Erkunden der DV-Systeme, der Speicherorte, der Zugangsvoraussetzungen und der IT-Verantwortlichen: Zunächst einmal wird durch die IT-Fahndung überprüft, welche DV-Systeme am Durchsuchungsort vorgefunden werden. Auch müssen die Speicherorte verfahrensrelevanter Daten festgestellt werden und wie der Zugriff auf diese Daten erfolgen kann. In Unternehmen mit entsprechenden IT-Richtlinien und -Sicherheitskonzepten sind hierfür oftmals bestimmte Benutzer- oder Administratorrechte erforderlich. Teilweise sind auch Schnittstellen (z.B. USB-Ports) aus Sicherheitsgründen gesperrt oder das Ausführen externer Anwendungen (somit z.B. auch die Sicherungssoftware der IT-Fahnder*innen) ist nur mit gesonderten Benutzerrechten möglich. Daher werden direkt zu Beginn einer Durchsuchungsmaßnahme die IT-Verantwortlichen (z.B. in einem Unternehmen) durch die IT-Fahnder*innen ermittelt, aufgesucht und befragt, um schnell und gezielt mit der Datensichtung und Sicherung beginnen zu können.
Beschlagnahme bei großen Datenmengen: In der Praxis ergeben sich am Tag der Durchsuchung dahingehend Probleme, dass häufiger eine Vielzahl von Dateien, E-Mails, etc., vor Ort gesichtet werden müssten, die teilweise in Terabyte-Bereiche – bei Großunternehmen auch mehr (Peta-Bereiche) – hineinreichen. Dies ist im Rahmen von Durchsuchungsmaßnahmen vor Ort menschlich nicht möglich, auch wenn dies von der Rechtsprechung gefordert wird, denn elektronische Daten können nur gesichtet werden, indem man jede einzelne Datei öffnet, betrachtet bzw. durchliest und wieder schließt. Dabei besteht die Gefahr, dass dadurch die einzelne Datei geändert wird. Ein solcher Vorgang wäre sehr zeitintensiv und würde ggf. auch betriebliche Prozesse einschränken.
Beachten Sie: Das Recht der Beschuldigten bzw. der Verteidigung bei der Sichtung anwesend zu sein, wird dadurch nicht eingeschränkt. Vielmehr kann dieses dann im Rahmen der Sichtung an Amtsstelle nachgeholt werden. In der Praxis wird der Verteidigung ein Besichtigungsrecht erst nach Durchsicht und Beschlagnahme eingeräumt.
Aussageverweigerungsrecht des Beschuldigten: Ein weiterer kritischer Punkt in der Praxis ist, dass der/die Beschuldigte ein Aussageverweigerungsrecht hat, d.h. in Bezug auf den Datenzugriff der Steuerfahndung, dass es in den Fällen, wo ein Passwort für die Sicherung bzw. Sichtung der Daten benötigt wird, dieses von den Beschuldigten nicht herausgegeben werden muss. Dies führt i.d.R. dazu, dass die Hardwaregeräte beschlagnahmt und von der Steuerfahndung mitgenommen werden, denn dann müssten diese Passworte im jeweiligen Finanzamt mit Hilfe von Spezialprogrammen regelrecht "geknackt" werden.
Eine weitere in diesen Fällen praktizierte Lösung wäre die Zeugenbefragung. Mitarbeiter*innen. oder auch externe System-Betreuer*innen können zu ihnen bekannten Passwörtern befragt werden.
Gewährung des Betriebsablaufs durch Datenkopien: In unserer Praxis lösen wir die Probleme der zunächst unübersichtlichen Datenmenge dadurch, dass von elektronisch, magnetisch oder optisch gespeicherten Daten auf DV-Geräten oder Speichermedien vor Ort – soweit möglich – zunächst komplette oder selektive forensische Images (= Kopien) durch speziell geschulte IT-Fahnder*innen (näheres zu deren Aufgaben im Folgenden) erstellt werden, um auch den Betriebsablauf in dem jeweiligen Unternehmen weiterhin zu gewährleisten.
Images werden mit entsprechend forensischen Softwaren (z.B. mit dem FTK-Imager) geschrieben und zunächst sichergestellt. Dabei ist zu beachten, dass hinsichtlich der Datensicherung die Durchsuchung noch nicht beendet ist. Erst nach Sichtung und Festlegung, welche Daten für das Verfahren von Bedeutung sind, erfolgt die Beschlagnahme und damit Beendigung der Durchsuchung. Ein entsprechender Vermerk sollte im Durchsuchungsbericht aufgenommen werden.
Entscheidung über die Sicherungsmethode vor Ort: Über die konkrete Sicherungsmethode entscheiden die IT-Fahnder*innen vor Ort und je nach Aufgabenstellung. Nicht immer ist es technisch möglich oder fallbezogen sinnvoll, komplette Images von jedem einzelnen vorgefundenen Datenträger zu erstellen. Ein Image eines gesamten Datenträgers kann z.B. dann erforderlich werden, wenn später mit Hilfe entsprechender forensischer Programme gezielt nach gelöschten Dateien oder Dateifragmenten gesucht werden soll, um diese (teilweise) wiederherzustellen. Die Dauer für eine Image-Erstellung ist jedoch stets abhängig von der vorgefundenen Hardware, deren Schnittstelle (z.B. USB 1.0 oder USB 3.1) und Speichergröße. Das Erstellen eines Images dauert auch stets länger als das einfache Kopieren von Daten.
Große Datenmengen in Kombination mit teils "langsamen" Schnittstellen und/oder Netzwerken bereiten in Bezug auf die Datensicherung oftmals auch zeitliche Probleme, da in einem Unternehmen beispielsweise der Datenspeicher-Server bauartbedingt nicht für das "schnelle" Kopieren der gesamten Datenmenge im Rahmen einer Steuerfahndungsprüfung konzipiert wurde. Gleiches gilt für nicht unerhebliche Datenmen...