Ich stimme dir zu, frage mich aber dann, warum das beim SCP noch nicht der Fall ist, sondern bisher "nur" beim CCP
Ich denke das Problem hier könnte in der nicht ganz einfachen Umsetzung liegen. Das SCP soll ja unabhängig vom CCP durch einen Techniker genutzt werden können. Dort ist es dementsprechend nicht praktikabel eine E-Mail an den Zahlenden Kunden zu senden da dies der falsche Empfänger wäre.
Man müsste also erst mal eine 2FA Lösung für das SCP implementieren (gibt es außer in Form des Sicherheitsmodus bislang ja gar nicht) und dann irgendwie die Kunden dazu bewegen diese auch einzurichten. Sei es die Möglichkeit zur Angabe einer separaten Adresse für den Empfang der Tokens für das SCP oder TOTP oder was auch immer.
Selbst wenn man es in einer Übergangsphase ermöglicht 2FA für das SCP vom SCP aus einzurichten (ohne Bestätigung durch einen existierenden zweiten Faktor) so müsste man für eine 2FA Pflicht eigentlich irgendwann einen Cut-Off machen und dann muss der Kunde eingreifen wenn die Einrichtung bis dahin nicht passiert ist. Und informieren kann man über diesen Breaking Change nur den Kunden und nicht den Techniker weil es für diesen überhaupt keine Kontaktmöglichkeit gibt. Wenn es diese gäbe könnte man darüber ja auch einfach den 2FA Code direkt zustellen.
Am Ende ist es eine Änderung welche einen aktiven Eingriff erfordert was man natürlich soweit wie möglich vermeiden möchte.
Insofern ist die Situation beim SCP wohl leider schwieriger als beim CCP und verplichtende 2FA dort nicht der Fall. Wenngleich es sicherlich sinnvoll wäre. Ich denke das CCP war halt ein einfacher erster Schritt, ob Netcup weiter macht wird man sehen. Aber meine Aussage bezog sich auch nur auf das CCP.