TY - THES U1 - Bachelor Thesis A1 - Becker, Sarah T1 - Detektion von falsch positiven Zeitstempeln in Zeitreihen N2 - Die Idee des Autors dieser Bachelorarbeit, sich mit der Entwicklung eines Tools zur Detektion falsch positiver Zeitstempel in Zeitreihen zu beschäftigen, formte sich während seiner Tätigkeit für die Abteilung IT-Forensik [int18c] der intersoft consulting services AG. „Die intersoft consulting services AG ist spezialisiert auf Beratungsleistungen in den Bereichen Datenschutz, IT-Sicherheit und IT-Forensik [int18b].“ Gerade in dem Geschäftsumfeld der IT-Forensik ist häufig die Erstellung einer Zeitreihe nötig um eine IT-Forensische Analyse voranzutreiben. Da die intersoft consulting services AG hauptsächlich im Unternehmensfeld tätig ist, ist besonders das Analysieren von Desktoprechnern beim Verdacht der Weitergabe von firminternen Daten von Relevanz. Dabei hilft die Erstellung einer Zeitreihe, um die Vorgänge auf dem Desktoprechner nachvollziehen zu können. Dabei ist es möglich, auf manipulierte, falsch positive Zeitstempel zu stoßen, welche die forensische Analyse erschweren und verfälschen können. Das entwickelte Tool detectFPTimetamps.py kann dabei helfen, den Prozess der Analyse durch eine Zeitreihe zu vereinfachen und zu erleichtern, indem die falsch positiven Zeitstempel detektiert werden. Das Tool ist in Python 3 geschrieben und enthält die Suite Plaso/log2timeline, TSK (R) und das Tool analyzeMFT.py. So wird ein Tool geschaffen, welches einer ständigen Anpassung an den Stand der Technik und dann das Dateisystem benötigt. N2 - The idea of the author of this bachelor thesis to deal with the development of a tool for the detection of false positive time stamps in time series was formed during his work for the IT forensics department [int18c] of intersoft consulting services AG. „intersoft consulting services AG specialises in providing consulting services in the fields of data protection, IT security and IT forensics. [int18a].“ Especially in the business environment, it is often necessary to create a timeline in order to advance an IT forensic analysis. Since intersoft consulting services AG is mainly active in the business field, the analysis of desktop computers is of particular relevance if internal company data is suspected to be passed on. The creation of a timeline helps to trace the processes on the desktop computer. It is possible to encounter manipulated, false positive timestamps, which can complicate and falsify the forensic analysis. The developed tool detectFPTimetamps.py can help to simplify and facilitate the process of analysis by a timeline by detecting the false positive timestamps. The tool is written in Python 3 and contains the suite Plaso/log2timeline, TSK (R) and the tool analyzeMFT.py. Thus a tool is created, which needs a constant adaptation to the state of the art and the file system. KW - Computerforensik Y2 - 2018 ER -