Vor gut 1,5 Jahren hat Miriam Wiesner, Senior Security Researcher bei Microsoft, der movisco AG ein sehr interessantes Interview im movisco Blog gegeben über ihren Werdegang – vom Lerncomputer im Kinderzimmer bis zu ihrem Traumjob bei Microsoft, noch eimal nachzulesen "Cross-over von movisco AG mit Miriam Wiesner, Microsoft Corporation – ein Interview". Gerade hat sie einen weiteren Meilenstein in ihrer Karriere erreicht und wir gratulieren ganz herzlich zur Veröffentlichung von Miriams erstem Fachbuch: „PowerShell Automation and Scripting for CyberSecurity: Hacking and Defense for Red and Blue Teamers“
Miriam Wiesner hat mit Jana Rapp von der movisco AG exklusiv gesprochen über den teilweise harten Weg von der Idee zur Veröffentlichung eines Fachbuchs und sie gibt einen guten Ratschlag, welchen Unternehmen sich unbedingt merken sollten, um ihre Systeme und Daten zu schützen…
Herzlichen Glückwunsch zu Deinem ersten, veröffentlichten Fachbuch „PowerShell Automation and Scripting for CyberSecurity: Hacking and Defense for Red and Blue Teamers“. Was ist das für ein Gefühl, sein literarisches „Baby“ zum ersten Mal in den Händen zu halten?
Dankeschön! Ehrlich gesagt warte ich aktuell noch darauf, mein Buch endlich in den Händen zu halten *lacht*. Während alle Vorbesteller ihre Ausgaben schon erhalten haben, warte ich noch darauf, endlich meine Ausgabe geliefert zu bekommen. Ich bin ein bisschen neidisch.
Aber es fühlt sich unglaublich gut an, dass das Buchprojekt endlich abgeschlossen ist. So viel Arbeit, so viele Wochenenden und Abende, die in das Buch geflossen sind und auf einmal war dann alles fertig. Ich habe schon gescherzt, dass ich nun nicht weiß, was ich mit der ganzen freien Zeit anfangen soll, jetzt, da das Buch fertig ist. Aber ich bin mir sicher, dass ich die Zeit gut nutzen werde.
Du hast uns zu Beginn Deiner Schreibtätigkeit in unserem letzten Interview erzählt, dass ein Fachverlag auf Dich zugekommen ist mit der Anfrage, gemeinsam ein Fachbuch zu veröffentlichen. Wie können wir uns die Entstehung eines Buches vorstellen? Wurde Dir das Thema vorgegeben oder hast Du das Thema gemeinsam mit dem Verlag erarbeitet?
Ja genau. Irgendwann in 2020 wurde ich von meinem Verlag, Packt, gefragt ob ich nicht ein Buch über PowerShell Security für sie schreiben möchte. Ich selbst war in der Vergangenheit sehr aktiv in der PowerShell Community und habe auch schon mehrere Vorträge zum Thema PowerShell Security auf den verschiedensten Konferenzen gehalten. Ich vermute, dass das der ausschlaggebende Punkt war, wodurch der Verlag dann auch auf mich aufmerksam wurde. Also ja, das Thema war vorgegeben. Ich habe vom Verlag eine kurze Outline erhalten, die beschrieb, welche Themen das Buch in etwa enthalten soll.
Und ehrlich gesagt dachte ich am Anfang nicht, dass ich wirklich die richtige Person bin, um dieses Buch zu schreiben; ich hatte großen Respekt davor. Aber je mehr ich über das Buch nachgedacht habe, umso klarer wurde mir, dass ich den Großteil der angefragten Themen ja bereits beherrsche und in der Vergangenheit auch schon einiges an Erfahrung sammeln konnte. Und dann habe ich für das Buchprojekt zugesagt.
Nachdem das Vertragliche geklärt war, musste ich auch schon direkt anfangen, ein Inhaltsverzeichnis zu erstellen. Das war für mich das Schwerste: ein Inhaltsverzeichnis - inklusive Sub-Unterschriften aller Kapitel - zu erstellen und sich dann auch noch daran zu halten. Ein bisschen flexibel musste der Verlag dann aber doch mit mir als Erst-Autorin sein: ich habe mein ursprünglich geplantes Inhaltsverzeichnis um zwei weitere Kapitel ergänzt und hätte sogar am Liebsten noch ein drittes Zusatz-Kapitel hinzugefügt *lacht*. Aber irgendwo muss man leider einen Cut machen – es gibt so viele interessante und spannende Themen, über die man schreiben kann und das Buch ist schon deutlich umfangreicher geworden als ursprünglich geplant.
Dann beginnt der Schreibprozess. Zuerst muss für jedes Kapitel ein „First Draft“, also ein erster Entwurf, erstellt werden. Zu diesem bekam ich Feedback von meinem "Senior Editor“ – zum Beispiel, ob die vorgegeben Formate eingehalten wurden, ob etwas unklar ist oder irgendwo noch Inhalt fehlt, den ich eigentlich eingeplant, aber übersehen hatte. Daraus wird ein „Final Draft“, also der finale Entwurf erarbeitet.
Sobald der Final Draft bereit ist, wird dieser an die technischen Reviewer gesendet. Ich durfte im Vorfeld meine technischen Reviewer selbst aussuchen. So habe ich die besten technischen Reviewer gefunden, die ich mir vorstellen kann. Nachdem das Feedback der technischen Reviewer eingearbeitet ist, geht es weiter an die „Copy Editors“. Das sind Reviewer ohne technischen Hintergrund, die auf Rechtschreibfehler und Grammatik prüfen und auch Feedback geben, ob etwas unverständlich ausgedrückt wurde.
Ist das Feedback der Copy Editors eingearbeitet, wird das Kapitel nochmal überarbeitet, dass es im Print-Format gut aussieht. Alle überarbeiteten Kapitel („Pre-Finals“) bekam ich dann nochmal zur finalen Ansicht. In diesem Schritt konnte ich dann nochmal kleine, finale Änderungswünsche übermitteln, bevor das Kapitel finalisiert wurde.
Hast Du einen Schreibprozess bzw. eine Strategie entwickelt, um die Entstehung des Buches voranzutreiben? Man setzt sich ja nicht täglich an den Schreibtisch und die Ideen sprudeln direkt…
Ich habe meine Strategie im Laufe des Buches mehrmals überarbeitet und neu überdacht. Der Verlag gab mir Deadlines für die verschiedenen Kapitel vor: Es gibt eine Deadline für den „First Draft“, also den ersten Entwurf, sowie eine Deadline für den „Final Draft“, also den endgültigen Entwurf, bevor Editoren und technische Reviewer auf die Kapitel losgelassen werden. Anfangs war ich sehr perfektionistisch mit meinem ersten Entwurf. So perfektionistisch, dass ich Probleme mit den Deadlines bekommen habe und der erste Entwurf fast schon der „Final Draft“ war. Also habe ich irgendwann angefangen, den ersten Entwurf auch als solchen zu behandeln. Wenn ein Abschnitt noch nicht ganz fertig war oder mir noch nicht zu 100% gefallen hat, habe ich das Kapitel trotzdem als ersten Entwurf abgegeben und den Rest bis zum Final Draft eingearbeitet. Dadurch kam ich dann viel besser mit den Deadlines klar und es schreibt sich auch wesentlich einfacher, wenn man schon Content und Struktur im Kapitel hat. Und der Verlag war natürlich auch glücklich, den ersten Kapitelentwurf frühzeitig zu erhalten.
Und nein, es war nicht einfach, sich jeden Abend und jedes Wochenende an das Buch zu setzen, das hat viel Überwindung gekostet.
Du hast Dein Buch in unserem letzten Gespräch als „Mammutprojekt“ bezeichnet. Ich erinnere mich, dass Thomas Arnsberg und Stefan Bachinger von der movisco AG 2022 ein Kapitel zu „NEUE BAIT – Neuerungen aufsichtskonform umsetzen: Erhebliche Änderungen in den Prozessen mit IT-Bezug erkennen und BAIT-konform anpassen„ beigesteuert haben, welches auch ein zeitintensives Vorhaben, aber eben nur ein Kapitel Arbeit war. Wie viele Stunden hast Du summa summarum in Dein Großprojekt investiert – von der ersten Idee bis zur Veröffentlichung?
Uff, ehrlich gesagt keine Ahnung wie viele Stunden das waren. 2020 habe ich begonnen mit der Planung – also mit der der Struktur des Buches und der Erstellung des Inhaltsverzeichnisses. 2021 habe ich mit dem Schreiben angefangen. Zwischendurch musste ich dann allerdings auch ein paar Monate mit dem Schreiben pausieren, da ich 2022 Mutter eines wundervollen, kleinen Sohns geworden bin. Am 26. Juli habe ich dann das letzte reviewte Kapitel um 23:43 Uhr hochgeladen und konnte endlich einen großen Haken hinter mein Buchprojekt setzen. Wie viele Stunden ich genau an dem Buch verbracht habe, weiß ich nicht. Es waren eher Monate – selbst wenn man nur die Abende und Wochenenden zählt.
Das ist beeindruckend!
Kannst Du für die Leser, die sich weniger mit CyberSecurity auskennen, zusammenfassen, worum es in Deinem Buch geht? Und was können CyberSecurity Experten aus den Inhalten des Fachbuchs noch von Dir lernen?
Fast jeder hatte schon mal mit Cyberangriffen zu tun – egal, ob der Onkel sich eine Ransomware eingefangen hat oder indem man selbst schon öfters E-Mails von einem nigerianischen Prinzen erhalten hat, der einem nun sein gesamtes Vermögen vererben möchte *zwinkert*. Und jeder kann betroffen sein – egal ob Laie oder Profi. Heutzutage gilt nicht mehr die Frage, ob man gehackt wird, sondern wann. Das einzige, was man tun kann, ist es den Angreifern so schwer wie möglich zu machen, um eventuell den Return of Invest (ROI) zu zerstören und dafür zu sorgen, dass sich ein Angriff für finanziell motivierte Angreifer nicht lohnt.
PowerShell ist auf jedem modernen Windows Computer vorinstalliert. Dies haben sich natürlich auch einige Angreifer zu Nutzen gemacht. Allerdings hat PowerShell so einige Vorteile, die die Arbeit der Verteidiger, den „Blue Teamern“, einfacher macht. Wenn man an den richtigen Schrauben dreht, ist PowerShell ein mächtiges Instrument im Kampf gegen Cyberangriffe gegen das eigene Unternehmen.
Aber auch „Red Teamer“ (offensive Security Professionals) profitieren von tiefen PowerShell Kenntnissen – um Schwachstellen im eigenen Unternehmen zu finden und zu beheben, bevor ein Cyberkrimineller diese ausnutzen kann.
Mit diesem Buch möchte ich beide Seiten beleuchten und sowohl Red als auch Blue Teamern helfen, ihr Unternehmen besser zu schützen von einer PowerShell Security Perspektive. Dabei dreht es sich nicht nur ausschließlich um PowerShell, sondern auch um relevante Nachbar-Technologien, wie zum Beispiel Active Directory, Entra ID/Azure AD und deren Authentifizierungsprotokolle. Wusstest Du, dass es möglich ist, mit PowerShell C# Code auszuführen oder sogar PowerShell auszuführen, ohne die ausführbare powershell.exe Datei zu benutzen? Wie das geht, wie Unternehmen sich schützen können, sowie weitere Themen, erfahrt Ihr in meinem Buch.
Die Entstehung eines Buches besteht aus Höhen und Tiefen. Welchen Tipp hast Du gegen eine Schreibblockade oder einfach auch nur, um den „inneren Schweinehund“ zu überwinden?
Die Pomodoro Technik hat mir extrem geholfen: Man arbeitet 25 Minuten konzentriert und ohne Ablenkung an einem Projekt und gönnt sich dann 5 Minuten Pause, in denen man machen kann, was man möchte. Das hilft extrem gegen das Prokrastinieren. Und es hilft natürlich auch, wenn Familie und Freunde einen motivieren, sich immer wieder aufzuraffen.
Das Ethical Hacking ist ein sehr spannendes Feld. Kannst Du uns Deinen exklusiven Geheimtipp aus dieser Sparte verraten? Wie können Unternehmen es Hackern – auch Ethical Hackern – schwer machen, in ihre Systeme einzudringen?
Einen Geheimtipp an sich gibt es leider nicht. Wie gesagt, es ist nicht die Frage, ob man gehackt wird, sondern wann. Man kann es den Angreifern nur so schwer wie möglich machen. Insgesamt ist die „Protect, Detect, Respond“ Strategie sehr zu empfehlen. Einerseits soll man seine Systeme so gut wie möglich härten und vielen Verteidigungsmechanismen einbauen (Protect). Diesen Punkt setzen die meisten Unternehmen oft recht gut um. Allerdings haben die wenigsten Unternehmen eine gute Strategie, um Angriffe auch zu erkennen (Detect) und darauf zu reagieren (Respond). Hier lohnt es sich zu investieren und sicher zu stellen, dass das Unternehmen auch angemessen auf Cyberangriffe reagieren kann, sollte es so weit kommen...
Liebe Miriam, vielen Dank für dieses Interview zu einem sehr spannenden Thema! Miriams Buch „PowerShell Automation and Scripting for CyberSecurity: Hacking and Defense for Red and Blue Teamers“ gibt es seit dem 16.08.2023 als Taschenbuch oder als Kindle-Ausgabe hier zu kaufen – oder natürlich auch bestellbar über Eure Buchhandlung vor Ort.
Lasst Euch nichts Neues mehr entgehen: Miriam Wiesner gibt es nicht nur im movisco-Blog, sondern auch auf X/Twitter, Mastodon und auf Linkedin.
Mehr interessante Veröffentlichungen, Informationen und Autoren vom Packt Verlag findet ihr auf X/Twitter Packt Publishing (@PacktPublishing) / X (twitter.com), Packt Authors (@PacktAuthors) / X (twitter.com) sowie auf LinkedIn Packt SecPro: Overview | LinkedIn und Packt: My Company | LinkedIn
Wir freuen uns über Ihre direkte Kontaktaufnahme!