
Die Konzernwelt kennt Gegenden namens „APAC“ und „EMEA“. Für den Vertrieb mag dies seinen Wert haben – in der IT-Sicherheit stört die Geografiewillkür.
„EMEA“ gibt es nicht. Ebenso wenig wie das Schlaraffenland, Entenhausen (sorry, liebe Donaldisten!) oder das Land hinter den sieben Bergen bei den sieben Zwergen. Beweis: Fordern Sie doch mal einen Taxifahrer auf, Sie nach EMEA zu bringen. Bin gespannt, wo er Sie absetzen wird – wahrscheinlich hinter den sieben Sümpfen bei den sieben Schlümpfen. Oder in Bielefeld.

Um ihren globalen Vertrieb zu regeln, unterteilen US-Konzerne die Welt in ein Kleinkinderpuzzle von Riesenregionen. An erster Stelle steht natürlich „NA“ (Nordamerika), womit meist nur die USA und Kanada gemeint sind. Die Kontinentkomponenten Mexiko und Kuba hingegen schieben die Amis lieber nach Lateinamerika ab, das gelegentlich auch unter „LAC“ läuft (Latin America and the Caribbean). Dass die Karibik in Lateinamerika liegt, verrät schon ein flüchtiger Blick auf die Landkarte – kein Grund, sie separat aufzuführen. Doch „LA“ für Lateinamerika ließe sich allzu leicht mit der gängigen Abkürzung für Los Angeles verwechseln – also her mit einem zusätzlichen C, und schon kann LA in Kalifornien bleiben. Voilàc!
Zu NA und LAC gesellen sich APAC (für den asiatisch-pazifischen Raum) und eben EMEA, also Europa, der Nahe Osten (aus US-Perspektive ein „Middle East“) und Afrika. In die EMEA-Kiste stopfen US-Konzerne somit alles, was weit weg von Amerika, aber trotzdem noch nicht Asien ist (oder Australien, den Kontinent ganz rechts unten hat man ja ebenfalls in APAC abgestellt). Die multinationale Melange EMEA reicht somit von West-Island bis Ost-Russland und vom nordeuropäischen Norwegen bis zum südafrikanischen Südafrika – eine derart willkürlich-bunte Mischung kennt man sonst nur von der Süßwarenindustrie.
Natürlich sind Nationen an sich schon willkürliche Gebilde, gebraut aus nationalistischen Gründungsmythen, meist unter Zutat einer Prise Krieg. Ebenso nach Gusto zusammengewürfelt sind transnationale Konstellationen, etwa die „DACH-Region“, das Lieblingsareal des deutschen Vertrieblers mit internationalen Ambitionen, aber begrenzten Fremdsprachenkenntnissen. DACH steht für Deutschland, Österreich und die Schweiz und müsste daher eigentlich „DÖSCH“ heißen, orientierte man sich nicht an längst überkommenen Pkw-Länderkennzeichen des europapolitischen Pleistozäns.
Die globale Gebietsreform nach Gutsherrenart bewirkt, dass sich Manager so schöne Titel ins LinkedIn-Profil schreiben können wie „Vice President EMEA“. Was könnte es Schöneres geben, als Vizepräsident einer fiktiven Gegend zu sein? Präsident etwa? Nee, klingt zu sehr nach Arbeit – dann lieber Vize.
Ärgerlich wird es allerdings, wenn sich die weltumspannende Flurbereinigung in Gebieten breitmacht, wo sie nichts zu suchen hat. So bin ich kürzlich bei der Lektüre des „Data Breach Investigations Reports“ (DBIR) 2020 des US-Netzbetreibers Verizon auf „EMEA“ gestoßen. Zunächst: Der DBIR ist ein nützlicher IT-Sicherheitsbericht – neben seinen Pendants etwa von Akamai, Cisco und Malwarebytes meine Pflichtlektüre, um über das Treiben der Cyberbösewichte auf dem Laufenden zu bleiben. Hier erfährt man zum Beispiel, dass 86 Prozent der untersuchten erfolgreichen Angriffe finanziell motiviert waren und 70 Prozent auf das Konto externer Angreifer gingen. Cyberspionage ist somit im Vergleich zur klassischen Geldgier nur ein Randphänomen (wenn auch ein brisantes); und Innentäter sind gegenüber unternehmensfremden Bösewichten nur eine Minderheit (wenn auch eine nicht minder brisante). Derlei ist für Security-Fachleute wichtig zu wissen.
Doch auch Verizons Report nutzt die gröbstkörnige Globalisierungsmatrix zur Eingrenzung des cyberkriminellen Bösewichtelns. Deshalb ist es mir nun – Fanfare, bitte! – eine besondere Freude, Ihnen, geschätzte Leserschaft, folgende Zahl feierlich überreichen zu dürfen: 42. (Klar, welche auch sonst?) Letztes Jahr jedenfalls gingen laut DBIR 42 Prozent der Datenkompromittierungen in EMEA auf den Missbrauch von Login-Informationen zurück. Nein! – Doch! – Oooooohhhhh!
Selbst wenn man die nackte Zahl 42 um Kontext anreichert, also den Vergleichswerten der übrigen Regionen gegenüberstellt und dann erfährt, dass dieser Wert in EMEA um soundsoviel Prozent höher oder niedriger lag als in den anderen: Was bringt das? Richtig: nichts, weil nämlich „EMEA“ – historischen Vorbildern wie dem „Orient“ folgend – so ziemlich alles in einen Schmelztiegel wirft, was für eine abwägende Einschätzung von Belang sein könnte. Schließlich reicht das Konstrukt von Industrienationen bis zu einigen der ärmsten Länder der Welt und vom beschaulichen Bankenstandort Schweiz bis zu Bürgerkriegsländern wie Syrien.

Dabei könnte man spannende Geografiefragen an das Datenmaterial stellen: Steigt die Erfolgsquote der Phishing-Versuche in deutschsprachigen Ländern? Falls ja, könnte dies bedeuten, dass Phishing-E-Mails, die man früher sofort am Auto-Translate-Radebrechen erkannte, heute größeres Überlistungspotenzial bergen. Nehmen Phishing-Versuche mit Corona-Bezug in Ländern zu, die akut mit der Pandemie kämpfen? (Spoiler Alert: Das tun sie in der Tat, wie eine Auswertung des Security-Anbieters Bitdefender ergab.) Wie stark wächst mit den Spannungen zwischen Israel und Palästinensern auch die Zahl der Cyberspionage-Vorfälle in Nahost? Wie entwickeln sich die Angriffe auf Unternehmen und kritische Infrastruktur in Ländern, die sich bei Russland, China oder Nordkorea unbeliebt gemacht haben – oder aber bei Verizons Heimatland USA?
Das alles kann Sicherheitsverantwortlichen wichtige Anhaltspunkte geben – und ließe sich per Machine-Learning-basierter Analyse der Bedrohungsdaten ohne Weiteres ermitteln. Dabei gerät man aber leicht in Teufels Küche, wagt man sich doch auf politisch vermintes Terrain. Und so berichtet der DBIR dann eben lediglich, dass Cyberspionage in „EMEA“ mit 14 Prozent der Angriffe deutlich über dem globalen Durchschnitt von drei Prozent liegt. Geschenkt.
Deshalb, liebe Security-Berichterstatter: weniger Orient, mehr Orientierung! Verabschiedet euch vom faden Einheitsbrei globaler Vertriebsregionen und organisiert eure Informationen nach Kriterien, die für die Bewertung der Sicherheitslage tatsächlich Aussagekraft haben! Die Branchen unterteilt ihr schließlich auch nicht in „Ackerbau, Viehzucht und sonstige“. Rationaler regionalisierte Reports wären eine Lektüre, die man viel eifriger verschlänge – und für Security-Teams wären sie ein wahres Schlaraffenland.