Die Spar­kas­sen set­zen auf elek­tro­ni­sche Iden­ti­tä­ten zur Frei­schal­tung ihrer pushT­AN-App – ein Kom­fort­ge­winn für Nut­zer, der jedoch die fun­da­men­ta­len Sicher­heits­pro­ble­me des Ver­fah­rens unbe­rührt lässt. Wäh­rend der Ein­rich­tungs­pro­zess moder­ni­siert wird, blei­ben struk­tu­rel­le Schwä­chen bestehen, die Gerich­te bereits mehr­fach kri­ti­siert haben.

Der pos­ta­li­sche Brief als Sicher­heits­an­ker hat aus­ge­dient. Die deut­schen Spar­kas­sen ermög­li­chen es ihren Kun­den nun, die pushT­AN-App nach einem Gerä­te­wech­sel digi­tal zu reak­ti­vie­ren – mit­tels elek­tro­ni­schem Per­so­nal­aus­weis oder künf­tig per eIDAS 2.0‑konformer digi­ta­ler Iden­ti­tät. Was zunächst wie ein über­fäl­li­ger Schritt in die digi­ta­le Gegen­wart klingt, ent­puppt sich bei genaue­rer Betrach­tung als zwie­späl­ti­ge Neue­rung: fort­schritt­lich im Pro­zess, pro­ble­ma­tisch in der Substanz.

Effi­zi­enz als Triebfeder

Nie­mand wird dem Weg­fall des Medi­en­bruchs eine Trä­ne nach­wei­nen. Die bis­he­ri­ge Pra­xis – nach jedem Smart­phone-Wech­sel einen Frei­schalt­brief per Post abwar­ten zu müs­sen – war ana­chro­nis­tisch, kos­ten­in­ten­siv und öko­lo­gisch frag­wür­dig. Die neue eID-basier­te Authen­ti­fi­zie­rung beschleu­nigt den Vor­gang auf Minu­ten, spart Res­sour­cen und ent­spricht den Erwar­tun­gen einer Gene­ra­ti­on, die digi­ta­le Unmit­tel­bar­keit als Nor­mal­zu­stand begreift. Als Moder­ni­sie­rungs­schritt der Spar­kas­sen-Infra­struk­tur ist die Maß­nah­me unzwei­fel­haft ein Gewinn.

Die juris­ti­sche Sollbruchstelle

Doch hin­ter der tech­ni­schen Fas­sa­de lau­ert ein fun­da­men­ta­les Pro­blem, das durch die Neue­rung nicht gelöst, son­dern ledig­lich über­tüncht wird. Das pushT­AN-Ver­fah­ren selbst – jener Mecha­nis­mus, der Trans­ak­tio­nen absi­chern soll – steht seit Jah­ren in der Kri­tik. Der Grund ist sim­pel und schwer­wie­gend zugleich: Wenn Ban­king-App und TAN-Gene­ra­tor auf dem­sel­ben Smart­phone lau­fen, ent­fällt die für ech­te Zwei-Fak­tor-Authen­ti­fi­zie­rung not­wen­di­ge Tren­nung der Komponenten.

Die­se tech­ni­sche Schwä­che ist längst nicht mehr nur theo­re­ti­scher Natur. Das OLG Dres­den urteil­te 2025, das Land­ge­richt Heil­bronn bereits 2023: Im Phis­hing-Fall spra­chen bei­de Gerich­te Geschä­dig­ten Scha­dens­er­satz zu, weil das pushT­AN-Ver­fah­ren die Anfor­de­run­gen an eine „star­ke Kun­den­au­then­ti­fi­zie­rung” nach PSD2 und Zah­lungs­diens­te­auf­sichts­ge­setz nicht erfül­le. Die Logik der Rich­ter ist bestechend: Wenn ein ein­zi­ger Angriffs­punkt – das kom­pro­mit­tier­te Smart­phone – sowohl Zugang zum Kon­to als auch zur TAN-Erzeu­gung gewährt, fehlt der zwei­te Fak­tor im eigent­li­chen Sinne.

Die eID-Inte­gra­ti­on ändert an die­ser Grund­kon­stel­la­ti­on nichts. Sie ver­bes­sert zwar die Iden­ti­täts­prü­fung bei der Ein­rich­tung erheb­lich – ein nicht zu unter­schät­zen­der Fort­schritt –, doch die eigent­li­che Trans­ak­ti­ons­ab­si­che­rung im All­tag bleibt auf dem­sel­ben, juris­tisch umstrit­te­nen Niveau. Es ist, als wür­de man die Haus­tür durch eine Sicher­heits­tür erset­zen, wäh­rend die Hin­ter­tür wei­ter­hin sperr­an­gel­weit offen steht.

Daten­schutz als Preis des Komforts

Die enge­re Ver­zah­nung mit staat­li­chen Iden­ti­täts­in­fra­struk­tu­ren wirft zudem daten­schutz­recht­li­che Fra­gen auf, die in Deutsch­land tra­di­tio­nell sen­si­bel dis­ku­tiert wer­den. Die AusweisApp2 mag tech­nisch sau­ber imple­men­tiert sein, doch neue Abhän­gig­kei­ten ent­ste­hen unwei­ger­lich: von der Funk­ti­ons­fä­hig­keit der eID-Infra­struk­tur, von Dritt­an­bie­ter-Apps, von der eige­nen Fähig­keit, legi­ti­me von betrü­ge­ri­schen Authen­ti­fi­zie­rungs­an­fra­gen zu unterscheiden.

Beson­ders hei­kel: Social Engi­nee­ring und Phis­hing-Atta­cken könn­ten sich künf­tig auf die eID-Funk­ti­on kon­zen­trie­ren. Nut­zer, die den elek­tro­ni­schen Per­so­nal­aus­weis mit sei­ner NFC-Funk­ti­on erst­mals im Ban­ken­kon­text ver­wen­den, sind poten­zi­el­le Zie­le für Betrü­ger, die sich als Bank aus­ge­ben und zur „Veri­fi­zie­rung” auf­for­dern. Die tech­ni­sche Sicher­heit der Infra­struk­tur ist das eine – die Kom­pe­tenz und Wach­sam­keit der Nut­zer das andere.

Hin­zu kommt eine prag­ma­ti­sche Ein­schrän­kung: Die alter­na­ti­ve Authen­ti­fi­zie­rung mit­tels Spar­kas­sen-Card funk­tio­niert der­zeit nur auf Android-Gerä­ten. iOS-Nut­zer blei­ben außen vor – eine Frag­men­tie­rung, die der pro­kla­mier­ten Nut­zer­au­to­no­mie widerspricht.

Vor­rei­ter oder Nachzügler?

Die Spar­kas­sen insze­nie­ren sich als Pio­nie­re der eID-Nut­zung im deut­schen Ban­ken­sek­tor. Tat­säch­lich ist die Ver­brei­tung digi­ta­ler Iden­ti­tä­ten in der Finanz­bran­che nach wie vor über­schau­bar. Die ange­kün­dig­te Aus­wei­tung auf eIDAS 2.0‑Standards könn­te lang­fris­tig bedeut­sam wer­den, steht aber noch auf unsi­che­rem Fun­da­ment. Ob ande­re Insti­tu­te nach­zie­hen oder ob sich die Spar­kas­sen mit ihrer Stra­te­gie iso­lie­ren, wird sich erst zeigen.

Trü­ge­ri­sche Sicherheitsversprechen

Das eigent­li­che Pro­blem liegt tie­fer: in der Kom­mu­ni­ka­ti­on. Ban­ken und Ver­bän­de haben das pushT­AN-Ver­fah­ren jah­re­lang als „hoch­si­cher” ver­mark­tet – eine Ein­schät­zung, die Gerich­te mitt­ler­wei­le wider­legt haben. Die jet­zi­ge Moder­ni­sie­rung des Ein­rich­tungs­pro­zes­ses darf nicht dar­über hin­weg­täu­schen, dass die struk­tu­rel­len Schwä­chen des Ver­fah­rens fort­be­stehen. Kun­den wie­gen sich mög­li­cher­wei­se in fal­scher Sicher­heit, wäh­rend die juris­ti­sche und tech­ni­sche Rea­li­tät eine ande­re Spra­che spricht.

Die Ban­ken­bran­che steht vor einer unbe­que­men Wahr­heit: Solan­ge Ban­king-App und TAN-Erzeu­gung auf dem­sel­ben Gerät ver­blei­ben, bleibt das pushT­AN-Ver­fah­ren angreif­bar. Hard­ware-TAN-Gene­ra­to­ren mögen unhand­lich sein, chip­TAN-Leser alt­mo­disch wir­ken – doch sie bie­ten jene phy­si­sche Tren­nung, die eine ech­te Zwei-Fak­tor-Authen­ti­fi­zie­rung ausmacht.

Fort­schritt mit Fragezeichen

Die eID-Inte­gra­ti­on ist kein Para­dig­men­wech­sel, son­dern eine Opti­mie­rung an der Ober­flä­che. Sie macht den Ein­rich­tungs­pro­zess kom­for­ta­bler und siche­rer – das ist anzu­er­ken­nen. Doch sie löst nicht das Kern­pro­blem eines Ver­fah­rens, des­sen Sicher­heits­ar­chi­tek­tur von Gerich­ten in Zwei­fel gezo­gen wird. Die digi­ta­le Trans­for­ma­ti­on der Spar­kas­sen ist ein Schritt nach vorn – aber einer, der die Soll­bruch­stel­le im Sys­tem nicht besei­tigt, son­dern ledig­lich ele­gan­ter kaschiert.

Wer Sicher­heit ernst nimmt, muss ehr­lich kom­mu­ni­zie­ren: über Fort­schrit­te eben­so wie über fort­be­stehen­de Risi­ken. Andern­falls droht der Kom­fort­ge­winn zum Bume­rang zu wer­den – spä­tes­tens wenn das nächs­te Urteil die Ban­ken zur Haf­tung verdonnert.

Quel­len:

Spar­kas­sen füh­ren Wie­der­ein­rich­tung der pushT­AN-App per eID ein – und pla­nen noch mehr

pushT­AN-Ver­fah­ren unsi­cher. Mobi­les Ban­king laut Gerichts­ur­teil ein Sicherheitsrisiko

OLG-Urteil: S‑PushTAN für Trans­ak­ti­ons-Authen­ti­fi­zie­rung unzureichend

OLG-Urteil: S‑pushT­AN-Ver­fah­ren reicht nicht für star­ke Kundenauthentifizierung
Eine Spar­kas­se muss einem Kun­den, der grob fahr­läs­sig Phis­hing-Opfer wur­de, wegen Ver­zicht auf einen siche­ren Log­in-Schutz einen Teil sei­nes Scha­dens erstatten.