Schon vor einigen Monaten hatten wir auf die Sicherheitsrisiken im Zusammenhang mit der Rewe-App aufmerksam gemacht und über entsprechenden Diebstahl von Bonuspunkten informiert. Schon damals hatten Kriminelle gezielt die Rewe-App für Betrug genutzt, indem sie sich Zugriff auf Kundenkonten verschafften und dort gesammeltes Bonus-Guthaben abgriffen. Der Vorfall war kein Einzelfall, sondern ein symptomatisches Beispiel für ein weit verbreitetes Problem, das aber nicht so sehr etwas mit mangelhafter Kontosicherheit durch den Anbieter zu tun hatte, sondern eher mit Tricks, die es ermöglichten, die fehlende Mehrfaktor-Authentifizierung auszunutzen.

Rewe zieht jetzt dahingehend Konsequenzen, dass sie eine verpflichtende Zwei-Faktor-Authentifizierung (2FA) für alle App-Nutzer:innen einführen. Ab dem 27. August soll es nicht mehr möglich sein, sich ausschließlich mit E-Mail-Adresse und Passwort in der App anzumelden, wie das Unternehmen in einer Mail an alle Nutzer:innen mitteilt. Stattdessen verlangt Rewe künftig einen zusätzlichen Sicherheitsfaktor – konkret in Form eines Codes, der per E-Mail verschickt wird oder zusätzlich über eine Authenticator-App gesichert werden kann. Wer sich dem verweigert, kann die App aus Sicherheitsgründen ab dem Stichtag nicht mehr nutzen.

E-Mail-Authentifizierung wird als zweiter Faktor verpflichtend

Wer bislang keine 2FA nutzt, kann diese einfach per E-Mail im Rewe-Kundenkonto einrichten und aktivieren und erhält beim folgenden Login zusätzlich zum Passwort einen entsprechenden Code. Wer bereits eine Authenticator-App wie Authy oder den Microsoft Authenticator nutzt, kann diese weiterhin nutzen, wobei die E-Mail-Variante hinzukommt. Solche Apps generieren regelmäßig neue Codes, die nur auf dem eigenen Gerät abrufbar sind. Rewe-Nutzer, die sich bereits für die App-basierte Variante entschieden haben, müssen ab August dennoch zusätzlich den E-Mail-Code eingeben – die E-Mail-Variante wird damit zur verpflichtenden Basisabsicherung.

Und so funktioniert die Einrichtung: Nach dem Login wählt man im Menü den Bereich „Rewe-Konto“ und dort den Punkt „Daten & Sicherheit“. Hier kann man die 2FA per E-Mail aktivieren. Nach der Aktivierung erhält man künftig bei jedem Anmeldevorgang einen Einmalcode, der zusätzlich zum Passwort eingegeben werden muss. Wer möchte, kann im gleichen Bereich auch eine Authenticator-App einrichten. Dazu scannt man den angezeigten QR-Code mit der App oder gibt einen einmaligen Schlüssel ein, den Rewe bereitstellt. Fortan generiert die App automatisch gültige Codes, die beim Login genutzt werden können. Bei Problemen – etwa wenn die E-Mail mit dem Code nicht ankommt – lohnt sich ein Blick in den Spam-Ordner. Rewe bietet außerdem in seinem Hilfebereich weitere Informationen zur Fehlerbehebung.

Eher theoretischer Natur sind die dazugehörigen Anpassungen der AGB der Rewe-App zu sehen. Hier hat der Lebensmittelhändler diesen Sachverhalt ergänzt. Kund:innen, die das akzeptieren, brauchen daher nichts Besonderes zu tun, während jene, die das aus irgendwelchen Gründen ablehnen, widersprechen können – und dann natürlich von der Nutzung der App ausgeschlossen werden. In diesem Fall sollten Kund:innen die eventuell noch vorhandenen Punkte bis zum Stichtag abbauen.

Sinnvoller Schritt zur Absicherung der App

Generell bedeutet Zwei-Faktor-Authentifizierung, dass zwei verschiedene Faktoren zur Verifizierung des Zugriffs verwendet werden: einerseits das Passwort (etwas, das nur der Nutzer weiß) und andererseits ein temporärer Code (etwas, das nur der Nutzer besitzt – in diesem Fall per E-Mail oder über eine App). Dieses Prinzip erhöht die Sicherheit deutlich, weil ein gestohlenes Passwort allein dann nicht mehr ausreicht, um sich Zugang zum Konto zu verschaffen.

Insgesamt ist diese zusätzliche Sicherheit ein Schritt, der sowohl den Kund:innen zugutekommt als auch Rewe hilft, Missbrauch zu verhindern (und das Image der App zu schützen). Für die Kund:innen bedeutet es eigentlich nur im Rahmen der Einrichtung etwas mehr Aufwand, der sich aber durchaus bezahlt macht. Denn Angriffe, auf die wir ja auch im März schon aufmerksam machten, wären mit aktivierter 2FA deutlich schwieriger oder gar unmöglich gewesen. Wer sein Rewe-Konto und das darin gespeicherte Bonus-Guthaben schützen will, sollte daher nicht bis zum Stichtag warten, sondern die neue Sicherheitsfunktion ruhig möglichst sofort aktivieren.

