Rewe macht Zwei-Faktor-Authentifizierung zur Pflicht
von caschy | 24 Kommentare
Nach Berichten über Betrugsversuche bei der Rewe-App zieht man jetzt Konsequenzen. Ab dem 27. August 2025 wird die Zwei-Faktor-Authentifizierung (2FA) für alle Kundenkonten verpflichtend eingeführt. Diese Maßnahme folgt auf eine Serie von Vorfällen, bei denen Cyberkriminelle es auf die Bonus-Guthaben der App-Nutzer abgesehen hatten.
Während Rewe im Februar noch Empfehlungen zur freiwilligen Nutzung der 2FA aussprach und Sicherheitslücken im eigenen System dementierte, geht man nun einen Schritt weiter. In einer aktuellen Mail an die Kundschaft kündigt das Unternehmen die verbindliche Einführung der zusätzlichen Sicherheitsmaßnahme an, so der Spiegel.
Die neue Regelung sieht vor, dass sich Nutzer künftig nicht mehr nur mit ihrem Passwort einloggen können. Ein zusätzlicher Code, der per E-Mail verschickt wird, muss den Login-Vorgang bestätigen. Diese Maßnahme soll unberechtigte Zugriffe auf Kundenkonten deutlich erschweren.
Für Kunden, die bereits eine Authenticator-App nutzen, ändert sich der Anmeldeprozess ebenfalls. Sie können zwischen der E-Mail-Variante und ihrer gewohnten App-Authentifizierung wählen, wobei die E-Mail-Option permanent aktiviert bleibt. Siehe Punkt 3.2 der FAQ:
Um Dein REWE Kundenkonto vor unerlaubten Zugriffen Dritter zu schützen, erfolgt der Login über eine Zwei-Faktor-Authentifizierung (nachfolgend „2FA“). Das bedeutet, dass Du bei jedem Login unmittelbar nach Eingabe Deiner Zugangsdaten (vgl. Ziffer 3.1) in der REWE-App bzw. auf rewe.de oder einem REWE Service (z.B. produkttests.rewe.de) von uns eine E-Mail erhältst, die einen einmalig nutzbaren Code beinhaltet, den Du dann zum Abschluss des Logins eingeben musst. Sofern Du eine Authentifizierungs-App verwendest, kannst Du alternativ einen Code durch Deine Authentifizierungs-App (z.B. „Google Authenticator, „Microsoft Authenticator“) generieren lassen. Dazu musst Du lediglich die entsprechende Option im Login-Prozess anwählen.
![LG OLED48B59LA TV 48 Zoll (121 cm) 4K OLED AI TV (α8 Gen2 4K AI Prozessor, webOS 25, 120Hz) [Modelljahr 2025]](https://m.media-amazon.com/images/I/41vxv25NpPL._SL160_.jpg)
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
2FA per E-Mail sollte verboten werden, OTP zumindest als verpflichtendes Pflichtangebot verankert werden, Passkeys ohne 2FA optional.
Kommentare die aus einer persönlichen Meinung heraus immer gleich Verbote von xyz fordern sollten auch verboten werden. Trifft vermutlich auch auf meinen Kommentar zu..
Ja, es ist total „toll“ wenn man mit einem gehackten Mail Account viele andere Konten übernehmen kann, nur weil man via Mail alles mögliche umgehen und zurücksetzen kann.
Ich verstehe ja das man den Supportaufwand minimieren möchte, aber so gewinnt man kaum etwas an Sicherheit.
Wenn das Mailkonto ausreichend mit Passkey oder 2FA gesichert ist, sehe ich da kein Problem.
Und da schließt sich der Kreis. Denn wenn wenn man diese Möglichkeiten bereits beim Login festlegt, ist die Absicherung des E-Mail-Kontos in diesem Zusammenhang gar nicht mehr sicherheitsrelevant.
Ja dann erklärt mal alle fleißig euren Eltern, Freunden und Partnern wie man OTP als 2FA einrichtet. Wenn ich mich nicht irre, benötigt man dafür auch noch immer eine extra App.
Die ewige Ausrede gegen neue Technik und mehr Sicherheit, weil es die Älteren und technisch weniger Versierten sowieso nicht verstehen. Der Account gehackt wurde, kommen die aber auch schreiend angerannt, besser ist das also auch nicht.
Was ist daran so problematisch? Bei uns nutzen Tausende von Mitarbeitenden 2FA per App, um sich im Home Office am System anzumelden.
Ja, hier nutzen das die Mitarbeiter mit Homeoffice auch – aber auch nur näherungsweise verstanden hat das Konzept OTP kaum jemand, die agieren an der Stelle alle nur auf dem Niveau von, Entschuldigung, dressierten Äffchen.
Regelmäßig kommt einer angedackelt mit „Ich hab ein neues Händi und jetzt ist diese Nummer, die ich immer zum Anmelden brauche, nicht mehr in der Äpp“.
Dann wird bei uns auf ein Self-Service-Tokenportal verwiesen. Es. muss ja auch keiner verstehen, wie ein Auto genau funktioniert, um es sicher zu fahren.
Unter dem Gesichtspunkt Sicherheit ist eine eigene App sicher keine schlechte Idee.
Bei Apple ist OTP inzwischen auch im Passwortmanager integriert. Bei Android, keine Ahnung. Bei Passwortmanagern von Drittanbieter ist es teils auch integriert oder per Plugin integrierbar, aber da bin ich weit davon entfernt jedes Produkt zu kennen.
Ich nutze dafür mittlerweile auch 1Password und keine Extra-App mehr, funktioniert bei vielen Webseite auch recht gut mit dem automatischen einsetzen des 2F-Keys
Ich habe das zum Anlass genommen, mich bei diesem ganzen Bonus/Rabatte/Prozente Gedönse abzumelden…
Geringer Aufwand für die sagenhaften 17 Cent Ersparnis am Ende
Wenn man das Bonusprogramm nicht für sich zu nutzen versteht. 😉
Seit Januar mache ich da jetzt mit und hab seit dem knappe 100,- € im Säckchen. Und ich bin kein Großeinkäufer, nur für eine Person.
ebenfalls, aber bin nur bei 80 euro … teilen wir uns den unterschied? ^^
Also erzwingt Rewe 3-Faktor-Authentifizierung. Denn in der Mail steht:
Wenn du bereits eine Authenticator-App benutzt:
Dann kommt zusätzlich die 2FA per E-Mail dazu. Du kannst die App weiterhin wie gewohnt nutzen, die E-Mail-Variante wird immer aktiv sein.
Bin ich auch drüber gestolpert. Soll aber wohl heißen: mail ist immer aktiv und du kannst zwischen mail und authenticator wählen
Nachdem das gerade bei ARD Marktcheck thematisiert wurde, scheint der Druck zu groß geworden zu sein. Gut so.
Es gab kürzlich einen TV-Bericht, das die Kundenkonten von einigen Leuten problemlos übernommen werden konnten und die Rabatte dann eingelöst wurden.
Das war keine gute Werbung.
Rewe war also in Zugzwang zu handeln und das schnell
Die sollen die ganzen Bonusprogramme und die dafür erforderlichen Apps endlich abschaffen und eine offene, klare und für alle gültige Preisgestaltung einführen. Alleine schon der Mist vor kurzem bei Lidl: Mezzo, 1,25 Liter f. 89 Cent stand da groß, ganz klein daneben: für Lidl-Plus-Nutzer. Normalpreis: 1,29 Euro. Möchte nicht wissen, wieviele das nicht gemerkt haben. Gleiche Preise für alle und gut ist. Eine Seuche des 21. Jahrhunderts…
Dann werden die Rabatte aber insgesamt im Schnitt deutlich schlechter werden, als sie für die App-Nutzer durch die entsprechenden Mechanismen und Datenauswertungen möglich wären.
Ich sehe es nicht ein, dass ich als Digital Nativ nicht das Maximum an Nutzen aus meiner digitalen Bildung und Aufmerksamkeit ziehen können soll, nur weil ein paar Boomer und Zoomer nicht das Konzept „Kleingedrucktes“ verstehen können.
„Dann werden die Rabatte aber insgesamt im Schnitt deutlich schlechter werden,“
Ja, dann ist das eben so. Offenheit, Transparenz sollten diese paar Cent aber locker wettmachen.
„nur weil ein paar Boomer und Zoomer nicht das Konzept „Kleingedrucktes“ verstehen können.“
Ah, prima, „Boomer“ und „Zoomer“ zum Dissen eingbaut? Check.
Mir geht es einfach nur auf den Sack, wegen der paar Cent genötigt zu werden, mir von jedem Ranz-Supermarkt ne App aufs Handy zu schaufeln, nur um danach von Google mitgeteilt zu bekommen, dass irgendwo wiedermal ein Passwort geklaut wurde. Von daher können die sich Ihre Apps und die paar Cents gerne dahin stecken, wo die Sonne nie scheint und mein Wunsch, die gleichen preise für alle wieder einzuführen.
Eine Lösung für ein Problem, das es nicht gäbe, wenn REWE einfach die Preisrabatte wie früher direkt auf den Schildern auszeichnen würde. Hier wird man als Kunde von hinten und vorne veralbert.