Die Supermarktkette Rewe verschärft ihre digitalen Sicherheitsvorkehrungen: Mit der verpflichtenden Einführung der Zwei-Faktor-Authentifizierung (2FA) setzt das Unternehmen neue Standards im Kampf gegen Betrug und Identitätsmissbrauch. Warum dieser Schritt längst überfällig war, welche Vorteile er Kundinnen und Kunden bringt und worauf Unternehmen im Einzelhandel jetzt achten sollten, erfahren Sie hier.
Rewe zieht Konsequenzen aus Missbrauchsfällen
Im Frühjahr 2025 machte ein massiver Betrugsfall bei Rewe Schlagzeilen: Cyberkriminelle hatten über gestohlene oder schwache Zugangsdaten Zugriff auf Benutzerkonten erhalten und Bonuspunkte im Rahmen des Payback-Programms missbräuchlich eingelöst. In mehreren dokumentierten Fällen wurden digitale Gutscheine eingelöst, bevor die Kundin oder der Kunde davon überhaupt wusste. Laut Pressemitteilung von Rewe (April 2025) wurden über 12.000 Verdachtsfälle innerhalb weniger Wochen registriert.
Diese Sicherheitslücke beruht hauptsächlich auf dem Faktor „Passwort“ allein – und damit einem Prinzip, das längst als nicht mehr ausreichend gilt. Besonders betroffen waren Kundinnen und Kunden, die für unterschiedliche Dienste dieselbe E-Mail-Passwort-Kombination nutzten.
Als Reaktion auf diese Vorkommnisse hat Rewe damit begonnen, die Zwei-Faktor-Authentifizierung (2FA) verpflichtend für alle digitalen Zugänge über Web und App einzuführen. Das Unternehmen begründet den Schritt mit einem „zukunftsorientierten Schutzansatz gegen Social Engineering und Credential Stuffing“ – beides Techniken, die gezielt im Verlauf der Angriffe zum Einsatz kamen.
Was ist Zwei-Faktor-Authentifizierung – und warum ist sie so effektiv?
Die Zwei-Faktor-Authentifizierung ergänzt das herkömmliche Passwort um einen zweiten, unabhängigen Identitätsnachweis. Dabei kann es sich um Einmalcodes per SMS, Authenticator-Apps wie Microsoft Authenticator oder biometrische Faktoren wie Fingerabdruck oder Gesichtserkennung handeln.
Der zentrale Vorteil: Selbst wenn Angreifer im Besitz des Passworts sind, benötigen sie zusätzlich ein Gerät (z. B. Smartphone) oder biometrische Merkmale des Benutzers. Laut einer Google-eigenen Studie aus 2021 kann die Verwendung von 2FA über Authenticator-Apps bis zu 99,9 % aller automatisierten Angriffsversuche abwehren (Quelle: Google Security Blog).
Im Unternehmenskontext spielt 2FA vor allem eine Rolle bei:
- dem Schutz sensibler Kundendaten im CRM-System,
- dem sicheren Zugriff auf Cloud-Dienste,
- der Minimierung von Haftungsrisiken infolge von Datenschutzverletzungen.
So läuft die 2FA bei Rewe künftig ab
Seit Juli 2025 wird bei der Rewe-App sowie im Kundenbereich von rewe.de schrittweise 2FA Pflicht. Nutzerinnen und Nutzer werden beim Login zunächst nach ihrem Passwort gefragt. Im Anschluss müssen sie einen sechsstelligen Code eingeben, der per Push-Nachricht an die mobile App oder per SMS übermittelt wird. Alternativ steht eine Authenticator-App zur Verfügung, was insbesondere Sicherheitsexperten empfehlen.
Die bisherige freiwillige Option zum Aktivieren von 2FA wurde laut Rewe kaum genutzt. Die neue Regelung sieht vor, dass ohne Einrichtung der 2FA weder Online-Bestellungen noch das Einsehen des digitalen Kassenbons möglich ist. Damit wird sichergestellt, dass sämtliche sensiblen Transaktionen geschützt sind.
Rewe bietet zudem eine umfangreiche Hilfeseite zur Einrichtung der 2FA und verweist auf den Kundensupport für den Fall, dass Nutzer auf ihr Gerät keinen Zugriff mehr haben. Ziel ist es, Sicherheit ohne Einbußen bei der Nutzerfreundlichkeit umzusetzen.
Warum Einzelhändler jetzt nachziehen sollten
Rewe folgt mit diesem Schritt einem branchenübergreifenden Trend. Auch Unternehmen wie Zalando, Otto und selbst kleinere Retail-Marken verstärken seit Jahren ihre Authentifizierungsmechanismen. Die Gründe liegen auf der Hand: Laut dem Verizon Data Breach Investigations Report 2024 beruhen 74 % aller Datenschutzverletzungen auf menschlichem Versagen oder dem Missbrauch von Zugangsdaten (Quelle: Verizon Business).
Besonders im E-Commerce und stationären Handel nehmen Cyberrisiken zu. Digitale Kundenkonten speichern heute zunehmend mehr persönliche Informationen sowie Zahlungsdaten. Eine Pflicht zur Zwei-Faktor-Authentifizierung ist nicht nur ein Sicherheitsgewinn, sondern ein Ausdruck von Vertrauen gegenüber den Nutzern.
Darüber hinaus gibt es regulatorische Entwicklungen, die in diese Richtung weisen. So fordert die DSGVO nicht explizit 2FA, jedoch angemessene technische und organisatorische Maßnahmen zur Datensicherung – wozu 2FA zweifellos zählt.
Aus Sicht von Datenschutzbeauftragten ist die Einführung bei Rewe daher als vorbildliche Praxis zu bewerten.
Vorteile der 2FA – Sicherheit mit Mehrwert
Die Einführung einer verpflichtenden Zwei-Faktor-Authentifizierung hat für Unternehmen wie Rewe mehrere Vorteile – operativ wie strategisch:
- Schutz vor Listen-Angriffen: 2FA verhindert, dass gestohlene Zugangsdaten aus anderen Diensten (Credential Stuffing) erfolgreich eingesetzt werden.
- Kundenschutz und Imagepflege: Unternehmen zeigen, dass sie Datenschutz ernst nehmen, was das Vertrauen stärkt.
- Reduktion von Rückfragen: Die Anzahl an Support-Tickets durch gehackte Accounts geht nachweislich zurück.
- Förderung digitaler Kundenbindung: Sicher geschützte Tools wie digitale Einkaufsliste oder Kassenbon-Archivierungen steigern die App-Verweildauer.
Eine Umfrage von Bitkom Research aus dem Jahr 2024 belegt, dass 87 Prozent der deutschen Internetnutzer mehr Sicherheitsfunktionen wie Zwei-Faktor-Authentifizierung wünschen, vor allem im Einzelhandel (Quelle: Bitkom e. V.).
Weitere Maßnahmen für mehr digitale Sicherheit im Handel
Die Zwei-Faktor-Authentifizierung ist ein zentraler Baustein – doch sie sollte nicht isoliert betrachtet werden. Vielmehr gehört sie in ein umfassendes Digital-Sicherheitskonzept. Hier einige weitere Handlungsfelder, in denen Händler aktiv werden sollten:
- Regelmäßige Penetrationstests: Simulierte Angriffe helfen, bestehende Schwachstellen zu erkennen.
- Schulung von Mitarbeiterinnen und Mitarbeitern: Social Engineering und Phishing sind häufige Einfallstore, insbesondere bei telefonischer Kundenbetreuung.
- Zero-Trust-Ansätze: Intern sollten nur zwingend notwendige Datenzugriffe erlaubt sein – auch bei Mitarbeitenden.
Einzelhändler, die Kundendaten sicher speichern und verarbeiten wollen, müssen diese Verantwortung über die bloße Authentifizierung hinausdenken.
Zudem entstehen neue Anforderungen durch mobile Bezahlmethoden, Loyalty-Programme, KI-gesteuerte Produktempfehlungen – all diese Dienste müssen nicht nur performant, sondern auch datenschutzgerecht konzipiert werden. Hier ist vor allem eine enge Zusammenarbeit mit IT-Sicherheitsabteilungen und externen Auditoren gefragt.
Fazit: Zwei-Faktor-Authentifizierung ist erst der Anfang
Die verpflichtende Einführung der Zwei-Faktor-Authentifizierung bei Rewe ist ein wichtiger Schritt in Richtung mehr digitaler Sicherheit im Handel. Sie zeigt, dass Cyberresilienz im Jahr 2025 keine Kür mehr ist – sondern die Pflicht eines jeden Unternehmens, das mit Kundendaten arbeitet.
Für Verbraucher bedeutet sie mehr Schutz, mehr Transparenz und am Ende auch ein Plus an Vertrauen. Dennoch bleibt zu betonen: Keine Maßnahme ist allein ausreichend. Wer sich langfristig gegen Datenmissbrauch wappnen will, muss in eine Sicherheitskultur investieren – von der Technologie über Schulung bis hin zum Management.
Wie sehen Sie das? Nutzt Ihr Unternehmen bereits 2FA? Welche Erfahrungen haben Sie gemacht? Diskutieren Sie mit uns in den Kommentaren oder senden Sie uns Ihre Praxisbeispiele – wir freuen uns auf den Austausch!
