikoexperten

anderen Blatt. Ein SaaS-Benutzer hat wenig Kontrolle ber die Funktionsweise der Anwendung in der Cloud und noch weniger ber deren Einfluss auf die Infrastruktur der unteren Ebene und auf Betriebssysteme. Je nach Art der Cloud-Dienste mssen Sie Ihre Bewertungskriterien von tatschlichen Kontrollen auf die berwachung von wesentlichen Leistungskennzahlen umstellen.

Brisanz der Daten. Ihre Anforderungen ndern sich auch je nach dem Charakter Ihrer

Daten. Wenn diese gesetzlichen Bestimmungen unterliegen oder sehr sensitiv sind und Angaben zur Identifizierung von Personen enthalten, mssen Sie striktere Sicherheits- und Datenschutzanforderungen anordnen. Wenn Ihr Cloud-Anbieter keine speziellen Kontrollen wie zum Beispiel Verschlsselung bei Lagerung anbietet, knnen Sie entweder gemeinsam mit dem Anbieter an der Einrichtung dieser Kontrollmanahme arbeiten, was zu hheren Gebhren fhren kann, oder einfach von diesem Anbieter Abstand nehmen. Aber ein Satz von Ausschlusskriterien wie die Kriterien zum Schutz von kritischen Daten ist genau das, was Sie zum raschen Aussortieren von nicht zu Ihren Anforderungen passenden Diensten brauchen.

Standort des Dienstes. Obwohl der Cloud-Dienst berall verfgbar sein kann, wo es Internet-

Zugang gibt, mssen die Server, die Ihre Anwendungen hosten und Ihre Daten verarbeiten, irgendwo ihren Standort haben. Wenn Sie in Lndern mit restriktiven Datenschutzgesetzen wie in der EU oder Japan ttig sind, mssen Sie den Dienst sorgfltig prfen und darauf achten, dass keine Datenschutzgesetze verletzt werden, die den grenzberschreitenden Datenverkehr einschrnken.

Zum Leidwesen vieler kleiner und mittlerer Unternehmen haben diese oft nicht genug Durchsetzungsvermgen, um auf einer internen Prfung jedes Cloud-Diensteanbieters zu bestehen. Zum Beispiel melden sich ber 3.000 Unternehmen tglich bei Google Apps an. Bei diesem Umfang kann Google nicht jedem Auditantrag stattgeben. Tatschlich msste Google mehr als 30 Audits pro Tag durchfhren, wenn nur 1% dieser Unternehmen eine solche berprfung wnschten. Statt eines Audits muss man sich auf einen Satz von detaillierten Evaluierungskriterien zur Bestimmung der Anbietereignung verlassen. 4. welche haupttrends bestehen heute bei Cloud-diensten? Einer der herausragendsten Trends besteht darin, dass Cloud-Benutzer an die Wahl der richtigen Art von Cloud fr ihre Bedrfnisse differenzierter herangehen. Die Leute prfen Mglichkeiten ber ffentliche, private und gehostete private Clouds hinweg, um ihre Funktions-, Sicherheits- und Kostenanforderungen in Einklang zu bringen.5 Hier nur ein paar der Cloud-Optionen, die Sie kennen sollten:

29.10.2010

2010, Forrester Research, Inc. Vervielfltigung verboten

F&A: Cloud-Sicherheit entmystifiziert

Fr Sicherheits- und Risikoexperten

Sie knnen Ihre eigene private Cloud einrichten. Eine private Cloud ist eine virtualisierte

Infrastruktur mit automatischer Arbeitslastverteilung, die sich hinter der Firewall eines Unternehmens befindet. So eine private Cloud ermglicht Ihnen die grte Kontrolle, whrend Sie Ihren Unternehmensgruppen die Vorteile von einigen der Elastizitts- und Skalierungsmerkmale der Cloud bietet. Allerdings werden Sie damit nicht in der Lage sein, das Cloud-Wirtschaftsmodell der Bezahlung nach Anforderung ('pay as you go') fr sich zu nutzen, denn Ihr Unternehmen muss eine Vorabinvestition fr die Einrichtung der privaten CloudInfrastruktur ttigen. Auerdem knnen Sie sich mit niemandem in die Verwaltungskosten ungenutzter Kapazitten teilen, wenn die Infrastruktur zu 40% ausgelastet ist.

Sie knnen einen Anbieter als Host einer privaten Cloud fr Sie beauftragen. Eine gehostete

private Cloud ist eine von einem Cloud-Anbieter gehostete, Ihnen allein zugewiesene Infrastruktur. Sie hnelt einer privaten Cloud darin, dass niemand sonst Zugang zu dieser Infrastruktur hat, doch da sie ein Host verwaltet, ist Ihr Verwaltungs- und Betriebsaufwand deutlich geringer als die Unterhaltung einer privaten Cloud. Da die Infrastruktur zugewiesen ist, ist es mglich, dass sie bestimmte Sicherheitskontrollauflagen (z.B. PCI-Kontrollen) in Infrastruktur und den Anwendungen verfgen knnen. Manche Unternehmen haben gehostete private Clouds fr einen guten Kompromiss zwischen Wirtschaftlichkeit und Sicherheit einer Cloud-Umgebung befunden.

Sie knnen eine Cloud mit Ihren Freunden einrichten oder hosten. Gemeinschafts-Clouds

sind ein weiterer interessanter Mikrotrend. Eine Gemeinschafts-Cloud ist fr unterschiedliche Einheiten oder Unternehmen mit hnlichen Bedrfnissen ausgelegt. Zum Beispiel hat das USVerteidigungsministerium eine Gemeinschafts-Cloud fr verschiedene Organisationseinheiten im Ministerium eingerichtet. Die Cloud-Infrastruktur ist in zwei Teile gegliedert, bei denen die vertraulichen Daten in dem einen und die ffentlichen Daten in dem anderen aufbewahrt werden. Jede Agentur im US-Verteidigungsministerium kann die Cloud einsetzen und die einzigartigen Schutzfunktionen der zweiteiligen Infrastruktur fr sich nutzen.6

Eine Gemeinschafts-Cloud ist attraktiv, weil sie einmal eingerichtet werden und dann die Anforderungen von vielen in einer bestimmten Branche oder mit einem hnlichen Anforderungsprofil erfllen kann. Vielleicht wird es bald Gemeinschafts-Clouds fr PCI, HIPAA und andere Standards oder Bestimmungen geben. Eines der attraktiven Merkmale einer Gemeinschafts-Cloud besteht darin, dass der Cloud-Anbieter bei einer nderung der gesetzlichen Bestimmung Infrastruktur und Praxis nur einmal zu ndern braucht und diese nderungen sofort allen Benutzern zugute kommen.

29.10.2010

2010, Forrester Research, Inc. Vervielfltigung verboten

F&A: Cloud-Sicherheit entmystifiziert

Fr Sicherheits- und Risikoexperten

5. gibt es normenausschsse, die an einem allgemeinen Satz von sicherheitsbezogenen Standards fr Cloud-dienste arbeiten? Es gibt ber 78 Branchengruppen, die an Cloud-Normen arbeiten, von denen ber 48 behaupten, dass es einen Sicherheitsbestandteil gibt. Zum Beispiel arbeitet die Storage Network Industry Association (SNIA) an Sicherheitsstandards fr die Daten- und Speicherverwaltung. Das National Institute of Standards and Technology (NIST), ein einflussreicher staatlicher Normenausschuss in den USA, verfgt ber ein paar Spezialgruppen und Publikationen zum Cloud-Computing, aber noch ber keine bestimmte Norm. Unter all diesen verschiedenen Gruppen hlt Forrester die Cloud Security Alliance (CSA) fr die bisher umfassendste, weil sie eine ganzheitlichere Sicht auf die Cloud-Sicherheit hat. Auerdem hat die CSA den breitesten Teilnehmerkreis aus Benutzern und Cloud-Anbietern. Sicherheits- und Risikoexperten sollten sich an den Branchenbemhungen wie der CSA beteiligen, um aufkommende Normen zu beeinflussen und ihre Meinungen einzubringen. Nichtsdestoweniger rechnen wir nicht mit einer einzelnen Cloud-Sicherheitsnorm. Es ist nicht mglich, eine allumfassende Norm zu definieren, die auf die verschiedenen Arten von Clouds anwendbar ist. Mglicherweise gibt es jedoch bald branchenspezifische Normen oder Standards fr bestimmte Cloud-Arten wie IaaS und SaaS.

29.10.2010

2010, Forrester Research, Inc. Vervielfltigung verboten

F&A: Cloud-Sicherheit entmystifiziert

Fr Sicherheits- und Risikoexperten

endnoten
1 2

Quelle: Global IT Budgets, Priorities, And Emerging Technology Tracking Survey, Q2 2010. Quelle: Enterprise And SMB Networks And Telecommunications Survey, North America And Europe, Q1, 2010. Quelle: Josh Bernoff und Ted Schadler, Empowered: Unleash Your Employees, Energize Your Customers, Transform Your Business, Harvard Business Review Press, 2010 (http://www.forrester.com/empowered). Wenn Ihre Organisation an Cloud-Computing interessiert ist, gibt es ein paar wichtige Fragen zu Sicherheit und Datenschutz, Compliance und rechtlichen Aspekten, die Sie mit Ihrem Diensteanbieter besprechen mssen. Um Sie bei diesem Vorgang zu untersttzen, haben wir eine Checkliste von Hauptfragen und -problemen zusammengestellt. Siehe den Bericht Cloud Computing Checklist: How Secure Is Your Cloud? [Cloud-Computing-Checkliste: Wie sicher ist Ihre Cloud?] vom 30. Oktober 2009. Cloud-Computing-Plattformen sind mehr als nur gemeinsam von mehreren Mietern genutzte Infrastrukturen im ffentlichen Internet. Es gibt eigentlich drei Cloud-Einrichtungsoptionen fr Infrastructure-as-a-Service mit jeweils einzigartigen Merkmalen und konomischen Modellen, die zur Optimierung der Zielstellungen in Bezug auf die Einrichtung von Anwendungen und Diensten beitragen knnen. Siehe den Bericht Which Cloud Computing Platform Is Right For You? [Welche Cloud-Computing-Plattform ist die richtige fr Sie?] vom 13. April 2009. Cloud-Computing gestattet Organisationen, Geld zu sparen und flexibler zu werden, indem IT-Ressourcen wie Anwendungen, Speichergerte und Server gemeinsam genutzt werden. Das US-Verteidigungsministerium mchte von diesen Vorteilen profitieren. Quelle: Head in the Clouds: DoD Turns to Cloud Computing, Defense Industry Daily, May 25, 2010 (http://www.defenseindustrydaily.com/defense-cloudcomputing-06387/).

Forrester Research, Inc. (Nasdaq: ist ein unabhngiges Forschungsunternehmen, das pragmatische und vorausschauende Beratung fr globale Fhrer in Wirtschaft und Technologie bereitstellt. Forrester arbeitet mit Fachkrften in 19 Schlsselfunktionen bei Grounternehmen, die firmeneigene Forschung, Kundeneinsichten, Beratung, Veranstaltungen und Peer-to-Peer-Programme fr Fhrungskrfte anbieten. Seit ber 27 Jahren hat Forrester Fhrungskrften aus der Industrie in den Bereichen IT, Marketing und Technologie tglich zum Erfolg verholfen. Weitere Informationen finden Sie unter www.forrester.com. 2010, Forrester Research, Inc. Alle Rechte vorbehalten. Unbefugte Vervielfltigung ist streng verboten. Die Informationen basieren auf den besten verfgbaren Ressourcen. Meinungen spiegeln die Einschtzung zum jeweiligen Zeitpunkt wider, wobei nderungen vorbehalten sind. Forrester, Technographics, Forrester Wave, RoleView, TechRadar, und Total Economic Impact sind Warenzeichen von Forrester Research, Inc. Alle sonstigen Warenzeichen sind Eigentum ihrer jeweiligen Inhaber. Wenn Sie Nachdrucke dieses Dokuments erwerben mchten, senden Sie eine E-Mail an clientsupport@forrester.com. Weitere Informationen erhalten Sie unter www.forrester.com. 56689