Im wesentlichen bleibt es doch dabei, dass egal ob SMS- oder push-TAN, sobald man Banking und TAN auf dem gleichen Gerät macht ist es keine wirkliche Zwei-Faktor-Authentifizierung mehr. Nun gibt es aber diverse offizielle Apps der Banken, die das sogar aktiv fördern, indem die TAN von der TAN-App in die Banking-App automatisch übernommen wird.
Man müsste unterm Strich halt festlegen, dass TAN-Empfang und Banking nicht auf dem gleichen Gerät stattfinden dürfen (sonst ist der Kunde selbst Schuld).
Warum müsste man? Mit welchem Ziel?
Absolute Sicherheit gibts nicht, aber wenn es darum geht, es so sicher wie möglich zu machen,
Geht es denn darum? Oder geht es um ein angemessenes Sicherheitsniveau?
M.E. sollte die Bank ein Verfahren finden, das für ihre konkreten Kunden erträglich ist und dennoch den Erwartungswert für den Schaden auf einem vertretbaren Niveau hält. Wenn (nicht falls) ein Schadensfall eintritt, erwarte ich, dass die Bank ihn unkompliziert übernimmt. Wird der mittlere Schaden zu hoch, muss die Bank halt nachjustieren.
Schwierig finde ich Systeme, die angeblich unknackbar sind und wo ich als Kunde daher schuld sein muss, wenn etwas passiert (vgl. die Diskussion um die angeblich nicht entschlüsselbaren PINs auf den Magnetstreifenkarten früher, oder um die vorgebliche Unmöglichkeit des Ausspähens einer PIN am ATM oder POS, sodass bei Kartenmissbrauch mit PIN immer der Kunde schuld ist und den Schaden bezahlen muss). Ebenso schwierig sind Systeme, die so "sicher" sind, dass die Verfügbarkeit leidet.
Das Hauptproblem bei TAN-Apps (ich habe nur das von der Sparkasse angeschaut und mich dagegen entschieden) ist, dass manche, wie eben von der Sparkasse, einen Registrierungsbrief erfordern, jedesmal wenn man ein neues Gerät registriert (oder die App zurücksetzt). Dann hat man halt ein paar Tage keinen Zugang mehr zu seinem Konto oder zur Online-Kartenzahlungen, wenn man unterwegs ist (soll im VFT ja vorkommen, dass Leute längere Zeit nicht zuhause sind) kann das auch sehr viel länger blockiert sein.
Dadurch läuft man Gefahr, dass wenn man unterwegs ist, gar keinen Zugang mehr zu seinen Konten und Online-Zahlungen via KK hat. Solche Anbieter sind daher völlig inakzeptabel für das Push-TAN-Verfahren.
Das gleiche Problem hast Du bei der SMS-TAN, sobald Dein Handy verloren geht oder Deine SIM-Karte einen Defekt hat. Das gleiche Problem hast Du bei der Chip-TAN, sobald Deine girocard kaputt oder verloren geht. Das gleiche Problem hast Du bei der eTAN (oder diesen newfangled Photo-TAN-Standalones), wenn das Gerät schwächelt. Das gleiche Problem hast Du bei HBCI mit Schlüsselkarte, wenn die Schlüsselkarte ihren Geist aufgibt.
Um die Verfügbarkeit (einen wesentlichen Aspekt von Sicherheit) in solchen Fällen zu erhalten, ist es schön, wenn es noch einen weiteren Zugangsweg gibt. Falls der Notfall eintritt, zahle ich auch gerne 2 Euro 50 für die telefonische Auftragsübermittlung.
Das Hauptproblem bei TAN-Apps ist aus meiner Sicht, dass sie bei den mir bekannten deutschen Banken ausschließlich über die Stores von Apple und Google vertrieben werden und mich damit zwingen wollen, einen dieser beiden Anbieter zu nutzen (und ihm sehr weitreichend zu vertrauen, nicht nur beim Banking, sondern bei jedem Bereich meiner Lebensführung, der von meinem Handy berührt wird). Kommt ja mal gar nicht in die Tüte. In Schweden gab's mal das Modell (weiß nicht ob es überlebt hat), dass die Banken ihre Apps wahlweise auch auf der eigenen Seite verschlüsselt und signiert zum Download angeboten haben. Fand ich gut: Damit muss ich keinem Dritten vertrauen.
