Die letzten Wochen gehörten zu den wärmsten in über einem Jahrzehnt hier in der Schweiz und es wurde einmal mehr klar: Der Sommer ist hier. Sowohl Juli wie auch August gehören hierzulande zu den bevorzugten Ferienmonaten. Somit besteht die grosse Chance, dass sich viele unserer Leser in einigen Wochen mit etwas Freizeit an einem Strand oder einem anderweitig erholsamen Setting wiederfinden.

Für mich persönlich sind die Sommermonate untrennbar mit einer höheren Leseaktivität verbunden. Als begeisterter Leser seit Kinderbeinen versuche ich die Gewohnheit durch das Jahr hinweg nicht einschlafen zu lassen, was mitunter herausfordernd sein kann. Im Sommer wiederum finde ich viel Erholung, wenn ich im Schatten ein gutes Buch lesen kann. Sogar die Auswahl der Bücher, die den Weg in den Reisekoffer schaffen, wurde über die Jahre hinweg zu einem eigenen Ritual. Und ja, während ich einen Kindle besitze, bevorzugte ich es dennoch noch einige physische Bücher mitzunehmen. Aus keinem spezifischen Grund – ich mag es einfach, “richtige” Bücher zur Verfügung zu haben.

Früher habe ich Bücher vor allem in Buchhandlungen, auf Amazon oder Goodreads ausgewählt. Manchmal habe ich dabei einfach Titel gewählt, die mich angesprochen haben. Manchmal habe ich Bücher gekauft, die Algorithmen als relevant für mein Interessensprofil befunden haben. In jüngsten Jahren habe ich eine grosse Wertschätzung für stärker gepflegte und kurierte Leseempfehlungen entwickelt: Sorgfältig zusammengestellte Leselisten, verfasst von Individuen, auf deren guten Geschmack ich vertraue, gehören seither zu meinen Primärquellen für Lesematerial. Mit grossem Erfolg.

Nicht zuletzt darum will ich die Gelegenheit nutzen, selber eine kurze Infosec-zentrische Liste zusammenzustellen, in der ich einige Bücher empfehlen möchte, die ich in den vergangenen Monaten gelesen – oder erneut gelesen – habe. In der Hoffnung, dass der eine oder andere Titel einen neuen Leser finden möge, der von ihm profitiert.

Bücher für Penetration Tester

The Art of Software Security Assessment von Mark Dowd und John McDonald Diese Buch wurde in 2006 erstmals veröffentlicht. Ich habe es jüngst erneut durchgearbeitet und festgestellt, dass das Alter der Relevanz des Inhaltes kaum geschadet hat. Meiner Meinung ist The Art of Software Security Assessment eine der besten Ressourcen um eine solide Grundlage für Software Security und nahezu jede Art von praktischer Software-Sicherheitsanalyse zu erlangen. Ich wurde jüngst gefragt, welches Buch meine Karriere bis dato meist beeinflusst hätte – dieses Buch ist definitiv zumindest ein sehr starker Anwärter auf diesen Titel.

Black Hat Python von Justin Seitz Dieses Buch war letztes Jahr Teil des grossartigen Cybersecurity Humble Bundle. Für mich ist der Fluch dieser Bundles oftmals, dass sie schnell und impulsiv gekauft, irgendwo abgelegt, und dann vergessen werden. Glücklicherweise hat es Black Hat Python irgendwann auf meinen Kindle geschafft und ich bin froh, dass dem so ist. Auch wenn der Code im Buch im, mittlerweile (endlich…) veralteten Python 2.x geschrieben ist, macht das Buch eine Sache enorm gut: Die vielfältigen Möglichkeiten von Python für Penetration Tester aufzeigen. Black Hat Python brilliert nicht aufgrund der spezifischen Beispiele für das Bauen von Tools, die im Buch abgedruckt sind. Stattdessen regt der Titel zum Nachbauen, Verbessern, und Selbermachen an – was dann wiederum in einer höheren Kompetenz für eigenes Tooling und der Verbesserung allgemeiner Coding Skills resultiert.

Bücher für Führungskräfte und Manager

The Hard Thing About Hard Things von Ben Horowitz Es gibt einen massiven Markt für Selbsthilfebücher, Management- und Leadership Ratgeber und dergleichen. Unser Drang, eine bessere Version unseres jetzigen Selbst zu werden, wird von Dutzenden von Autoren dankbar aufgenommen und mit entsprechenden, einfach zu befolgenden Ratschlägen bedient, die den Weg zu Erfolg, Schönheit und Reichtum offenbaren sollen. “The Hard Thing About Hard Things” von Ben Horowitz ist hier eine willkommene Abwechslung und eines der wenigen Bücher im Bereich der Management-Berater, das ich freiwillig empfehlen würde. Statt Gut-Wetter-Ratschlägen, die gut in optimalen Bedingungen funktionieren (wenn guter Rat selten teuer ist), fokussiert sich Horowitz nahezu ausschliesslich auf Situationen, in denen es eigentlich keine “guten” Handlungsmöglichkeiten gibt. Horowitz ist dabei auch kein Theoretiker: Er hat für Netscape gearbeitet, bevor die Firma von AOL in 1998 gekauft wurde. Später hat er das Unternehmen Opsware geleitet, bevor auch dieses durch HP aufgekauft wurde. Er hat den Dot Com Boom und das Platzen der damit verbundenen Blase durchlebt – aus nächster Nähe. Seine Erfahrung aus diesen Jahren macht dies zu einer authentischen und unterhaltsamen Lektüre.

Für Engineers

Deep Work von Cal Newport Ablenkung im digitalen Zeitalter ist ein grosses Thema. Apple und Google haben beide jüngst sogenannte “Digital Wellness” Features in ihre mobilen Betriebssysteme eingebaut, um Konsumenten mehr Kontrolle – oder zumindest Transparenz – über ihre Zeit am Bildschirm und die Nutzung ihrer Smartphones zu geben. “Deep Work” fokussiert sich auf eine andere Seite von Ablenkung: Der Unterscheidung zwischen “shallow” (seichter) und “deep” (tiefer) Arbeit. Der Autor spricht sich dafür aus, dass die Verfügbarkeit von fokussierter, konzentrierter und vor allem ungestörter Arbeit heute rar ist – meist ungewollt. Er präsentiert Forschung zum Thema und stützt sich in seiner These auch auf Anekdoten bekannter historischer Figuren wie C. G. Jung, der für seinen Rückzug in seinen “Turm” in Bollingen bekannt war, wo er seinen hohen Level an Produktivität durch die Elimination aller Ablenkungen sicherzustellen versuchte. “Deep Work” ist ein spannendes und herausforderndes Buch, dass teils unbequeme Fragen zu unserem heutigen Arbeitsumfeld und unseren Gewohnheiten stellt und den Leser vor die Herausforderung stellt, diese zu seinen Gunsten zu ändern.

Für Ferien-Leser

Cult of the Dead Cow von Joseph Menn Ah, der CDC. So viele gute Erinnerungen aus einer anderen Zeit. Diese Buch von Joseph Menn ist angenehm leichte Lektüre mit hohem Unterhaltungsfaktor. Sie folgt den Spuren einer der einflussreichsten Hacking Gruppen überhaupt, zumindest wenn man den Kreis hier auf die USA beschränkt. Die Erzählung enthält eine Vielzahl von unterhaltsamen Anekdoten und nennt viele bekannte Gesichter aus der Industrie. Nicht alles, was Menn schreibt, ist undramatisiert und zwingend genau so passiert. Dennoch: Der CDC, L0pht, und diverse andere Gruppen haben unsere Industrie geformt und dieses Buch bringt sie einer neuen Generation näher – in einer attraktiven Form.

Cyberspies von Gordon Corera Ich lese Cyberspies momentan und ich breche hiermit meine Regel, dass ich nur Bücher empfehle, die ich bereits fertig gelesen habe. Cyberspies erzählt die Geschichte digitaler Spionage von den goldenen Tagen des legendären Bletchley Parks bis heute. Corera, ein erfahrener Security Korrespondent für BBC News, zeigt die Entwicklung von Spionage im digitalen Raum auf – inklusive ihrer Metamorphose von reiner Informationssammlung hin zur Mittel der digitalen Kriegsführung in Konflikten.

Fazit

Ich freue mich über Feedback oder Ergänzungen zu den besprochenen Büchern auf Twitter und hoffe, dass der eine oder andere Titel die Sommermonate etwas interessanter und unterhaltsamer gestaltet. Viel Vergnügen.

Über den Autor

Stefan Friedli gehört zu den bekannten Gesichtern der Infosec Community. Als Referent an internationalen Konferenzen, Mitbegründer des Penetration Testing Execution Standard (PTES) und Vorstandsmitglied des Schweizer DEFCON Group Chapters trägt er aktiv zum Fortschritt des Segmentes bei.