Rewe Bonus: Rewe-App bekommt verpflichtende Zwei-Faktor-Authentifizierung

Es ist schon einige Monate her, da berichteten der SPIEGEL und »Heise Security« über eine Betrugsmasche rund um die Rewe-App. Cyberkriminelle hätten es auf die Bonus-Guthaben von Nutzerinnen und Nutzern der App abgesehen, hieß es Mitte Februar – und Rewe dementierte, dass es seinerseits eine Sicherheitslücke oder ein Datenleck gebe. Die Betrüger setzten bei ihren Account-Übernahmen auf Phishing und Datensammlungen im Darkweb, hieß es damals von einem Sprecher des Unternehmens. Rewe riet zudem zum Aktivieren der sogenannten Zwei-Faktor-Authentifizierung für seine App und Website.

Ein knappes halbes Jahr sowie diverse weitere Guthaben-Diebstähle später ist die Supermarkt-Kette jetzt offenbar zu dem Schluss gekommen, dass eine bloße Empfehlung zum Nutzen der Zusatzabsicherung für Kundenkonten zu wenig ist. In einer Mail an Kundinnen und Kunden vom Mittwoch, die dem SPIEGEL vorliegt, heißt es: »Um dein Rewe-Kundenkonto noch sicherer zu machen, führen wir ab dem 27. August 2025 die Zwei-Faktor-Authentifizierung (kurz 2FA) als festen Bestandteil ein.« Dazu wird erklärt: »Neben deinem Passwort brauchst du beim Einloggen einen zusätzlichen Code, den wir dir per E-Mail schicken. So wird es für andere viel schwerer, sich unberechtigt in dein Kundenkonto einzuloggen.«

Grundsätzlich bietet Rewe zwei Möglichkeiten der Zweifaktor-Absicherung an: Einmal das nun bald zur Pflicht werdende System mit dem per E-Mail versendeten Bestätigungscode. Und einmal eine zweite Variante mit sogenannten Authenticator-Apps. An Nutzerinnen und Nutzer solcher Apps gerichtet schreibt Rewe, für sie käme die Zwei-Faktor-Authentifizierung per E-Mail »zusätzlich dazu«: »Du kannst die App weiterhin wie gewohnt nutzen, die E-Mail-Variante wird immer aktiv sein.« In der Praxis können sich diese User beim Log-in zwischen beiden Varianten der Authentifizierung entscheiden.