Incident-Reporting-Systeme als Möglichkeit zum organisationalem Lernen (nicht nur) aus Fehlern und kritischen Ereignissen

Die vorliegende Dissertation betrachtet institutionsinterne lokale (Critical-)Incident-Reporting-Systeme ((C)IRS) als eine Möglichkeit zum Lernen aus Fehlern und unerwünschten kritischen Ereignissen (sogenannte Incidents) im Krankenhaus. Die Notwendigkeit aus Incidents zu lernen, wird im Gesundheitswesen bereits seit den 1990er Jahren verstärkt diskutiert. Insbesondere risikoreichen Organisationen, in denen Incidents fatale Konsequenzen haben können, sollten umfassende Strategien erarbeiten, die sie vor Fehlern und unerwünschten Ereignissen schützen und diese als Lernpotenzial nutzen können. Dabei können lokale IRS als ein zentraler Bestandteil des Risikomanagements und freiwillige Dokumentationssysteme im Krankenhaus ein Teil dieser Strategie sein. Sie können eine Ausgangslage für die systematische Erfassung und Auswertung von individuellen Lerngelegenheiten und den Transfer zurück in die Organisation schaffen. Hierfür sind eine lernförderliche Gestaltung, Implementierung und Einbettung lokaler IRS eine wichtige Voraussetzung. Untersuchungen über geeignete lerntheoretisch fundierte und wirkungsvolle IRS-Modelle und empirische Daten fehlen bisher im deutschsprachigen Raum. Einen entsprechenden Beitrag leistet die vorliegende Fallstudie in einem Schweizer Universitätsspital (800 Betten, 6.100 Mitarbeitende). Zu diesem Zweck wurde zuerst ein Anforderungsprofil an lernförderliche IRS aus der Literatur abgeleitet. Dieses berücksichtigt zum einen literaturbasierte Kriterien für die Gestaltung und Nutzung aus der IRS-Literatur, zum anderen die aus der Erziehungswissenschaft und Arbeitspsychologie entlehnten Gestaltungsbedingungen und Erfolgskriterien an organisationales Lernen. Das Anforderungsprofil wurde in drei empirischen Teilstudien validiert und entsprechend adaptiert. In der ersten empirischen Teilstudie erfolgte eine Standortbestimmung der lokalen IRS. Die Erhebung erfolgte in vier Kliniken mittels Dokumentenanalyse, leitfadengestützter Interviews (N=18), sieben strukturierter Gruppendiskussionen und teilnehmender Beobachtungen über einen Zeitraum von 22 Monaten. Erfolgskritische IRS-Merkmale wurden identifiziert mit dem Ziel einer praxisgerechten lernförderlichen Systemgestaltung und Umsetzung von Incident Reporting unter Betrachtung von organisationalen Rahmenbedingungen, Lernpotenzialen und Barrieren. Die zweite Teilstudie untersuchte zwei Fallbeispiele organisationalen Lernens mittels Prozessbegleitung, welche zu einem verwechslungssicheren Design bei einem Medizinalprodukt und einer verbesserten Patientenidentifikation in Zusammenhang mit Blutentnahmen führten. Für das organisationale Lernen im Spital wurden dabei Chancen, Barrieren und Gestaltungsansätze abgeleitet, wie erwünschte Veränderungen und Lernen unter Nutzung von IRS initiiert werden können und dabei ein besseres Gesundheitsresultat erreicht werden kann. Die dritte Teilstudie überprüfte, inwiefern die Nutzung und Implementierung lokaler IRS mittels einer Mitarbeitervollbefragung zur Sicherheitskultur gefördert werden kann. Hierfür wurde eine positive Interaktion, zwischen einer starken Sicherheitskultur und der Bereitschaft ein IRS zu implementieren und Incidents zu berichten, angenommen. Zum Einsatz kam eine deutschsprachige Version des Hospital Survey on Patient Safety Culture (Patientensicherheitsklimainventar) mit einem Rücklauf von 46.8% (2.897 gültige Fragebogen). In 23 von 37 Kliniken führte laut einer Nachbefragung die Sicherheitskulturbefragung zum Implementierungsentscheid. Dies konnte durch Monitoring der IRS-Nutzung bestätigt werden. Erstmals liegen mit diesen Studien empirische Daten für eine wirkungsvolle und lernförderliche Gestaltung und Umsetzung von lokalen IRS am Beispiel einer Schweizer Gesundheitsorganisation vor. Die Ergebnisse der Arbeit zeigen Chancen und Barrieren für IRS als Berichts- und Lernsysteme im Krankenhaus auf. Als Resultat unsachgemäss gestalteter und implementierter IRS konnte dabei vor allem Lernverhinderung infolge IRS aufgezeigt werden. Blinder Aktionismus und eine fehlende Priorisierung von Patientensicherheit, unzureichende Kompetenzen, Qualifikationen und Ressourcen führten dabei zur Schaffung neuer Fehlerquellen mit einer Verstärkung des Lernens erster Ordnung. Eine lernförderliche Gestaltung und Unterhaltung der lokalen IRS, eingebettet in eine klinikumsweite Qualitäts- und Patientensicherheitsstrategie, erwiesen sich hingegen als wirkungsvoll im Sinne eines organisationalen Lernens und eines kontinuierlichen Verbesserungsprozesses. Patientensicherheitskulturbefragungen erwiesen sich zudem bei entsprechender Einbettung als effektives Instrument, um die Implementierung von IRS zu fördern. Zwölf Thesen zeigen in verdichteter Form auf, welche Gestaltungsprinzipien für IRS als Instrument des organisationalen Lernens im Rahmen des klinischen Risikomanagements und zur Förderung einer starken Patientensicherheitskultur zu berücksichtigen sind. Die Erkenntnisse aus den empirischen Studien münden in ein dialogorientiertes Rahmenmodell organisationalen Lernens unter Nutzung lokaler IRS. Die Arbeit zeigt damit zum einen Möglichkeiten für ein Lernen auf den verschiedenen Ebenen der Organisation auf und weist auf die Notwendigkeit einer (Re-)Strukturierung der aktuellen IRS-Diskussion hin.

Capturing Emergent Semantics from Social Annotation Systems

The ongoing growth of the World Wide Web, catalyzed by the increasing possibility of ubiquitous access via a variety of devices, continues to strengthen its role as our prevalent information and commmunication medium. However, although tools like search engines facilitate retrieval, the task of finally making sense of Web content is still often left to human interpretation. The vision of supporting both humans and machines in such knowledge-based activities led to the development of different systems which allow to structure Web resources by metadata annotations. Interestingly, two major approaches which gained a considerable amount of attention are addressing the problem from nearly opposite directions: On the one hand, the idea of the Semantic Web suggests to formalize the knowledge within a particular domain by means of the "top-down" approach of defining ontologies. On the other hand, Social Annotation Systems as part of the so-called Web 2.0 movement implement a "bottom-up" style of categorization using arbitrary keywords. Experience as well as research in the characteristics of both systems has shown that their strengths and weaknesses seem to be inverse: While Social Annotation suffers from problems like, e. g., ambiguity or lack or precision, ontologies were especially designed to eliminate those. On the contrary, the latter suffer from a knowledge acquisition bottleneck, which is successfully overcome by the large user populations of Social Annotation Systems. Instead of being regarded as competing paradigms, the obvious potential synergies from a combination of both motivated approaches to "bridge the gap" between them. These were fostered by the evidence of emergent semantics, i. e., the self-organized evolution of implicit conceptual structures, within Social Annotation data. While several techniques to exploit the emergent patterns were proposed, a systematic analysis - especially regarding paradigms from the field of ontology learning - is still largely missing. This also includes a deeper understanding of the circumstances which affect the evolution processes. This work aims to address this gap by providing an in-depth study of methods and influencing factors to capture emergent semantics from Social Annotation Systems. We focus hereby on the acquisition of lexical semantics from the underlying networks of keywords, users and resources. Structured along different ontology learning tasks, we use a methodology of semantic grounding to characterize and evaluate the semantic relations captured by different methods. In all cases, our studies are based on datasets from several Social Annotation Systems. Specifically, we first analyze semantic relatedness among keywords, and identify measures which detect different notions of relatedness. These constitute the input of concept learning algorithms, which focus then on the discovery of synonymous and ambiguous keywords. Hereby, we assess the usefulness of various clustering techniques. As a prerequisite to induce hierarchical relationships, our next step is to study measures which quantify the level of generality of a particular keyword. We find that comparatively simple measures can approximate the generality information encoded in reference taxonomies. These insights are used to inform the final task, namely the creation of concept hierarchies. For this purpose, generality-based algorithms exhibit advantages compared to clustering approaches. In order to complement the identification of suitable methods to capture semantic structures, we analyze as a next step several factors which influence their emergence. Empirical evidence is provided that the amount of available data plays a crucial role for determining keyword meanings. From a different perspective, we examine pragmatic aspects by considering different annotation patterns among users. Based on a broad distinction between "categorizers" and "describers", we find that the latter produce more accurate results. This suggests a causal link between pragmatic and semantic aspects of keyword annotation. As a special kind of usage pattern, we then have a look at system abuse and spam. While observing a mixed picture, we suggest that an individual decision should be taken instead of disregarding spammers as a matter of principle. Finally, we discuss a set of applications which operationalize the results of our studies for enhancing both Social Annotation and semantic systems. These comprise on the one hand tools which foster the emergence of semantics, and on the one hand applications which exploit the socially induced relations to improve, e. g., searching, browsing, or user profiling facilities. In summary, the contributions of this work highlight viable methods and crucial aspects for designing enhanced knowledge-based services of a Social Semantic Web.

Adaptive Real-time Anomaly-based Intrusion Detection using Data Mining and Machine Learning Techniques

Die zunehmende Vernetzung der Informations- und Kommunikationssysteme führt zu einer weiteren Erhöhung der Komplexität und damit auch zu einer weiteren Zunahme von Sicherheitslücken. Klassische Schutzmechanismen wie Firewall-Systeme und Anti-Malware-Lösungen bieten schon lange keinen Schutz mehr vor Eindringversuchen in IT-Infrastrukturen. Als ein sehr wirkungsvolles Instrument zum Schutz gegenüber Cyber-Attacken haben sich hierbei die Intrusion Detection Systeme (IDS) etabliert. Solche Systeme sammeln und analysieren Informationen von Netzwerkkomponenten und Rechnern, um ungewöhnliches Verhalten und Sicherheitsverletzungen automatisiert festzustellen. Während signatur-basierte Ansätze nur bereits bekannte Angriffsmuster detektieren können, sind anomalie-basierte IDS auch in der Lage, neue bisher unbekannte Angriffe (Zero-Day-Attacks) frühzeitig zu erkennen. Das Kernproblem von Intrusion Detection Systeme besteht jedoch in der optimalen Verarbeitung der gewaltigen Netzdaten und der Entwicklung eines in Echtzeit arbeitenden adaptiven Erkennungsmodells. Um diese Herausforderungen lösen zu können, stellt diese Dissertation ein Framework bereit, das aus zwei Hauptteilen besteht. Der erste Teil, OptiFilter genannt, verwendet ein dynamisches "Queuing Concept", um die zahlreich anfallenden Netzdaten weiter zu verarbeiten, baut fortlaufend Netzverbindungen auf, und exportiert strukturierte Input-Daten für das IDS. Den zweiten Teil stellt ein adaptiver Klassifikator dar, der ein Klassifikator-Modell basierend auf "Enhanced Growing Hierarchical Self Organizing Map" (EGHSOM), ein Modell für Netzwerk Normalzustand (NNB) und ein "Update Model" umfasst. In dem OptiFilter werden Tcpdump und SNMP traps benutzt, um die Netzwerkpakete und Hostereignisse fortlaufend zu aggregieren. Diese aggregierten Netzwerkpackete und Hostereignisse werden weiter analysiert und in Verbindungsvektoren umgewandelt. Zur Verbesserung der Erkennungsrate des adaptiven Klassifikators wird das künstliche neuronale Netz GHSOM intensiv untersucht und wesentlich weiterentwickelt. In dieser Dissertation werden unterschiedliche Ansätze vorgeschlagen und diskutiert. So wird eine classification-confidence margin threshold definiert, um die unbekannten bösartigen Verbindungen aufzudecken, die Stabilität der Wachstumstopologie durch neuartige Ansätze für die Initialisierung der Gewichtvektoren und durch die Stärkung der Winner Neuronen erhöht, und ein selbst-adaptives Verfahren eingeführt, um das Modell ständig aktualisieren zu können. Darüber hinaus besteht die Hauptaufgabe des NNB-Modells in der weiteren Untersuchung der erkannten unbekannten Verbindungen von der EGHSOM und der Überprüfung, ob sie normal sind. Jedoch, ändern sich die Netzverkehrsdaten wegen des Concept drif Phänomens ständig, was in Echtzeit zur Erzeugung nicht stationärer Netzdaten führt. Dieses Phänomen wird von dem Update-Modell besser kontrolliert. Das EGHSOM-Modell kann die neuen Anomalien effektiv erkennen und das NNB-Model passt die Änderungen in Netzdaten optimal an. Bei den experimentellen Untersuchungen hat das Framework erfolgversprechende Ergebnisse gezeigt. Im ersten Experiment wurde das Framework in Offline-Betriebsmodus evaluiert. Der OptiFilter wurde mit offline-, synthetischen- und realistischen Daten ausgewertet. Der adaptive Klassifikator wurde mit dem 10-Fold Cross Validation Verfahren evaluiert, um dessen Genauigkeit abzuschätzen. Im zweiten Experiment wurde das Framework auf einer 1 bis 10 GB Netzwerkstrecke installiert und im Online-Betriebsmodus in Echtzeit ausgewertet. Der OptiFilter hat erfolgreich die gewaltige Menge von Netzdaten in die strukturierten Verbindungsvektoren umgewandelt und der adaptive Klassifikator hat sie präzise klassifiziert. Die Vergleichsstudie zwischen dem entwickelten Framework und anderen bekannten IDS-Ansätzen zeigt, dass der vorgeschlagene IDSFramework alle anderen Ansätze übertrifft. Dies lässt sich auf folgende Kernpunkte zurückführen: Bearbeitung der gesammelten Netzdaten, Erreichung der besten Performanz (wie die Gesamtgenauigkeit), Detektieren unbekannter Verbindungen und Entwicklung des in Echtzeit arbeitenden Erkennungsmodells von Eindringversuchen.