Dabei brauchen Betrüger dazu nicht mehr besonders aufwändig nach für ihre Tat benötigten Informationen zu suchen. Registereinträge, die Homepage, ein Werbeflyer und Informationen von Mitarbeitern in sozialen Netzwerken wie Xing und Facebook können laut LKA ausreichen, um den Tätern Infos über interne Abläufe und Strukturen der Firma zu offenbaren. "Wie sind die E-Mail-Adressen aufgebaut, wer arbeitet im Unternehmen an welcher Stelle? Wie erreiche ich Buchhaltung oder Chefetage? Lassen bevorstehende Veranstaltungen erkennen, wann der Geschäftsführer möglicherweise nicht im Hause ist?", nennt die Polizei einige Beispiele.

Nun kontaktieren die Täter einen Mitarbeiter: Der erhält unerwartet einen dringenden Anruf von "oberster Stelle". Oder der "Chef" meldet sich per E-Mail von einer Tagung. "Dann soll es schnell gehen: Neue Verträge sollen geschlossen, Patentrechte gesichert, Maschinen oder Immobilien gekauft werden. Die Fantasie der Täter kennt keine Grenzen und richtet sich nach den zuvor ausgekundschafteten Betätigungsfeldern des jeweiligen Unternehmens", warnt Jacob.

Verbunden seien solche Anweisungen von "oben" oft mit strenger Geheimhaltung. Damit wollen die Betrüger ihr Opfer unter Stress setzen, damit der Mitarbeiter dem angeblichen Vorgesetzten rasch hilft. "Überweisungen größerer Geldbeträge werden dann ohne weitere Rückversicherung vom Mitarbeiter erfüllt. Hohe Geldsummen verschwinden anschließend auf Konten im asiatischen oder osteuropäischen Raum. Die Täter haben ihr Ziel erreicht", fasst Jacob zusammen. Die E-Mail des Täters werde über einen Anonymisierungsdienst versendet, die Telefonnummer gefälscht und das Empfängerkonto unter falschem Namen eröffnet. Das Cybercrime-Kompetenzzentrum des LKA schätzt die so entstandenen Schäden auf mehrere Millionen Euro pro Jahr in NRW.

Jacob empfiehlt Firmen, sich vor Social Engineering zu schützen, indem sie etwa öffentlich einsehbare Infos und Veröffentlichungen von Mitarbeitern im Namen der Firma kontrollieren.