Teilnahme an Durchsuchungsmaßnahmen: IT-Fahnder*innen unterstützen die Kollegen*innen der Straf- und Bußgeldsachenstelle und der Steuerfahndung bei den strafrechtlichen Ermittlungen. Da als IT-Fahnder*in oftmals Beamte*innen mit teils langjähriger Erfahrung im Außendienst der Finanzverwaltung eingesetzt werden, können sie anhand der jeweiligen Tatvorwürfe bereits während der Durchsuchungsmaßnahme gezielt nach entsprechenden digitalen Beweismitteln suchen.
Die Aufgaben der IT-Fahnder*innen sind dann die Datensicherung, die Datenaufbereitung und Unterstützung bei der Datensichtung und -auswertung samt entsprechender Dokumentation.
Nacharbeiten: Damit beschränkt sich die Tätigkeit der IT-Fahnder*innen nicht nur auf die Teilnahme an der eigentlichen Durchsuchungsmaßnahme. Insb. die Nacharbeiten nehmen einen großen zeitlichen Umfang ein, da Datensicherungen oftmals erst noch entsprechend für eine Datensichtung aufbereitet werden müssen. Auch im weiteren Verlauf des Strafverfahrens können die IT-Fahnder*innen immer wieder hinzugezogen werden, sei es für eine "technische Beschreibung" im abschließenden Bericht oder später als Sachverständiger bzw. Zeuge vor Gericht.
Datensicherung bei virtuellen Maschinen: Die Datensicherung betrifft nicht nur Einzelplatz-PCs oder Server sowie Daten aus Clouds, sondern auch vermehrt "virtuelle Maschinen" (VM’s, z.B. unter VMWare Workstation, ESXI, Hyper-V u.a.) und weitere Speichersysteme (Raid- und NAS-Systeme).
Virtuelle Maschinen (VM’s) sind virtuelle Computer (VM-Gast), die den gleichen Funktionsumfang wie physische Computer bieten. Auf einer "virtuellen Festplatte" werden Betriebssystem und Anwendungsprogramme installiert sowie Benutzer eingerichtet. VM’s bestehen jedoch nicht aus physischen Hardware- Komponenten, sondern sind "Dateien", die auf einem physischen Computer oder Server (VM-Host) ausgeführt werden. Ein Vorteil ist hier, dass sich mehrere VM’s auf einem Host gleichzeitig und unabhängig voneinander betreiben lassen. In zahlreichen Unternehmen findet dieses bereits Anwendung, hier sind oftmals ganze virtuelle Netzwerke (z.B. Mail-, Datenbank-, Datenablage- und weiteren Anwendungs-Servern sowie virtuelle Arbeitsplätze der Mitarbeiter*innen) anzutreffen.
Werden bei einer Durchsuchungsmaßnahme VM’s festgestellt, so können sich die VM’s auf einem lokalen VM-Host vor Ort oder aber auf Servern außerhalb (z.B. in einem Rechenzentrum) befinden. Auch gibt es bereits Anbieter, die ihren Kunden eine bestimmte Anwendung (z.B. Buchführungssoftware oder Warenwirtschaftssystem) als virtuellen Arbeitsplatz für den ortsunabhängigen Zugriff zur Verfügung stellen. Dadurch ergeben sich auch hier in der Praxis besondere Herausforderungen bei der Sicherung solcher extern gespeicherter VM’s und das betrifft nicht nur etwaige Zugriffsrechte und Daten-Transfergeschwindigkeiten.
Die Sicherung von E-Mails ist ebenfalls abhängig vom Speicherort. E-Mails können in Unternehmen lokal gespeichert sein, z.B. zentral auf einem (z.B. Microsoft Exchange-) Server und/oder lokal auf den jeweiligen Arbeitsplatz-PC’s. Sie können aber auch bei einem externen Anbieter gehostet (Mail Hosting) sein. Darüber hinaus verwalten viele Personen ihre (nicht nur privaten) E-Mail-Accounts ausschließlich online über die Webseite des jeweiligen Providers oder laden die E-Mails gar nicht mehr vollständig mittels E-Mail-Client (z.B. Microsoft Outlook o.Ä.) auf den eigenen PC herunter (IMAP statt POP3-Zugriff). Dieses hat auch oft damit zu tun, dass auf E-Mails von verschiedenen Endgeräten (Smartphone, Tablet, Notebook und PC) gleichermaßen zugegriffen werden soll. Wurden die E-Mails also nicht lokal auf dem Computer abgespeichert, müssen diese ebenfalls – sofern ein Zugang vom Endgerät des Beschuldigten besteht- über das Internet heruntergeladen werden. Je nach Datenmenge und Geschwindigkeit der Internetverbindung beansprucht dieser Download vor Ort oftmals viel Zeit.
Ein anderer Lösungsansatz ist in solchen Fällen die Ermittlung des jeweiligen Providers und ein Herausgabeverlangen bzw. Beschlagnahmebeschluss, wobei hier auch stets eine Rolle spielt, ob der Provider seinen Sitz im In- oder Ausland hat.
Mobile Geräte: Neben weiteren sonstigen Datenträgern stehen oftmals mobile Geräte vom Smartphone bis zum Tablet im Focus der Ermittlungen. Auf diesen Geräten können sich neben entsprechenden mobilen (betrieblichen) Anwendungen (z.B. Kassen-App) auch viele weitere Informationen zu Lebenssachverhalten (von E-Mails über Chats, von abfotografierten Dokumenten bis hin zu den sozialen Netzwerken) befinden. Die Vielzahl der sich im Umlauf befindlichen Geräte-Typen und die auch hier immer weiter zunehmenden Speicherkapazitäten stellen eine Herausforderung für die Sicherungstechnik und -dauer da. Erschwerend kommen unterschiedliche OS- und App-Versionen und die Häufigkeit ihrer Updates hinzu, so dass die Sicherungstechniken und -softwaren immer wieder angepasst werden müssen.
Betriebssysteme, Datenbankmanagementsysteme: Neben versch...