Der zweite Faktor wird nirgends gespeichert, das ist doch ein Stück Hardware beim Kunden (ein Handy, an das eine SMS geschickt wird, oder eine Chipkarte für den TAN-Generator).

Um da zu manipulieren, müsste ein Angreifer entweder Schreibzugriff auf das System haben und z.B. eine fremde Handy-Nummer in deine Kundendaten schmuggeln, oder das ganze System hat eine Lücke, mit der man die Authentifizierung komplett umgehen kann, z.B. indem eine bestehende Sitzung nach erfolger Anmeldung des rechtmäßigen Besitzers vom Angreifer übernommen wird. Gegen letzteres hilft dann aber auch kein noch so sicheres Authentifizierungsverfahren mehr.

Eben ... da bleibt einem nur noch die Möglichkeit, den Schaden mit Limiten zu minimieren.

Habe schon gestaunt, als die Medien hierzulande berichteten, jemandem sei bei einem Kreditkartenbetrug mehrere 10k geklaut worden ... wie geht denn sowas?

Wenn jemand eine Limite von 50'000.- auf seiner Karte hat, wird ihn der Verlust bis zu diesem Betrag auch nicht umbringen ...