CETUS Whitepaper 01/2011 Cloud Computing und SaaS Herausforderungen für Governance, Risk und Compliance Management

Transkript

1 CETUS Whitepaper 01/2011 Cloud Computing und SaaS Herausforderungen für Governance, Risk und Compliance Management

2 Impressum Herausgeber: CETUS Consulting GmbH Vriezenveener Straße Schüttorf Telefon: Telefax: Geschäftsführerin: Nina Vrielink, AG Osnabrück, HRB Autor: Frederik Humpert-Vrielink, frederik.humpert-vrielink@cetus-consulting.de Veröffentlicht Diese Dokumentation ist urheberrechtlich geschützt. Alle Rechte, auch die der Modifikation, der Übersetzung, des Nachdrucks und der Vervielfältigung, im Ganzen oder in Teilen, bedürfen der vorherigen schriftlichen Genehmigung der CETUS Consulting GmbH, Schüttorf. Dies gilt unabhängig davon, auf welche Art und Weise, für welche Zwecke und mit welchen Mitteln dies geschieht. Sämtliche auch ohne besondere Kennzeichnung verwendeten Handels-, Waren-, Markenund Gebrauchsnamen stehen ausschließlich den jeweiligen Inhabern zu. 2

3 Inhalt Impressum Zusammenfassung Einleitung Cloud Computing Herausforderungen und Chancen Herausforderungen für die IT-Governance Herausforderungen für das IT-Risk Management Herausforderungen für das Security Management Chancen für das GRC-Management Beispiel: in the Cloud Szenario und Rahmenbedingungen Risiken des Szenarios für Governance, Risk und Compliance Maßnahmen des IT-Managements Ausblick Literaturverzeichnis

4 1. Zusammenfassung Cloud Computing und SaaS sind moderne Schlagworte der IT. Dabei sind sich weder die Erfinder dieser Geschäftsmodelle noch die Nutzer von Cloud Computing Diensten, wie z.b. , Kalender o.ä. sowie SaaS-Diensten, wie z.b. der ASP-Bereitstellung von Buchhaltungsdiensten u.ä. klar darüber, welche Auswirkungen diese Anbietermodelle auf die Anforderungen des IT-Risikomanagements haben. Denn bei SaaS und Cloud Computing handelt es sich um mehr, als nur Outsourcing. Der Artikel geht auf ungelöste oder schwierig zu steuernde Fragestellungen des Datenschutzes, des IT-Risikomangements, der Informationssicherheit und der Compliance ein. So beleuchtet der Autor, dass der Nutzer einer Cloud Computing Anwendung keinen oder nur wenig Einfluss auf die Informationssicherheit des Anbieters hat. Damit ergibt sich automatisch die Problematik, dass sowohl interne Regelungen wie auch externe Steuerungen vorgenommen werden müssen. Gleiches gilt für das IT-Risikomanagement. Ist wirklich jedem CIO bewusst, welche Risiken bei nur teilweiser Auslagerung von Prozessen oder auch nur der Software auf ihn zukommen? Wie sieht es mit Lizenzmanagementfragen aus, was ist mit Business-Continuity oder Security-Management. Und wie sehen die Datenschützer das Cloud Computing? Der Artikel geht diesen schwer zu lösenden Fragestellungen nach und will Antworten geben oder zumindest zum Nachdenken anregen. Dafür dient der einfachste Fall des Cloud Computing die Nutzung von . Bei allem nimmt der Autor die Sichtweise des Nutzers einer Cloud Lösung ein. Die Sicht des Betreibers ist bewusst außen vor, da die Anforderungen an Governance, Risk und Compliance sich hier nicht wesentlich zu denen beim Anbieten von Outsourcing-Vorhaben unterscheiden. 2. Einleitung Cloud Computing und Software as a Service hinter diesen Geschäftsmodellen versteckt sich die Hoffnung vieler CIOs. Eine Möglichkeit, Kosten zu senken, IT zu optimieren und gleichzeitig Daten ständig und überall bereit zu haben. Dass hierbei jedoch Fallstricke auf verschiedenen Ebenen zu beachten sind, wird oft unterschätzt. Im Extremfall führt dies zu hohen Kosten für die Lösung auftretender Probleme. Der Autor konnte in verschiedenen Projekten beobachten, dass Unternehmen gerade im Bereich des Risikomanagements und der Informationssicherheit bei der Anwendung von Cloud Lösungen erschreckend unvorbereitet sind. Da ist zunächst einmal die sehr inflationäre Verwendung des Modellbegriffs Cloud Computing. Dabei werden oft reine Outsourcingvorhaben oder andere recht einfache Modelle des Einkaufs von IT-Leistungen damit bezeichnet. Für den Autor hingegen ist Cloud Computing einfach definiert. Es handelt sich dabei um standardisierte Angebote, die "ondemand" provisioniert und aus einer extrem skalierbaren Architektur heraus nach einem "pay-as-you-go" Modell geliefert werden. Diese Definition ist diejenige, die diesem Artikel zu Grunde liegt. 4

5 Die Übergabe von Informationen in die Cloud ist zunächst einmal ein unproblematischer Vorgang. Die dabei zu lösenden technischen Herausforderungen sind im Allgemeinen unproblematisch und bei der Einführung eines derartigen Projektes bereits gelöst. Die ungelösten Schwierigkeiten liegen im regulatorischen Bereich. Sowohl rechtliche Regularien, Kundenanforderungen und interne Richtlinien stellen die Übergabe der Verarbeitung geschäftskritischer Informationen in die Cloud vor schwierige Herausforderungen. Gleiches gilt für den Bereich Software as a Service. Einige der zu lösenden Punkte sind u.a. Datenschutzfragen bei der Übergabe von Informationen in die verteilte Verarbeitung Fragen der Business-Continuity bei der Auslagerung geschäftskritischer Informationen Fragen der allgemeinen Informationssicherheit und der rechtzeitigen Bereitstellung, z.b. bei der Übergabe von Buchhaltungsdaten an einen Anbieter Fragen der Revisionssicherheit, z.b. der Nachverfolgbarkeit von Prozessen, insbesondere bei der Beteiligung mehrerer Anbieter in diffusen Vertragsverhältnissen Jedes Projekt des Cloud Computing wirft unterschiedliche Fragestellungen auf. Vor allem, da es sich beim Cloud Computing nicht um ein eindeutiges Verhältnis des Outsourcing (z.b. im Sinne des Business-Process Outsourcing), sondern um ein diffuses Verhältnis handelt, sofern der Anbieter Leistungen der Wolke an verschiedenen Punkten einkauft. SaaS stellt hier noch kompliziertere Herausforderungen, da ggf. nicht nur auf technischer Ebene verschiedene Services koordiniert, sondern gleichzeitig die Vertragsverhältnisse verschiedener Anbieter miteinander verbunden und kontrolliert werden müssen, um die Anforderungen wie oben angesprochen einzuhalten. In der alltäglichen Praxis des IT-Betriebes und der IT-Management-Beratung gilt es, diese diffusen Herausforderungen zu lösen. Vor allem, da noch keine Vorgaben der richterlichen Rechtsprechung oder einschlägiger Kommentare hierzu vorliegen. 3. Cloud Computing Herausforderungen und Chancen Bei der Beleuchtung von Herausforderungen und Chancen für Cloud Computing sind zunächst einmal die unterschiedlichen Ausprägungen dieser Geschäftsmodelle in die Überlegungen einzubeziehen. So fordert eine Private Cloud natürlich die unternehmerischen Management-Funktionen anders als die Teilnahme an einer Public Cloud oder die Nutzung einer Hybrid Cloud. Die nachfolgenden Ausführungen beziehen alle diese Ausprägungen mit ein und sollen dem Leser Hilfe sein, die eigenen Herausforderungen der Cloud Computing Nutzung in seinem Unternehmen zu meistern. Sofern im nachfolgenden Absatz von Cloud Computing die Rede ist, umfasst diese Definition in Summe auch die Angebote des Geschäftsmodell Software as a Service Herausforderungen für die IT-Governance Die Steuerung und Koordination des IT-Betriebes mittels klar definierter Regeln ist das Kernfeld der IT-Governance. Bei der Nutzung von Cloud-Computing Angeboten sowie SaaS- 5

6 Diensten wird genau dieses Betätigungsfeld tangiert. Dabei ist jedoch je nach Ausprägung eine andere Qualität der tatsächlichen Governance-Herausforderungen gegeben. Die Nutzung einer Private Cloud hat das Potenzial, die Rolle der IT im Unternehmen tiefgreifend zu verändern. Anstatt statische Lösungen zu bieten, deren Nutzung an Richtlinien und Regelungen gebunden ist, ermöglicht die Private Cloud weitergehende, tiefgreifendere und den Herausforderungen der modernen Welt angepasste Lösungen zu liefern und damit die Rolle der IT zum Business Enabler weiter zu entwickeln. Allerdings erfordert dies in der Governance andere strategische Steuerungsinstrumente als bisherige Ansätze. Dies schlägt sich im Business-IT Alignment nieder, das sicherstellen muss, dass die Private Cloud in die Geschäftsprozesse, -strategie und ziele eingebunden ist. Anders verhält sich die Governance bei der Nutzung einer Public Cloud. Hier ist die Steuerung der Cloud bzw. der Cloud Dienstleister größere Herausforderung. Zusätzlich zu den notwendigen Anpassungen des Business-IT Alignments ist im Rahmen dieser Projektsteuerung das Entwerfen und Verträgen und Richtlinien für die Erbringung der Dienstleistungen zu forcieren. Im Rahmen dieser Service-Level Agreements ist festzulegen, welche Anforderungen die Anbieter zu erfüllen haben, um im Dienstleister-Kunde Verhältnis entsprechend reagieren zu können. Dabei ist juristischer Rat im Allgemeinen unverzichtbar, da Cloud Computing viele Fallstricke bereithält, die umschifft werden müssen. Wie komplex das Erfüllen und Umsetzen einer korrekten IT-Governance ist, ist aus Abbildung 1 zu erkennen. Ist ein Strategic Alignment mit dem Anbieter einer Public Cloud noch realisierbar, werden die übrigen Bereiche schon deutlich schwieriger in der Umsetzung. Kernbereiche der IT-Governance Strategic Alignment Performance Measurement Valiue Delivery IT- Governance Ressource Management Risk Management Abbildung 1 - Kernbereiche der IT-Governance (angelehnt an [CoBIT4] 6

7 Wie soll die Effizienz einer Public Cloud gemessen oder überwacht werden? So einfach es noch ist, in einer eigenen Wolke Messmechanismen für die die Effizienz zu installieren, so komplex wird dies bei der Nutzung einer öffentlichen Wolke. Das Management der IT ist hier auf bereitgestellte Werkzeuge der Anbieter angewiesen. Sofern also Dienste in die Wolke ausgegliedert werden sollen, ist es notwendig erst zu definieren, welche Indikatoren für Effizienz bzw. Performance gemessen werden sollen, um dann dem Anbieter die Aufgabe zu übergeben, diese Indikatoren zu liefern. Doch woher diese Indikatoren liefern? Ansätze, mit denen in der eigenen Organisation die Effizienz gemessen werden kann, helfen hier nicht weiter, da insbesondere der Einfluss auf die technische Realisierung zu gering erscheint. Ein empirisch erforschtes Patentrezept muss der Autor an dieser Stelle schuldig bleiben. Jede Organisation sollte hier eigene Bereiche und Indikatoren entwickeln. Mögliche Indikatoren, angelehnt an das ROI-Modell der OpenGroup [opengroup10] sind: Availiability vs. Recovery SLA Workload vs. Utilization in % SLA Response Errorrate Revenue Efficiencies Ein wenig schwieriger wird der Bereich des Ressource Management. Er ist im eigentlichen Sinn der IT-Governance durch ein Unternehmen nur umsetzbar bei einer Private oderhybrid Cloud. Bei der Nutzung einer Public Cloud ist dieser Bereich eher durch Ressource Demandment zu ersetzen. Das Management bzw. dieser Governance Bereich hat hier zu steuern, wieviele Ressourcen aus der Wolke bezogen werden müssen. Dieses Ressource- Demandment hat sodann starke Auswirkungen auf Budgetierung und Abrechnungsmodelle, die in der Cloud dargestellt werden müssen. Analog einer Supply-Chain muss auch hier eine Lastspitze vermieden werden. Der Bereich des Value Delivery ist hingegen eine Kerndisziplin des Cloud Anbieters. Value Delivery verlangt, ein Geschäftsmodell zu betreiben, das komplett auf IT beruht. Einzig für den Betrieb einer eigenen, einer Privat Cloud erfordert Maßnahmen des IT-Managements, um Werte zu schaffen und zu liefern Herausforderungen für das IT-Risk Management Cloud Computing birgt neben den Möglichkeiten, Ressourcen besser auszulasten, Prozesse zu beschleunigen und Optimierungspotenziale zu heben auch Risiken für den IT-Betrieb. Klassische Risiken sind srisiken Vertraulichkeitsrisiken Integritätsrisiken Rechtsrisiken Datenschutzrisiken Die Aufgabe des IT-Managements ist es, diese Risiken zu ermitteln, zu steuern und geeignete Maßnahmen dagegen zu ergreifen. Dies sollte in einem strukturierten Prozess erfolgen, indem zunächst alle denkbaren 7

8 technischen, organisatorischen und rechtlichen Risikobereiche mittels eines geeigneten Werkzeugs analysiert werden. Eine der Kernproblematiken bei der Nutzung einer Public Cloud ist das diffuse Vertragsverhältnis, das je nach Ausprägung zu steuern ist. Dadurch grenzt sich Cloud Computing massiv von einer Outsourcing-Lösung ab, die gemeinhin einen festen Vertragspartner mit klaren Leistungsversprechen bereithält. Bevor die Entscheidung getroffen wird, an einer Public Cloud teilzunehmen sollte in Erfahrung gebracht werden, welche einzelnen Provider die Cloud Dienste bereitstellen. Gerade bei der Nachverfolgbarkeit von Prozessen und dem Umgang mit Informationen ist die Teilnahme an der Public Cloud schwierig zu bewerten. Gleiches gilt für die Hybrid Cloud, die den privaten sowie den öffentlichen Ansatz verbindet Herausforderungen für das Security Management Wie in allen Dimensionen sind auch die Herausforderungen für das Management der Informationssicherheit abhängig von der Ausprägung des genutzten Modells. Allerdings ist hier weniger die Teilnahme an der Art der Wolke (Public, Private oder Hybrid) der spannende Faktor. Vielmehr die Ausprägung des Geschäftsmodells Infrastructure as a Service (IaaS), Platform as a Service (PaaS) oder Software as a Server (SaaS) ist hier der die Risiken bestimmende Faktor. Bei der Betrachtung der Risiken ist insoweit das genutzte Geschäftsmodell mit der Art der Wolke in Beziehung zu setzen. (s. Abbildung 2). 8

9 Risikomatrix Cloud Computing Public Cloud Private Cloud Hybrid Cloud Software as a Service Vertraulichkeit Authentisierung Integrität Vertraulichkeit Authentisierung Integrität Platform as a Service Vertraulichkeit (Spionage) Performance Interoperabilität Infrastructure as a Service Vertraulichkeit Integrität Skalierbarkeit Interoperabilität Abbildung 2 - Risikomatrix der Cloud Computing Modelle Aus dieser Risikomatrix ist deutlich zu entnehmen, dass die größte Herausforderung der neuen Geschäftsmodelle im Management der liegt. Egal welches Modell, entweder ist durch vertragliche Vereinbarungen sicherzustellen, dass die Wolke ausreichend verfügbar bereitgestellt wird oder es ist durch geeignetes Management dafür zu sorgen, dass die eigene Infrastruktur die Anforderungen an die private Wolke erfüllt Chancen für das GRC-Management Neben den oben besprochenen Herausforderungen bieten sich auch Chancen im Bereich Governance, Risk und Compliance durch die Nutzung eines Cloud Computing Angebotes. Insbesondere die Starke Verzahnung der Geschäftsprozesse mit auf die einzelnen Prozesschritte spezialisierten Anbietern einer Cloud Leistung ermöglicht massive Optimierung im Bereich der IT-Governance. Fordert eine korrekte IT-Governance bisher die Einführung spezialisierter Inhouse-Lösungen zur Unterstützung der Business-Strategie kann es sich gerade bei kleineren Unternehmen als effizient erweisen, auf spezialisierte Cloud Computing Anbieter zurückzugreifen. Hier bietet die Teilnahme an einer Public Cloud mehrere Vorteile: Geringer Investitionsbedarf aufgrund spezialisierter Angebote Bessere Verteilung der IT-Nutzung durch Pay on Demand Bessere Auslastung von Ressourcen. 9

10 Diese Vorteile gelten auch bei der Nutzung einer Private Cloud. Diese bietet jedoch deutlich stärkere Chancen für das Management im Bereich Governance, Risk und Compliance. Die Nutzung einer Private Cloud unterliegt gänzlich den Standardisierungen der Informationsverarbeitung des Unternehmens. Wenngleich dieser Ansatz sicher nur im Konzernumfeld bezahlbar und nutzbar ist. Cloud Computing, insbesondere der interne Ansatz, verändert die IT-organisation grundlegend. Basierend auf dem Ansatz, dass Dienste in der Wolke flexibel konfektioniert und über standardisierte Schnittstellen bereitgestellt werden, bedeutet der Aufbau einer eigenen Wolke, dass sich die Corporate IT nicht mehr als technische Truppe begreift, sondern sich von der Administration weg entwickelt hin zu einem Dienstleister im Unternehmen. Die Dienste müssen am Geschäft ausgerichtet bereitgestellt werden, da die Zusammenstellung der Ressourcen aus der Wolke an jeden Dienst eigenen Anforderungen stellt. Genau hier liegt die Chance für das IT-Management in den Bereichen Governance, Risk und Compliance. Die grundlegende und auch notwendige Änderung der IT-Organisation beim Aufbau einer eigenen Wolke kann dazu genutzt werden, auch die Einflussfaktoren auf das Risk-Management (Business Continuity, Security, Incident Handling, etc.) sowie auf das Compliance-Management (Revisionssicherheit, Nachverfolgbarkeit, etc.) neu zu bewerten und zu überdenken. 4. Beispiel: in the Cloud Das nachfolgende Szenario der Nutzung eines Dienstes wie z.b. Googl oder anderen gehört sicher zu den klassischsten Szenarien für den Bereich des Cloud Computing generell. Um die Betrachtung des Szenarios aus Sicht des IT-Risikomanagements zu erleichtern wird jedoch ausschließlich die Teilnahme an einer Public Cloud beleuchtet. Der Ansatz, den Dienst in einer Private Cloud zu betreiben, wird ausgeblendet. Dies geschieht insbesondere, um in der Diskussion um Anwendungen des Cloud Computing keine Verwirrung zu stiften, da auch die sonstige Diskussion des Themas mehrheitlich die Teilnahme an Public Clouds bespricht und die Ansätze Hybrid Cloud und Private Cloud zumeist außen vor lässt Szenario und Rahmenbedingungen Das einfachste Szenario des Cloud Computing ist die Nutzung von in the Cloud. Dabei lagert ein Unternehmen sein gesamtes Management inclusive Datensicherung, Archivierung, Mailboxbetrieb, Speicher, etc. an einen Anbieter aus. Dieser Anbieter ist dann frei in der Entscheidung, welche weiteren Beteiligten die Technologie für die Wolke bereitstellen. Der Provider tritt gegenüber dem Kunden als einziges Gesicht auf und ist entsprechender Vertragspartner. 10

11 Bevor die Vorteile des Auslagerns in die Cloud herausgearbeitet werden können, sind zunächst mal die Anforderungen aus den Dimensionen Governance, Risk und Compliance für das Unternehmen zu definieren. (siehe Abbildung 3). Governance Messbarkeit Übereinstimmung mit Geschäftszielen Zuverlässigkeit und Risk / Security Business Continuity Management Desaster Recovery Management SPAM und Virenschutz Compliance Archivierung und Aufbewahrung Datenschutzmanagement und Vertraulichkeit Integrität und Authentisierung Nachvollziehbarkeit Abbildung 3 - Ausgewählte Anforderungen an Governance, Risk und Compliance Aus diesen Anforderungen ergeben sich die notwendigen Pflichten für den Anbieter der Cloud-Dienstleistung, die in einem Vertragswerk festgehalten werden müssen. Hierfür sollte ein strukturiertes Datenmodell erstellt werden, das die Übersicht über die zu erfüllenden Anforderungen ermöglicht. Dieses Datenmodell ist dann Arbeitsgrundlage für die Juristen, die das Vertragswerk ausarbeiten müssen, die die Nutzung der Softwareprodukte in der Wolke regeln Risiken des Szenarios für Governance, Risk und Compliance Grundsätzlich ist zu sagen, dass SaaS und Cloud Computing im Szenario die gleichen Anforderungen an Governance, Risk und Compliance stellen, wie selbst betrieben BackOffice Anwendungen. Wie in jedem Geschäftsmodell mit Potenzial birgt das Modell des Cloud Computing jedoch Risiken für die Einhaltung korrekter Governance, Risk und Compliance. Insbesondere im Bereich des Datenschutzes und des Umgangs mit personenbezogenen Informationen birgt die Nutzung der verlockenden Angebote schwierige Risiken. Schließlich wird hier ein Kernbereich des Datenschutzes, nämlich die Weitergabe von personenbezogenen Daten, berührt. Somit ist die Einhaltung der Anforderungen komplexer umzusetzen und stärker zu implementieren. 11

12 Wie schwerwiegend beim Szenario SaaS bzw. dem betrachteten Beispiel die Risiken sind, wurden vom World Privacy Forum in einem Bericht analysiert [WPF09]. Als Kernschwierigkeiten stellt der Bericht die Lokalisierung der Informationen und anwendbares Recht, Auditfähigkeit und Sicherheit heraus. Dies zeigt, dass Cloud Computing aus Sicht des Datenschutzes kritisch beleuchtet wird. Datenschützer verweisen hier vor allem darauf, dass Datenschutzregeln in den USA häufig nicht so streng sind, wie in Deutschland [Datenschutz09]. Die zu beleuchtenden Risiken sind mit Sicherheit noch nicht abschließend besprochen. Dies gilt jedoch nicht nur im Zusammenhang der Beleuchtung mit SaaS, sondern auch in der Beleuchtung des Dienstes allgemein Maßnahmen des IT-Managements Das IT-Management ist als Führungsebene gefragt, wenn es darum geht, Dienste wie oder andere in die Wolke auszulagern. Dabei fokussieren sich die Maßnahmen auf verschiedene Dimensionen: Dienstleistersteuerung Dienstleisterüberwachung Business Continuity Management Management der Cloud als Business Driver Setzen und Überwachen von Zielen Diese Dimensionen haben je nach Nutzung der Cloud unterschiedliche Ausprägungen. Wie an allen Stellen gilt es auch bei der Bewertung dieses Szenarios durch das IT-Management zwischen der Teilnahme an einer Public Cloud, dem Betrieb einer Private Cloud oder dem Schmieden einer Hybrid Cloud zu unterscheiden. Es ist nicht einfach, Geschäftsprozesse bzw. umfassende IT-Aufgaben wie den Betrieb eines -Dienstes an den Anbieter einer Cloud-Computing Dienstleistung, wie z.b. Google auszulagern. Dabei fordern gerade die Deutschen Gesetze eine besonnene Steuerung. Das IT-Management ist gefordert, konkrete Maßnahmen einzuleiten, um verschiedene Anforderungen zu erfüllen. Insbesondere gilt es in Anbetracht der Risiken ein Kennzahlensystem zu entwickeln und einzuführen, dass es ermöglicht, Schwierigkeiten und Abweichungen sofort zu erkennen. Dabei sind verschiedene Key-Performance Indikatoren zu etablieren, die drei Dimensionen umfassen - Zeit - Kosten - Qualität Erst hiermit ist es möglich, das Verhältnis zum Anbieter der Wolke oder gar die eigene Wolke zielorientiert zu steuern und messbar zu bearbeiten. 12

13 5. Ausblick Die Wolke und damit verbundene Modelle verändern die Wahrnehmung des Managements der IT massiv. Straffe Führung, eine Weiterentwicklung von der technischen Abteilung noch weiter zum Business Enabler und Unterstützer Geschäftsstrategie werden krasse Auswirkungen auf die Aufgaben der IT- Führungsebene haben. Ferner verändern diese Geschäftsmodelle die Möglichkeiten, Kosten zu senken und die eigene IT nach außen zu etablieren. Gleichzeitig jedoch erhöhen sich die Risiken für den IT-Betrieb. Es kommt ein weiterer Spieler hinzu, der zu steuern und in das Gesamtgefüge einzubauen ist. 6. Literaturverzeichnis [CoBIT4] CoBIT 4.0, ITGI 2005, S. 7 [WPF09] Wold Privacy Forum, Privacy in the Clouds: Risks to Privacy and Confidentiality from Cloud Computing, abgerufen am [opengroup10] The OpenGroup, Building Return on Investment from Cloud Computing : Cloud Computing Key Performance Indicators and Metrics, - abgerufen am [Datenschutz09] Virtuelles Datenschutzbüro, abgerufen am