| Online | Gäste: 11
Mitglieder: 0
Auf dieser Seite: 1
Mitglieder: 2816, neuestes ist mario barth |
| Neueste 5 Downloads |  Sophos A bis Z der Computersicherheit
Sophos, Allgemein (Dokumente), 20. Jul 08 : 12:10
Dieses Büchlein wird von Sophos zu Werbezwecken verdient. Es stellt in einem ersten Teil die Bedrohungen von A bis Z, wie man sie im Internet antrifft, vor. In gleicherweise werden im zweiten Teil Schutzmassnahmen erwähnt. Kurz und bündig wird so der Leser an die Materie herangeführt. Technische Details und weiterführende Diskussionen fehlen, so dass es wirklich nur als seichte Unterhaltung und Einführung gedacht ist.
eBay Hack (S.M.)
S.M. (aka. SevenUp), Social Hacking (Dokumente), 20. Jul 08 : 12:03
Dieses nicht unumstrittene Dokument bespricht Schritt für Schritt, wie ein technisch gestütztes Phishing per HTML-Email und PHP-Skript durchgeführt werden kann, um Login-Informationen für eBay abzufangen. Der Beitrag weist einige technische Fehler auf und ist zu grossen Teilen veraltet. Aus diesem Grund wird ihm primär nur noch historisches Interesse entgegengebracht.
Angriff und Verteidigung in Computernetzen
Alexander Koch, Allgemein (Dokumente), 20. Jul 08 : 11:57
Die leider etwas karge Präsentation beleuchtet verschiedene Gesetzesartikel, die auf Computerangriffe und Strike-Back-Verfahren angewendet werden können. Dabei werden sowohl die deutsche als auch die schweizerische Rechtssprechung berücksichtigt. Ein interessanter Beitrag, der die Gefahren von automatisierten Schutzmechanismen auf einer nicht-technischen Ebene zu verdeutlichen in der Lage ist.
Cross-Site Scripting (Compass)
Ivan Bütler, Webserver (Dokumente), 20. Jul 08 : 11:49
In diesem einfachen Artikel werden die Grundlagen von Cross Site Scripting-Attacken aufgezeigt. Dabei werden sowohl serverseitige als auch clientseitige Varianten besprochen und zudem darauf hingewiesen, dass sich dies mit jeglicher Art von Scripting (JavaScript, VBscript, etc.) durchsetzen lässt. Die Einfachheit des Papiers macht es vor allem für Einsteiger leicht zu lesen.
Internet Networking - Measuring Distance and Bandwidth between Hosts
Werner König, Netzwerke (Dokumente), 01. Apr 08 : 21:43
In dieser Seminararbeit werden diverse Algorithmen zur Berechnung von Bandbreiten bestimmter Verbindungen zwischen Hosts besprochen. Es werden Troughput, Pathchar und vor allem Packet Pair beschrieben sowie ihre Vor- und Nachteile dargestellt. Ein interessantes Gebiet, welches ausserhalb akademischer Bereiche fast keine Beachtung findet.
Zeige alle Downloads (902 Total) |
| Schon gewusst, dass... | ...die quelloffene Scanning-Software nmap seit der Version 3.70 sich selbst jeweils am 1. September alles Gute zum Geburtstag wünscht, wenn sie im Verbose-Modus betrieben wird?
Zeige alle Trivias (244 Total) |
| Zitat des Augenblicks (id 232) | "Nun so wäre denn endlich die Untersuchung in die Geheimnisse der Mathematik gehüllt, damit doch ja niemand so leicht wage, sich diesem Heiligtum zu nähern." - Johann Wolfgang von Goethe, über Isaac Newtons "Optik"
Zeige alle Zitate (246 Total) |
| Buchtipp | 
Die Kunst des Penetration Testing - Handbuch für professionelle Hacker
von Marc Ruef |
| | Sie sind zur Zeit nicht angemeldet und haben deshalb nur Gast-Privilegien. Einige Funktionen (z.B. Postings, Kommentare, Bewertungen, Statistiken) sind deshalb deaktiviert. Zudem ist für Gäste in einigen Bereichen Werbung geschaltet.
Melden Sie sich an und loggen Sie sich ein, um Zugriff auf sämtliche Bereiche zu erhalten. |
| Nichtexistenz als Schwachstelle (Montag, 29. Juni 2009 - 09:46:51) |
 [Marc's Blog] Ein Thema, das mich die letzten Jahre stetig begleitet hat, sind sogenannte Configuration Reviews. Bei diesen geht es darum, die Konfiguration eines Systems oder eines Dienstes auf etwaige Schwächen hin zu untersuchen. Dabei kann man grob zwischen zwei Arten von Fehlern unterscheiden:
1) Fehlerhafte Einstellungen: Diese führen dazu, dass sich die Komponente nicht so verhält, wie man das gerne hätte. Zum Beispiel wenn ein Webserver ausschliesslich SSLv3 zulassen soll, jedoch versehentlich (Unachtsamkeit oder Missverständnis) ebenfalls das als unsicher geltende SSLv2 zugelassen wird.
2) Unsichere Einstellungen: Diese führen dazu, dass mehr oder weniger Bewusst ein unsicheres Verhalten einer Komponente durchgesetzt wird, obwohl das Risiko bei umfassendem Verständnis nicht oder nur bedingt akzeptiert werden will. Es kann an das vorangegangene Beispiel angeknüpft werden, dass bewusst SSLv2 ebenfalls zugelassen wird, ohne dass man sich den Schwächen dessen bewusst ist.
In beiden Fällen hätte die Config Review zur Folge, dass die Unterstützung von SSLv2 in Bezug auf die potentiellen Sicherheitsrisiken bemängelt wird. Ist der Kunde mit dem Analysten gleicher Meinung, dass das Risiko nicht getragen werden muss oder will, wird man die Unterstützung des unliebsamen SSLv2 unterbinden wollen. Eine Anpassung an der Konfiguration ist die Folge davon.
Das Durchführen von Config Reviews wird immer mehr durch unsere Kunden begrüsst. Schliesslich kann man hier fehlerhafte Einstellungen sehr nah an der Lösung erkennen und damit die unmittelbare Administration sicherer machen.
Bei solchen Prüfungen ist das Vorgehen stetig gleich: (1) Es wird die Konfiguration des jeweiligen Systems extrahiert. (2) Nach Möglichkeit wird das proprietäre Datenformat in ein einheitliches Format konvertiert. Dies geschieht meistens mit einem spezifisch für das jeweilige Output-Format angepassten Parser. (3) Die normalisierten Daten werden auf fehlerhafte Einstellungen hin untersucht. (4) Alle potentiellen Schwächen werden dokumentiert und dem Kunden mitgeteilt, so dass dieser auf diese reagieren kann.
Bei diesem Ansatz erschliesst sich ein unmittelbares Problem. Und zwar wird in erster Linie nur das begutachtet, was existiert. Es werden also die vorhandenen Einstellungen auf ihre Richtigkeit hin untersucht. Das eigentliche Vorhandensein einer Einstellung wird jedoch nicht direkt geprüft.
Dies ist kein Problem, sollte in einer Konfigurationsdatei für jede mögliche Option mindestens eine Definition spezifiziert sein. Eine simple Konfiguationsdatei dieser Art, welche die Unterstützung für SSL in jedem Fall spezifiziert gestaltet sich folgendermassen:
Code: // SSL/TLS Support Definition
// Note: Specify either False or True.
SSLv2Support = False;
SSLv3Support = True;
TLSv1Support = True;
In jedem Fall kann nun gesagt werden, ob die definierte Einstellung den Erwartungen entspricht. Wird hingegen ein anderes Format verwendet, bei dem individuelle Abweichungen von den Standardeinstellungen explizit angegeben werden müssen, tritt das Problem der Prüfung einer Nichtexistenz auf:
Code: // SSL/TLS Support Definition
// Warning: SSLv2 and SSLv3 are always True unless specified as False!
TLSv1Support = True;
In letztgenanntem Fall müsste also neben der Definition der vorhandenen Einstellungen ebenso das Wissen um Standardeinstellungen sowie die Reihenfolge der Überschreibungen bekannt sein. Denn die soeben gezeigte Konfiguration aktiviert SSLv2, da die Unterstützung nicht explizit durch die Angabe von "SSLv2Support = False" deaktiviert wurde.
Derlei Config Reviews sind eigentlich relativ einfach, sofern jede Einstellung stets explizit vorhanden sein muss. Wird jedoch in einem Produkt davon ausgegangen, dass nur Abweichungen von den Standardeinstellungen explizit angegeben werden müssen, muss das Wissen um eben diese vorhanden sein. Dies ist vor allem dann schwierig, wenn ein Konfigurationsformat nicht oder nur schlecht dokumentiert ist. Dann kann in den meisten Fällen nur die langwierige Erfahrung dabei helfen, sämtliche Schwächen in den proprietären Lösungen umfassend auszumachen.
Doch spätestens bei der Einführung eines Patches oder der Vorstellung eines neuen Releases kann man sich eventuell wieder mit neuen Standardeinstellungen, Konfigurationsmöglichkeiten, Optionen und Vererbungen herumschlagen. Ein schlecht dokumentiertes Produkt ist also unweigerlich über Kurz oder Lang eine Gefahr für die Nutzer dessen. Denn sie müssen einer Lösung vertrauen, die sie a) nicht verstehen und b) deren Fehlnutzung sie nicht erkennen können. 3jbvh68qt2
|
| Wer rechnen kann, ist klar im Vorteil (Montag, 22. Juni 2009 - 10:07:46) |
[Marc's Blog] Die meisten von uns können sich sicher noch an die Schulzeit erinnern, als man sich in mühseliger Weise mit traditionellen Fächern wie Deutsch, Mathematik oder Physik herumärgern musste. Viele Schüler, gerade jene mit den weniger guten Noten, machen lautstark ihrem Ärger Dampf, indem sie unablässig darauf hinweisen, dass sie das vermeintliche Wissen ja sowieso nie brauchen werden.
Da wird dann gesagt, dass Gross-/Kleinschreibung nutzlos wäre, weil es ja nur darum geht, dass einem der andere versteht. Oder das Berechnen einer Kantenlänge eines Rechtecks wäre nur dann sinnvoll, wenn man irgendwann ein Haus bauen will (was man angeblich nie tun wird). Und über die Halbwertszeit von Strontium 90Sr will ich erst gar nicht debattieren (Es ist eines der energiereichsten, langlebigsten Isotope, die Betastrahlung aussenden - Cool!).
Die Nutzlosigkeit einiger der transportierten Wissensbrocken sowie die Herangehensweise der Vermittlung in unserem Schulsystem will ich nicht bestreiten. Viele Lehrer täten besser daran, wenn sie sich für die Programmierung von Computern oder das Herumkommandieren von Soldaten einsetzen würden (in manchem Fällen ist dies gar nicht mal so unterschiedlich). Dennoch kann man irgendwodurch jedem Schulwissen irgendetwas nützliches abgewinnen.
Gehen wir davon aus, dass wir bei einer Militärmacht eingespannt sind, die die Schweiz als potentiellen oder effektiven Gegner deklariert hat. Nicht dass ich hoffe oder annehme, dass das gegenwärtig so ist. Es könnte jedoch theoretisch sein. Als Mitglied des militärischen Nachrichtendiensts, man ist als "unscheinbarer" Analyst angestellt, hat man die Medien der feindlichen Staaten im Auge zu behalten: Informationen zu politischen Veränderungen oder militärischen Anschaffungen sind von höchstem Interesse.
Gehen wir nun weiterhin davon aus, dass in den Tagesmedien der Schweiz darauf hingewiesen wird, dass die eingesetzten F/A-18 Hornet mit AIM-9X Sidewinder-Raketen (Bambini-Code Siwa) ausgestattet werden sollen. Dabei wird auf das Rüstungsprogramm 2003 hingewiesen, welches für die Anschaffung durch die Armasuisse eine Budgetierung von 115 Millionen Franken zugelassen hat. Die Anzahl der eingekauften Raketen unterliegt jedoch der Geheimhaltung. Ich kriege nun von meinem Vorgesetzten die Aufgabe gestellt herauszufinden, wieviele Raketen wohl angeschafft wurden.
Dies ist mit einem kleinen Dreisatz lösbar. Wir wissen, wieviel Geld total ausgegeben wurde (150'000'000 sFr). Es gilt nun herauszufinden, wieviel ein AIM-9X Sidewinder-Rakete kostet. Eigentlich sind wir selber im Besitz solcher Raketen bzw. kennen wir den Verkaufskatalog der US-Navy. Sind wir nicht im Besitz solcher Verbindungen, konsultieren wir das Internet. Dort wird das besagte Objekt zur Zeit mit einem Stückpreis von etwa 320'000 US-Dollar (ca. 350'325 CHF) angeboten. Man dividiert nun den Gesamtpreis durch den Stückpreis und erhält die etwaige Anzahl eingekaufter Raketen:
150'000'000 / 350'325 = 428,17
Unser Vorgesetzter wird erstaunt ab unseren Fähigkeiten sein. Er wird diese Information voller Freude an die zuständigen Stellen weiterreichen und uns für eine Beförderung vorschlagen. Und dies alles nur, weil wir in der Lage waren, eine grosse Zahl durch eine etwas kleinere Zahl zu dividieren. Vielen Dank an meinen Mathelehrer Herrn Zimmerli aus der 5ten Klasse!
Auf der letzten Seite der jüngsten Gratiszeitschrift Blick am Abend nimmt Filmkritiker, Windsor-Kenner und Buchautor Helmut-Maria Glogger kein Blatt vor den Mund. Abend für Abend schreibt er in der Rubrik "Mail an..." offene Emails, kritisiert und lobt Leute des öffentlichen Interesses. Vor einiger Zeit schrieb er über die jüngst gefundene grösste Mersenne-Primzahl mit ihren 12'978'189 Stellen (Stand September 2008). Mit Hohn durchsetzt fragte er rethorisch, ob wir nun stolz auf diese Leistung bzw. das Schulsystem sein können und ob es sich lohnt, dass er seinem Sohn im Schulalter darüber berichtet. "Verbessert es unser leben?", hat er spöttisch gefragt.
Der Hohn war fehl am Platz. Das sollte dem guten Mann spätestens dann bewusst werden, wenn dank verbesserter Primfaktorzerlegung die verschlüsselten Verbindungen im Internet ohne weiteres mitgelesen und beim Online-Banking ohne grösseren Aufwand Geld abgezweigt werden kann. Schliesslich basieren moderne kryptografische Verfahren (z.B. RSA) auf grossen Primzahlen und der Schwierigkeit der Primfaktorzerlegung. Solange der epochale Quantensprung bezüglich der letzteren nicht eingesetzt hat, hat man gefälligst den Primzahlen Respekt entgegenzubringen - Und den Männern und Frauen, die sich mit den vermeintlich sinnlosen Zahlenspielen auseinandersetzen.
|
| Wie man ein Fachbuch schreibt und publiziert (Montag, 15. Juni 2009 - 09:21:17) |
[Marc's Blog] In meinem Freundes- und Bekanntenkreis gibt es eine bemerkenswerte Anzahl an Leuten, die gerne ein Fachbuch schreiben und veröffentlichen würden. Einige davon formulieren erst ihren Gedanken, andere haben schon etwas geschrieben und möchten nun einen Verlag zwecks Publizierung angehen. Nicht selten bittet man mich um Rat, wie man soetwas am besten ansteuern soll. In diesem Beitrag möchte ich meine Sicht der Dinge darlegen und die gesammelten Erfahrungen weitergeben.
Es gibt eigentlich zwei Arten, wie man ein Fachbuch schreiben kann. Zum einen fängt man einfach mal damit an und sucht sich später, wenn man schon einen Grossteil geschrieben oder gar das gesamte Manuskript beendet hat, einen Verlag. Oder man sucht sich zuerst einen Verlag, definiert mit diesem das Konzept und geht das Projekt sodann als Auftragsarbeit an.
Beide Herangehensweisen haben Vor- und Nachteile. Ich selbst habe 1998 mit dem Schreiben eines deutschsprachigen Buchs zum Thema Computersicherheit begonnen und schon einige Kapitel nach meinem Geschmack fertiggestellt. Im Jahr 2001 kam Marko Rogge, ein langjähriger Freund, auf mich zu und berichtete mir davon, dass er und zwei andere Bekannte zur Zeit mit Data Becker, einem bekannten deutschen IT-Verlag, in Verhandlungen zu einem Buch zum Thema Computersicherheit seien. Er bot mir an als Mitautor einzusteigen.
Der Verlag hatte konkrete Vorstellungen, wie er sich mit seinem Buch im damals noch verhältnismässig jungfräulichen deutschen Markt positionieren wollte. der Titel (Hacking Intern) sowie die Themengebiete waren konkret definiert und es wurde auf Basis derer zusammen mit den Autoren ein Inhaltsverzeichnis erarbeitet. Noch bevor offiziell eine Zeile für das Buch geschrieben wurde, waren Umfang, Ausrichtung und Inhalt definiert. Da ich mit meinen ersten Schreibversuchen in eine etwas andere Richtung zielte, konnte ich nur sehr wenige Absätze und Ideen weiterverwenden.
Der Vorteil einer vordefinierten Projektarbeit ist, dass man sich verhältnismässig sicher sein kann, dass der Verlag das Buch, das er ja in Auftrag gegeben hat, auch drucken wird. Viele Autoren fühlen sich unbehaglich dabei, etwas aus Eigenregie zu schreiben, ohne zu wissen, ob die Arbeit auch wirklich irgendwann aufgelegt und gelesen wird.
Doch ich empfehle eigentlich jedem, der genügend Eigeninitiative und Selbstdisziplin mitbringt, sein eigenes Konzept zu entwickeln und auch ohne Vertrag ein Buch auszuarbeiten. Mit Die Kunst des Penetration Testing habe ich nach der Fertigstellung von "Hacking Intern" im September 2002 angefangen. Ich rechnete mit rund 1'000 Buchseiten, wobei ich mich ab rund 600 geschriebenen A-Seiten (das sind etwa 750 Buchseiten) um einen Verlag bemühen sollte.
Das Schreiben von Büchern ist meines Achtens keine besondere Schwierigkeit. Eigentlich muss man lediglich ein gewisses Mass an Selbstdisziplin mitbringen und sich in der Ordnung von komplexen Themengebieten verstehen. Ich beginne bei grösseren Artikeln oder Büchern immer mit einem Konzept, in dem ich das Zielpublikum beschreibe, die Ausrichtung sowie die Detailtiefe des Buchs skizziere.
Danach nehme ich mir sehr viel Zeit - meist mehrere Wochen - das gesamte Inhaltsverzeichnis zu erarbeiten. Erwarte ich ein Buch mit 500 Seiten, so definiere ich 5 bis 10 Hauptkapitel. Diesen weise ich eine gleichmässige Anzahl Unterkapitel - meist 3 bis 5 - zu. Sodann lässt sich sehr einfach berechnen, wie lang ein Unterkapitel in etwa sein wird. In diesem Falls sind es rund 17 Buchseiten. Das ist ideal, hat man denn stets die Möglichkeit, die Informationen modular zu bündeln. Zudem lassen sich im abgesteckten Rahmen durchaus eine solide Anzahl an Details unterbringen.
Sobald das Inhaltsverzeichnis steht, muss man sich nur noch die Zeit nehmen, die jeweiligen Kapitel zu schreiben. Dabei rechne ich jeweils mit jeweils 8 Stunden für das Recherchieren, Schreiben, Layouten, Illustrieren und Korrigieren von 2 Buchseiten. Dies ist verhältnismässig lange, kann denn ein flinker Autor in der gleichen Zeit etwa 5-7 Buchseiten produzieren. Das sind dann etwa 800 Stunden, die man für die 500 Seiten braucht. In der Regel wird sowieso das Layouten, Illustrieren und Lektorieren des Manuskripts durch den Verlag übernommen.
Dabei muss ich anmerken, dass die Komplexität eines Fachbuchs ab 500 Seiten exponentiell ansteigt. In einem guten Fachbuch sollte durch eine intelligente Gliederung die Modularität beibehalten werden, wobei dem Leser durch das gesamte Buch ein roter Faden dargelegt werden will. Wohl in keinem Fachgebiet kommt man drum herum, auf schon besprochene oder erst in einem weiteren Kapitel weiter ausgeführten Diskussionen zu verweisen. Diesen Verweisen kann aber sehr schwierig zu folgen sein, weshalb man ab und an die gleichen Informationen wiederholen muss. Diese Redundanz sollte jedoch möglichst gering gehalten werden, um den Leser nicht mit den gleichen Diskussionen zu langweilen. Ein gutes Beispiel für ein Fachbuch, das diese Gratwanderung hervorragend gemeistert hat, ist TCP/IP Illustrated, Volume 1: The Protocols von W. Richard Stevens.
Eine eher chaotische Darlegung eines Sachverhalts zeigte Eldad Eilam in Reversing: Secrets of Reverse Engineering auf. Die Stärke dieses Buchs liegt jedoch viel eher in einer speziellen Form der Innovatität. Und zwar vermochte Eilam als erster, das hochkomplexe Thema des Reverse Engineerings halbwegs gescheit in einem umfangreichen Buch zusammenzufassen. Ein Buch kann also entweder durch Innovatität oder durch eine besondere Eleganz in der Darlegung altbekannter Sachverhalte brillieren. Die Kombination aus beidem wäre wünschenswert, lässt sich aber naturbedingt nicht durchsetzen.
Ein eigenständige Arbeiten führt den Vorteil mit sich, dass man sich nicht unmittelbar und ständig den Bedürfnissen des Verlags beugen muss. Es ist nämlich unbestritten, dass Verlag und Autor in der Regel diametral entgegengesetzte Anforderungen haben. Dem Verlag geht es in erster Linie darum, mit möglichst wenig Aufwand (Koordination mit dem Autor, Korrekturen des Manuskripts, Layouting des Buchs, Werbung für den Titel, etc.) möglichst viele Verkäufe und damit Einnahmen zusammentragen zu können.
Viele Autoren erarbeiten sich ein Buch jedoch eher darum, weil sie sich selbst verwirklichen, ihre eigenen Gedanken vortragen möchten. Das Geld spielt eine eher untergeordnete Rolle, wenigstens bei den ersten ein, zwei Büchern. So ist es dann auch gegeben, dass die Bezahlung gerade bei Neuautoren eher schlecht ist. Dabei gibt es eigentlich zwei Honorarmodelle. Einerseits gibt es Buchtitel, deren Erarbeitung zu einem Fixpreis abgekauft wird. Dies ist vorzugsweise bei Projektarbeiten der Fall. Bei einem Buch von etwa 500 Seiten kann man da mit etwa EUR 10'000 rechnen. Andererseits sprechen Verlage manchmal auch eine ergänzende oder alternative Gewinnbeteiligung aus. Diese beträgt zum Beispiel 10-15 % des Reingewinns. Pro Buch, das für rund EUR 100.- über den Ladentisch geht, verdient der Autor dann meist etwa EUR 2.- bis 5.-
Die Vertragsverhandlungen sind oft nicht einfach, versucht der Verlag natürlich mit allen Mitteln seine vermeintlich stärkere Position auszuspielen. Frei nach dem Motto: "Wenn Sie unseren eher schlechten als rechten Autorenvertrag nicht akzeptieren, wird Ihr Buch wohl niemals jemand drucken." Doch tatsächlich ist es so, dass Verläge sehr froh darüber sind, wenn sie einen guten Autoren zur Hand haben. Gut bedeutet hierbei nicht nur, dass er interessante und aktuelle Dinge schreiben kann. Ebenso sind Zuverlässigkeit und einfache Handhabung des Geschäftspartners (schliesslich verringern diese Aufwand und Kosten) erwünscht.
Auf was man sich beim Auflegen eines Fachbuchs nach Möglichkeiten nie einlassen sollte, sind eine bezahlte Zusammenarbeit mit Verlägen. Bevor ich mein erstes Buch herausgegeben habe, habe ich mit Dutzenden von Verlägen verhandelt. Einige davon wollten mein Manuskript, das sie noch gar nicht zu Gesicht bekommen hatten, nur drucken, wenn ich die Kosten bzw. einen Teil dieser übernehmen sollte. Meine Einstellung ist jedoch, dass man als solider Autor für seine Arbeit entlöhnt werden sollte und der Verlag zu einem grossen Teil dankbar sein kann, dass man gutes Material liefert.
Ist man denn nun um die vertragliche Bindung an einen Verlag bemüht, sollte man sich fragen, in welcher Art man das eigene Buch vermarktet sehen möchte. Einem jeden Verlag haftet ein Image an, das unweigerlich auf den Buchtitel reflektiert wird. Es ist ein gänzlicher Unterschied, ob man nun bei einem Verlag wie Franzis (sehr populistisch) auflegt oder doch lieber den Springer Verlag (eher wissenschaftlich) für sich gewinnt. Die Popularität und Grösse eines Vertrags deutet zwar auf ein grosses Werbebudget hin. Doch oftmals sind die grösseren Verlagshäuser aufgrund ihrer anonymen Maschinerie sehr wenig um die Bedürfnisse ihrer Autoren bemüht. In manchen Verlagshäusern spricht man dann nicht mehr von Lektoren, sondern von Projektleitern.
Die Auflage von Fachbüchern kann sehr stark variieren. Bei "Hacking Intern" wurde die Erstauflage mit 10'000 Stück definiert. Der Populismus des Verlags und des Titels sollte dafür sorgen, dass das Buch nach rund einem Jahr ausverkauft war. Im Gegensatz zielte "Die Kunst des Penetration Testing" auf professionelle Penetration Tester ab, von denen es im deutschsprachigen Raum vielleicht etwa 50 bis 75 Stück gibt. Die Erstauflage war entsprechend lediglich mit 2'500 veranschlagt. Da ich mit diesem Titel jedoch scheinbar ebenfalls eine Vielzahl an Administratoren und Entwickler begeistern konnte, mussten mehrere Nachdrucke in Auftrag gegeben werden. Die Grundregel besagt: Umso unpopulärer ein Thema ist, desto geringer ist die Anzahl Leser und mit ihnen die Anzahl der verkauften Bücher.
Mit "Die Kunst des Penetration Testing" wollte ich ein perfektes Buch liefern. Es sollte keine Mängel, keine Schwächen aufweisen. Um dem Risiko entgegenzuwirken, dennoch mit dem Endresultat nicht zufrieden zu sein, habe ich jedes Kapitel durch mehrere handverlesene Fachlektoren aus meinem Freundeskreis korrekturlesen lassen. Sie sollten mich auf fachliche, logische, sprachliche und grammatikalische Fehler hinweisen. Diesem Prozess ist genügend Zeit beizumessen, denn er kann sehr aufwendig sein. Doch es gilt stets im Hinterkopf zu behalten: Jeder Fehler, der einem Fachlektor vor dem Druck auffällt, bleibt dem Leser vorenthalten. Matthias Leu, Autor des bekannten CheckPoint-Buchs und langjähriger Freund, sagte jedoch einmal sinngemäss: "Und doch öffnet man das gedruckte Buch zum ersten Mal, um innert Sekunden einen bis dato nicht aufgefallenen Fehler zu finden." Damit muss man leben können.
Manche Verlage sehen kein Werbebudget vor. Sie gehen davon aus, dass der Autor mit eigenen Einlagen oder viel Arbeit (Mund-zu-Mund Propaganda) den eigenen Titel bekannt macht. So oder so ist man also als Autor im Vorteil, wenn man frühzeitig eine gewisse Leserschaft für sich gewinnen konnte. Dies zum Beispiel durch aktive Arbeit in Fachkreisen (z.B. Webforen) oder durch vorangegangene Fachpublikationen (z.B. Fachartikel). Grössere Verlage sind jedoch darum bemüht, ebenfalls das eigene Buch zu bewerben. Zum Beispiel als Erwähnung in anderen Buchtiteln, durch Werbung in Fachzeitschriften oder durch den Versand von Rezensionsexemplaren.
Ist das Buch dann endlich erschienen, vom Konzept bis zum Druck muss man mit mindestens einem Jahr intensivem Aufwand rechnen, werden früher oder später Kritiken zu diesem erscheinen. Es gibt zwei Möglichkeiten, wie man sich diesen stellen kann. So mancher Nobelpreisträger der Literatur mochte erzählen, dass er sich nie um die Kritiker geschert hat. Dies ist eine einfache und kostengünstige Lösung. Sie verhindert jedoch, dass man als Autor aus den Fehlern lernen und sich verbessern kann. Auch wenn es nicht immer einfach erscheint, sollte man sich die Kritik der Leserschaft aufmerksam anhören und versuchen die wichtigsten Punkte für weitere Arbeiten - eventuell gar in einer überarbeiteten Neuauflage - zu berücksichtigen. In diesem Sinne wünsche ich jedem angehenden Fachautor viel Glück und Spass!
|
|
