Cash App führt Zwangs-2FA für alle Konten ein

Nach massiven Sicherheitslücken und Millionenstrafen verschärft der Bezahldienst seine Zugangskontrollen drastisch.

SAN FRANCISCO – Der Bezahldienst Cash App hat seine Sicherheitsarchitektur grundlegend umgestellt. Seit Anfang Mai 2026 ist die Zwei-Faktor-Authentifizierung (2FA) für alle Anmeldungen von neuen Geräten und bei verdächtigen Transaktionen verpflichtend. Bislang konnten Nutzer diese Schutzfunktion freiwillig aktivieren – jetzt wird sie automatisch erzwungen.

Ob beim Online-Shopping oder bei Finanz-Apps – die Sicherheit Ihrer digitalen Konten sollte oberste Priorität haben. Dieser kostenlose Report zeigt Ihnen, wie Sie Passkeys bei Diensten wie Amazon oder PayPal sofort einrichten und sich so effektiv vor Hacker-Angriffen schützen. Jetzt kostenlosen Sicherheits-Report herunterladen

Der Schritt ist eine direkte Reaktion auf anhaltende Phishing-Angriffe und unbefugte Zugriffe, die das Unternehmen in den vergangenen Jahren immer wieder in die Schlagzeilen brachten. Gleichzeitig läuft die finale Auszahlungsphase mehrerer milliardenschwerer Rechtsvergleiche, die Block Inc., die Muttergesellschaft von Cash App, zu verschärften Kontrollen zwingen.

Automatische Sperre für unbekannte Geräte

Das neue System verlangt bei jedem Login von einem bisher unbekannten Smartphone oder Computer einen einmalig gültigen Bestätigungscode. Dieser wird per SMS oder E-Mail zugestellt. Zusätzlich greift eine Funktion namens „Security Lock", die biometrische Daten wie Fingerabdruck oder Gesichtserkennung sowie eine persönliche PIN für einzelne Zahlungen verlangt.

Sicherheitsexperten bewerten den kombinierten Ansatz als wirksame Barriere gegen Kontoübernahmen aus der Ferne. Bisher verließen sich viele Nutzer lediglich auf einfache Passwörter oder PINs – ein leichtes Ziel für Kriminelle.

Cash App weist seine Kunden nun an, regelmäßig die Liste der vertrauenswürdigen Geräte zu prüfen. Bei jedem Login von einem neuen Standort erhalten sie sofort eine Warnmeldung.

Regulierungsdruck und Millionenstrafen

Die Verschärfung kommt nicht von ungefähr. Block Inc. hatte sich Anfang des Jahres mit US-Behörden auf einen Vergleich in Höhe von umgerechnet rund 235 Millionen Euro geeinigt. Der Vorwurf: Systematische Versäumnisse bei der Überwachung von Cash App.

Allein an die Finanzaufsichtsbehörden von 48 US-Bundesstaaten flossen 74 Millionen Euro an Strafzahlungen. Untersuchungen in Kalifornien, Texas und Massachusetts hatten ergeben, dass die Plattform gegen das Bankgeheimnisgesetz und Anti-Geldwäsche-Vorschriften verstoßen hatte. Die schwachen Sicherheitsprotokolle hätten Geldwäsche und Terrorismusfinanzierung begünstigt, so die Vorwürfe.

Die Verbraucherschutzbehörde CFPB verpflichtete das Unternehmen zudem zur Einrichtung eines Entschädigungsfonds von 111 Millionen Euro für betrogene Nutzer. Die internen Streitbeilegungsverfahren seien völlig unzureichend gewesen, kritisierte die Behörde.

Datenlecks und Sammelklagen

Der aktuelle Sicherheitsschub ist auch ein Versuch, sich von einer Vergangenheit voller Datenpannen zu distanzieren. Im Dezember 2021 hatte ein ehemaliger Mitarbeiter unbefugt die sensiblen Anlagedaten von rund 8,2 Millionen Kunden heruntergeladen.

Die daraus resultierende Sammelklage (Salinas gegen Block) endete mit einem Vergleich über 14 Millionen Euro. Hinzu kommt ein weiterer Vergleich über 11,5 Millionen Euro wegen unerlaubter Spam-Nachrichten. Beide Verfahren befinden sich derzeit in der finalen Auszahlungsphase.

Phishing und Datenmissbrauch betreffen längst nicht mehr nur Computer, sondern zunehmend auch unsere Smartphones. Experten empfehlen daher fünf konkrete Schutzmaßnahmen, mit denen Sie Ihr Mobilgerät und Ihre sensiblen Apps in wenigen Minuten gegen Hacker absichern können. 5 Schutzmaßnahmen jetzt kostenlos entdecken

Neue Risiken durch Social Engineering

Trotz der technischen Verbesserungen warnen Cybersicherheitsexperten vor einer neuen Gefahr: Social Engineering. Betrüger geben sich als offizielle Support-Mitarbeiter aus und versuchen, die neuen Bestätigungscodes am Telefon oder über gefälschte Webseiten zu erschleichen.

Cash App hat darauf reagiert und betont, dass echte Mitarbeiter niemals nach einem Login-Code, einer PIN oder der vollständigen Kartennummer fragen – weder am Telefon noch per E-Mail.

Branchentrend zur Null-Vertrauens-Architektur

Mit der Zwangs-2FA reiht sich Cash App in einen breiteren Trend ein. Immer mehr Bezahldienste setzen auf das Prinzip der „Networked Supervision" – einer kooperativen Aufsichtsstruktur, die von Finanzfirmen dieselbe Sorgfalt bei der Identitätsprüfung verlangt wie von traditionellen Banken.

Für die Millionen Nutzer bedeutet das: mehr Aufwand beim Einloggen, aber deutlich besserer Schutz vor unbefugten Abbuchungen. Block Inc. kündigte an, die Betrugserkennungsalgorithmen weiter zu verbessern, die bereits jetzt Geräteverlauf und Standortmuster in Echtzeit überwachen.

Branchenanalysten erwarten, dass andere Anbieter im Bereich mobiler Bezahldienste noch im Laufe des Jahres 2026 nachziehen werden. Die Ära der optionalen Sicherheitsmaßnahmen neigt sich dem Ende zu.

de | wissenschaft | 69294584 |