A Mediated Definite Delegation Model allowing for Certified Grid Job Submission

Grid computing infrastructures need to provide traceability and accounting of their users" activity and protection against misuse and privilege escalation. A central aspect of multi-user Grid job environments is the necessary delegation of privileges in the course of a job submission. With respect to these generic requirements this document describes an improved handling of multi-user Grid jobs in the ALICE ("A Large Ion Collider Experiment") Grid Services. A security analysis of the ALICE Grid job model is presented with derived security objectives, followed by a discussion of existing approaches of unrestricted delegation based on X.509 proxy certificates and the Grid middleware gLExec. Unrestricted delegation has severe security consequences and limitations, most importantly allowing for identity theft and forgery of delegated assignments. These limitations are discussed and formulated, both in general and with respect to an adoption in line with multi-user Grid jobs. Based on the architecture of the ALICE Grid Services, a new general model of mediated definite delegation is developed and formulated, allowing a broker to assign context-sensitive user privileges to agents. The model provides strong accountability and long- term traceability. A prototype implementation allowing for certified Grid jobs is presented including a potential interaction with gLExec. The achieved improvements regarding system security, malicious job exploitation, identity protection, and accountability are emphasized, followed by a discussion of non- repudiation in the face of malicious Grid jobs

Preoperative information for ICU patients to reduce anxiety during and after the ICU-stay: protocol of a randomized controlled trial [NCT00151554]

BACKGROUND: According to current evidence and psychological theorizing proper information giving seems to be a promising way to reduce patient anxiety. In the case of surgical patients, admission to the intensive care unit (ICU) is strongly associated with uncertainty, unpredictability and anxiety for the patient. Thus, ICU specific information could have a high clinical impact. This study investigates the potential benefits of a specifically designed ICU-related information program for patients who undergo elective cardiac, abdominal or thoracic surgery and are scheduled for ICU stay. METHODS/DESIGN: The trial is designed as a prospective randomized controlled trial including an intervention and a control group. The control group receives the standard preparation currently conducted by surgeons and anesthetists. The intervention group additionally receives a standardized information program with specific procedural, sensory and coping information about the ICU. A measurable clinical relevant difference regarding anxiety will be expected after discharge from ICU. Power calculation (α = 0.05; β = 0.20; Δ = 8.50 score points) resulted in a required sample size of N = 120 cardiac surgical patients (n = 60 vs. n = 60). Furthermore, N = 20 abdominal or thoracic surgical patients will be recruited (n = 10 vs. n = 10) to gain insight to a possible generalization to other patient groups. Additionally the moderating effect of specific patient attributes (need for cognition, high trait anxiety) will be investigated to identify certain patient groups which benefit most. DISCUSSION: The proposed study promises to strengthen evidence on effects of a specific, concise information program that addresses the information needs of patients scheduled for ICU stay

Infektionsquellensuche bei ambulant erworbenen Fällen von Legionärskrankheit

Bei den meisten Fällen von ambulant erworbener Legionärskrankheit (AE-LK) gelingt es auch in inter¬nationalen Studien nicht, die verantwortliche Infek¬tionsquelle nachzuweisen. Ein Ziel der Berliner LeTriWa-Studie („Legionellen in der Trinkwasser-Installation“) war es, herauszufinden, bei wie vielen Fällen evidenzbasiert eine Infektionsquelle identifi¬ziert werden kann. Dazu wurden im Zeitraum 2016 bis 2020 Fälle von AE-LK und Kontrollpersonen rekrutiert, Urin- und tiefe Atemwegsproben untersucht und Befragungen zu potenziellen Expositionen durchgeführt. Zudem wurden verschiedene häusliche und außerhäusliche Infektionsquellen beprobt. Die Zuordnung der potenziellen Infektionsquelle erfolgte mittels einer eigens entwickelten Evidenz-Matrix. Im vorliegenden Teil 1 des Berichts werden zunächst die Hintergründe, Ziele und Methoden der LeTriWa-Studie vorgestellt.Peer Reviewe

Infektionsquellensuche bei ambulant erworbenen Fällen von Legionärskrankheit – Ergebnisse der LeTriWa-Studie; Berlin, 2016 – 2020 – Teil 2 (Ergebnisse und Diskussion)

Im Rahmen der Berliner LeTriWa-Studie („Legionellen in der Trinkwasser-Installation“) versuchten wir, ambulant erworbene Fälle von Legionärskrankheit (AE-LK) evidenzbasiert einer Infektionsquelle zuzuordnen. Dafür wurde eine eigens entwickelte Evidenz-Matrix genutzt, mit der die Fälle anhand von drei Evidenztypen (mikrobiologische Evidenz, Cluster-Evidenz und analytisch-vergleichende Evidenz) entweder einer externen Infektionsquelle, einer häuslichen Nicht-Trinkwasserquelle (hNTWQuelle) oder häuslichem Trinkwasser (hTW) zugeordnet werden konnten. Wir rekrutierten 147 Studienteilnehmende (LeTriWa-Fälle) sowie 217 Kontrollpersonen als Vergleichsgruppe. Bei 84 LeTriWa- Fällen konnte aus den Patientenproben der monoklonale Antikörpertyp (MAb) identifiziert werden, bei 83 (99 %) ein MAb 3/1-positiver Stamm und bei einem Fall ein MAb 3/1-negativer Stamm. Im Vergleich zu den Kontrollpersonen war der Fallstatus (infiziert vs. nicht infiziert) nicht mit einer höheren Legionellenkonzentration in den Standard-Haushaltswasserproben assoziiert, die bei Fällen und Kontrollen in gleicher Weise genommen worden waren. Wir fanden jedoch eine hochsignifikante Assoziation mit dem Vorhandensein eines MAb 3/1-positiven Stammes in den Standard-Haushaltsproben. Wir konnten etwa für die Hälfte der LeTriWa-Fälle evidenzbasiert eine wahrscheinliche Quelle zuordnen, und zwar 23 (16 %) einer externen Infektionsquelle, 9 (6 %) einer hNTW-Quelle und 40 (27 %) dem hTW.Peer Reviewe

Infektionsquellensuche bei ambulant erworbenen Fällen von Legionärskrankheit – Ergebnisse der LeTriWa-Studie; Berlin, 2016–2020

Hintergrund/Zielsetzung: Bei ambulant erworbenen Fällen von Legionärskrankheit (AE-LK) ist die Infektionsquelle meistens unbekannt. Es wird vermutet, dass mit Legionellen kontaminiertes häusliches Trinkwasser eine häufige Ursache ist. Um hierzu mehr Evidenz zu generieren, kooperierten das Robert Koch-Institut (RKI), das Umweltbundesamt (UBA) und das Konsiliarlabor (KL) für Legionellen in einer vom Bundesministerium für Gesundheit geförderten Studie zum Thema „Legionellen in der Trinkwasser-Installation“ (LeTriWa-Studie). Eines der Teilprojekte hatte zum Ziel, in Zusammenarbeit und enger Abstimmung mit den Berliner Gesundheitsämtern und Krankenhäusern herauszufinden, bei wie vielen Fällen von AE-LK evidenzbasiert eine Infektionsquelle identifiziert werden kann. Methodik: Bei allen Berliner Meldefällen von Legionärskrankheit wurde zeitnah die Abnahme einer zusätzlichen Urin- und tiefen Atemwegsprobe initiiert, welche an das KL geschickt wurden. In die Studie einwilligende Patientinnen und Patienten wurden mittels eines ausführlichen Fragebogens befragt, u. a. um potenzielle Infektionsquellen zu eruieren. Aus dem Haushalt der Erkrankten und bei in Frage kommenden externen, außerhäuslichen Infektionsquellen wurden Wasserproben genommen. Für eine Risikobewertung der häuslichen Trinkwasser-Installation (TWI) wurde die Durchführung einer weitergehenden Untersuchung im Rahmen einer Gefährdungsanalyse initiiert. Alle Umweltproben wurden im Labor des UBA auf Legionellen untersucht. Die Isolate wurden im KL typisiert und – soweit verfügbar – mit dem bei der Fallperson identifizierten Stamm abgeglichen. Die erhobenen Befunde wurden für die Zuordnung einer Infektionsquelle mit Hilfe einer im Rahmen des Projekts entwickelten Evidenz-Matrix nach mikrobiologischen und epidemiologischen Gesichtspunkten bewertet. Anhand von drei Evidenztypen (mikrobiologische, Cluster- und analytisch-vergleichende Evidenz) konnten wir die Studienteilnehmenden entweder einer externen Infektionsquelle außerhalb des häuslichen Bereichs, eine nicht an das häusliche Trinkwasser angeschlossene Infektionsquelle im häuslichen Bereich (z. B. Luftbefeuchter) oder dem häuslichen Trinkwasser zuordnen. Eine Wasserquelle wurde über mikrobiologische Evidenz einem Fall zugeordnet, wenn sie (i) einen Stamm enthielt, der dem monoklonalen Antikörper(MAb-)typ 3/1 angehört und zu den MAb 3/1-positiven Stämmen zählt und es keinen Widerspruch im Abgleich des Patienten- und Umweltstamms (bzgl. MAb-Typ/-Subtyp oder Sequenztyp (ST)) gab, oder (ii) wenn der Stamm der erkrankten Person mit dem Umweltstamm mindestens auf MAb-Typ-Ebene übereinstimmte. Eine Quelle wurde anhand von Cluster-Evidenz einem Fall zugeordnet, wenn mindestens zwei Fälle zur selben potenziellen Quelle innerhalb von zwei Jahren exponiert waren. Wir verglichen zudem statistisch die Häufigkeit der Exposition gegenüber einer möglichen Infektionsquelle von Fällen und Kontrollen (analytisch-vergleichende Evidenz). Für jeden Studienteilnehmenden strebten wir an, zwei Kontrollpersonen zu rekrutieren, die ebenfalls befragt wurden und bei denen in gleicher Weise Standard-Haushaltsproben wie bei den Fallpersonen genommen wurden. Zudem wurde versucht, vom Betreiber der TWI eine Erlaubnis für eine kostenfreie Gefährdungsanalyse, einschließlich einer weitergehenden Untersuchung, zu erhalten. Ergebnisse: Insgesamt konnten wir 147 Studienteilnehmende (LeTriWa-Fälle) einschließen und 217 Kontrollpersonen rekrutieren. Die LeTriWa-Fälle waren im Median 68 Jahre alt (Spannweite 25–93), 3 und mehrheitlich männlich (n = 96; 65 %). Bei 84 LeTriWa-Fällen konnte aus den Patientenproben der MAb-Typ identifiziert werden, bei 83 (99 %) ein MAb 3/1-positiver Stamm und bei einem ein MAb 3/1-negativer Stamm. Im Vergleich zu den Kontrollpersonen (nicht infiziert) war der Fallstatus (infiziert) nicht mit einer höheren Legionellenkonzentration in den Standard-Haushaltsproben assoziiert, jedoch hochsignifikant mit dem Vorhandensein eines MAb 3/1-positiven Stammes (Odds Ratio (OR) = 4,5; 95 %-Konfidenzintervall (KI) = 2,0–10,8; p < 0,001). Bei 23 (16 %) der 147 LeTriWa-Fälle konnte eine externe, außerhäusliche Quelle und bei 40 (27 %) Fällen das häusliche Trinkwasser als wahrscheinliche Infektionsquelle zugeordnet werden. Das Tragen einer unzureichend desinfizierten Zahnprothese war die einzige häusliche Nicht-Trinkwasserquelle, die signifikant mit dem Fallstatus assoziiert war (OR = 2,3; 95 % KI = 1,04–5,24; p = 0,04) und ermöglichte eine Quellen-Zuordnung von weiteren 6 % der Fälle. Mit insgesamt 49 % konnten wir etwa die Hälfte der LeTriWa-Fälle einer wahrscheinlichen Infektionsquelle auf Evidenz-Basis zuordnen. Schlussfolgerungen: Wir konnten unter Verwendung eines neuartigen Matrix-Konzepts in Berlin der Hälfte der LeTriWa-Fälle eine wahrscheinliche Infektionsquelle zuordnen. Die Ergebnisse unterstützen die Bedeutung von häuslichem Trinkwasser als Ursache für AE-LK. Etwa die Hälfte aller Studienfälle blieben allerdings unerklärt. Die Ergebnisse der Standard-Haushaltproben legen nahe, dass nicht die Kontamination mit jeglichen Legionellen oder die Höhe der Legionellenkonzentration die Personen gefährdet, sondern vielmehr der Legionellenstamm, insbesondere das Vorhandensein von MAb 3/1-positiven Stämmen. Weitere Untersuchungen und/oder Analysen sind erforderlich, um zu verstehen, welche Faktoren zur Kontamination von häuslichem Trinkwasser mit pathogenen Legionellen beitragen und welche Faktoren eine Infektion zu verhindern helfen

A Security Architecture for e-Science Grid Computing

E-Science Grid infrastructures are established on the collaboration of multiple and possibly otherwise independent and globally distributed organizations connected via the Internet. Thereby instantiated e-Science Grids provide the researchers of these globally distributed organizations with unified access to large-scale computing and storage services, including the access to large-scale scientific data as such. It is part of their purpose that e-Science Grids allow collaborating researchers to introduce their own data and program code in the course of their work. Beyond, via submission of Grid jobs any program code can be executed as detached computational operation within the distributed computing infrastructure. This openness of allowed introduction and usage of data and program code poses a substantial security threat. The delegation of privileges in the course of Grid jobs submissions in combination with the users’ allowance to introduce and utilize a priori untrusted program code and data is however a widely identified security challenge. The main contribution of this thesis is to propose a new framework for delegation and an according Grid security architecture in response to this challenge. Following a discussion of the goals and requirements of e-Science Grids in general, and an overview and comparison of existing and in-use e-Science Grid architectures in particular, this thesis will analyze security aspects applying to such e-Science Grid infrastructures. The thereof derived and defined security objectives concern data integrity and authenticity, system integrity, availability, non-repudiation of Grid job submission and processing as well as confidentiality and data privacy. Looking at the case of an established e-Science Grid framework, vulnerabilities and security implications of existing distributed e-Science Grids will be examined. Furthermore the widely adopted unrestricted delegation based on X.509 proxy certificates will be assessed, revealing fundamental deficiencies concerning the unverifiable correlation of assignment and delegation of privileges, which facilitates potential misuse of privileges and digital identities. In order to address these issues, this thesis will introduce “mediated definite delegation” as a new framework for delegation. The framework utilizes public-key signatures and affords verifiable integrity and authenticity of Grid data and jobs as well as transparent, dynamic and least-privileged delegation of Grid jobs via one or more brokers to an agent. Its delegation mechanism provides protection against misuse of the delegating user’s identity as well as against unnoticed alteration of the requested actions. Finally, an e-Science Grid security architecture established on this framework will be presented and specified, which is able satisfy the defined security objectives. As a proof of concept, a prototype implementation of this e-Science Grid security architecture will be presented, including a test-based evaluation of its performance

A Security Architecture for e-Science Grid Computing

E-Science Grid infrastructures are established on the collaboration of multiple and possibly otherwise independent and globally distributed organizations connected via the Internet. Thereby instantiated e-Science Grids provide the researchers of these globally distributed organizations with unified access to large-scale computing and storage services, including the access to large-scale scientific data as such. It is part of their purpose that e-Science Grids allow collaborating researchers to introduce their own data and program code in the course of their work. Beyond, via submission of Grid jobs any program code can be executed as detached computational operation within the distributed computing infrastructure. This openness of allowed introduction and usage of data and program code poses a substantial security threat. The delegation of privileges in the course of Grid jobs submissions in combination with the users’ allowance to introduce and utilize a priori untrusted program code and data is however a widely identified security challenge. The main contribution of this thesis is to propose a new framework for delegation and an according Grid security architecture in response to this challenge. Following a discussion of the goals and requirements of e-Science Grids in general, and an overview and comparison of existing and in-use e-Science Grid architectures in particular, this thesis will analyze security aspects applying to such e-Science Grid infrastructures. The thereof derived and defined security objectives concern data integrity and authenticity, system integrity, availability, non-repudiation of Grid job submission and processing as well as confidentiality and data privacy. Looking at the case of an established e-Science Grid framework, vulnerabilities and security implications of existing distributed e-Science Grids will be examined. Furthermore the widely adopted unrestricted delegation based on X.509 proxy certificates will be assessed, revealing fundamental deficiencies concerning the unverifiable correlation of assignment and delegation of privileges, which facilitates potential misuse of privileges and digital identities. In order to address these issues, this thesis will introduce “mediated definite delegation” as a new framework for delegation. The framework utilizes public-key signatures and affords verifiable integrity and authenticity of Grid data and jobs as well as transparent, dynamic and least-privileged delegation of Grid jobs via one or more brokers to an agent. Its delegation mechanism provides protection against misuse of the delegating user’s identity as well as against unnoticed alteration of the requested actions. Finally, an e-Science Grid security architecture established on this framework will be presented and specified, which is able satisfy the defined security objectives. As a proof of concept, a prototype implementation of this e-Science Grid security architecture will be presented, including a test-based evaluation of its performance

The Impact of Linux Superuser Privileges on System and Data Security within a Cloud Computing Storage Architecture

The thesis was developed in cooperation with a company under a nondisclosure agreement. This document is public, all company and product informations were pseudonymized and it has been edited for content. Supervisor and Examiner