pushTAN: Funktionsweise, Einrichtung und Sicherheit im vollständigen Überblick

Was ist pushTAN und wie funktioniert das Verfahren?

pushTAN ist ein digitales Verfahren zur Autorisierung von Online-Banking-Transaktionen per Smartphone-App. Es basiert auf Zwei-Faktor-Authentifizierung (2FA): Faktor eins ist deine Online-Banking-PIN, Faktor zwei ist die Transaktionsfreigabe direkt in der App. Beide Faktoren müssen zusammenkommen, damit eine Überweisung ausgeführt wird.

Angeboten wird pushTAN von Sparkassen unter dem Namen S-pushTAN, von Volksbanken und einer wachsenden Zahl weiterer deutscher Kreditinstitute. Das Verfahren löst ältere Methoden ab: iTAN-Listen auf Papier, smsTAN per Mobilfunknetz und separate Hardware-TAN-Generatoren gehören damit der Vergangenheit an.

Der Ablauf im Detail

Der Prozess läuft in sechs klar definierten Schritten ab:

1. Auftragserfassung: Du gibst eine Transaktion – zum Beispiel eine Überweisung – im Online-Banking per Browser oder Banking-App ein.
2. TAN-Anforderung: Nach dem Absenden fordert die Bank eine TAN an.
3. Push-Benachrichtigung: Die Bank sendet eine verschlüsselte Push-Nachricht an die registrierte pushTAN-App auf deinem Mobilgerät.
4. Datenanzeige: Du öffnest die App, authentifizierst dich per Passwort, Fingerabdruck oder Gesichtserkennung und siehst die vollständigen Auftragsdaten – Empfänger-IBAN und Betrag.
5. Freigabe: Du prüfst die Daten und bestätigst per Wisch über einen Schieberegler oder per Klick. Bei manchen Banken erscheint ein sechsstelliger Code, den du im Browser eingibst.
6. Ausführung: Die Bank führt den Auftrag erst nach erfolgter Freigabe aus.

Technische Basis: TLS, Kryptografie und kein SMS-Risiko

Die Kommunikation zwischen Bank und App erfolgt über das Internet mit TLS-Verschlüsselung (Transport Layer Security). Zusätzlich nutzt das Verfahren kryptografische Schlüssel, die fest an dein Gerät gebunden sind. Entscheidend: pushTAN verwendet deine Handynummer nicht. Die App arbeitet mit eigenen Kennungen und kryptografischen Schlüsseln – das macht sie immun gegen SIM-Swapping-Angriffe, bei denen Kriminelle eine Mobilfunknummer auf eine neue SIM-Karte übertragen.

Ein weiterer Vorteil: Du brauchst keine SIM-Karte. pushTAN funktioniert auf jedem internetfähigen Gerät – auch auf einem iPad, einem iPod touch oder einem Smartphone, das nur per WLAN verbunden ist. Das unterscheidet das Verfahren fundamental von smsTAN, das zwingend einen Mobilfunkempfang benötigt.

Das WYSIWYG-Prinzip als Sicherheitsanker

Bevor du eine Transaktion freigibst, zeigt dir die App immer die vollständigen Auftragsdaten: Empfänger-IBAN und Überweisungsbetrag. Dieses WYSIWYG-Prinzip (What You See Is What You Get) ist der wichtigste Sicherheitsmechanismus. Was du in der App siehst, wird tatsächlich ausgeführt – nicht mehr und nicht weniger. Wer diese Daten nicht sorgfältig prüft, öffnet Betrügern Tür und Tor. Dazu mehr im Abschnitt zur Sicherheit.

Die App ist kompatibel mit iOS (iPhone, iPad) und Android-Geräten. Für Android wird mindestens Version 6 empfohlen. Die Gerätebindung ist fest: Die pushTAN-App ist an die Hardware eines spezifischen Geräts gekoppelt. Wechselst du das Smartphone, musst du den Registrierungsprozess erneut durchlaufen – oder die Schnelleinrichtung per Bluetooth nutzen, sofern du noch Zugriff auf das alte Gerät hast.

pushTAN einrichten: Schritt-für-Schritt-Anleitung

Die Einrichtung von pushTAN ist in wenigen Minuten erledigt – wenn du die Voraussetzungen kennst und die Schritte in der richtigen Reihenfolge gehst. Hier erfährst du alles, was du brauchst, am Beispiel der S-pushTAN-App der Sparkassen. Das Grundprinzip gilt bei anderen Banken analog.

Voraussetzungen

Bevor du startest, prüfe folgende Punkte:

• Dein Konto ist für Online-Banking freigeschaltet.
• Du hast ein Smartphone oder Tablet mit iOS oder Android (mindestens Android 6).
• Das Gerät hat Internetzugang – WLAN oder mobiles Datennetz.
• Du hast die kostenlose pushTAN-App deiner Bank aus dem App Store oder Google Play Store heruntergeladen.

Der vollständige Einrichtungsablauf

Schritt 1 – App herunterladen: Lade die S-pushTAN-App (oder die entsprechende App deiner Bank) kostenlos herunter und installiere sie auf deinem Gerät.

Schritt 2 – Registrierungsbrief anfordern: Melde dich bei deiner Bank für pushTAN an und fordere einen Registrierungsbrief per Post an. Dieser Brief enthält einen QR-Code oder einen Freischaltcode. Als Neukunde erhältst du möglicherweise zwei Briefe: einen Registrierungsbrief und einen separaten Brief mit deinem Anmeldenamen und einer Start-PIN.

Schritt 3 – App einrichten: Öffne die App, erteile die erforderlichen Berechtigungen und vergib ein persönliches Passwort. Dieses Passwort muss mindestens 8 Zeichen lang sein und eine Kombination aus Zahlen, Buchstaben und Sonderzeichen enthalten. Alternativ kannst du direkt Biometrie einrichten – Fingerabdruck oder Gesichtserkennung.

Schritt 4 – QR-Code scannen: Scanne den QR-Code aus dem Registrierungsbrief mit der App oder gib die Daten manuell ein. Wenn du den Registrierungslink per SMS erhalten hast, öffne diesen Link direkt mit der pushTAN-App.

Schritt 5 – Online-Banking öffnen: Melde dich im Online-Banking (per PC oder Mobilgerät) mit deinem Anmeldenamen oder deiner Legitimations-ID und der Start-PIN an.

Schritt 6 – Freischalten: Wähle die Option „Jetzt freischalten“ und gib den in der App angezeigten Freischaltcode ein.

Schritt 7 – Start-PIN ändern: Ändere deine Start-PIN im Online-Banking in eine persönliche PIN. Die erste TAN für diese Änderung wird bereits über die pushTAN-App zugestellt – das Verfahren ist damit sofort aktiv.

Schnelleinrichtung bei Gerätewechsel

Wenn du ein neues Smartphone hast und noch Zugriff auf dein altes Gerät, geht die Übertragung deutlich schneller. Voraussetzung: Die S-pushTAN-App muss auf dem alten Gerät mindestens Version 4.6.0 haben, Bluetooth muss auf beiden Geräten aktiviert sein, und die Kamera des neuen Geräts wird für den QR-Code-Scan benötigt.

Der Ablauf: Auf dem neuen Gerät „Neu einrichten“ wählen, dann „Ja, starte Schnelleinrichtung“ antippen. Das alte Gerät zeigt einen QR-Code an, den du mit dem neuen Gerät scannst. Die Übertragung läuft dann automatisch per Bluetooth ab.

Hast du keinen Zugriff mehr auf das alte Gerät, musst du den vollständigen Registrierungsprozess neu starten und einen neuen Registrierungsbrief per Post anfordern. Das dauert einige Tage – ein guter Grund, vorbeugend ein Zweitgerät zu registrieren.

Mehrere Geräte können problemlos parallel registriert sein. Es gibt keine Begrenzung auf ein einzelnes Gerät. Jedes registrierte Gerät kann unabhängig voneinander Transaktionen freigeben – praktisch als Backup-Lösung, aber auch wenn du beruflich und privat unterschiedliche Geräte nutzt.

pushTAN vs. smsTAN vs. ChipTAN: Verfahren im Vergleich

In Deutschland sind drei TAN-Verfahren besonders verbreitet: pushTAN, smsTAN und ChipTAN. Sie unterscheiden sich erheblich in Sicherheit, Komfort und Kosten. Die folgende Tabelle gibt dir einen schnellen Überblick.

Was bedeutet das in der Praxis?

smsTAN ist das anfälligste der drei Verfahren. Das Mobilfunknetz ist kein sicherer Übertragungskanal: Angreifer können durch SIM-Swapping die Handynummer auf eine eigene SIM-Karte übertragen und damit TANs abfangen. Zusätzlich können je nach Bank SMS-Gebühren anfallen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft smsTAN daher als das schwächste der gängigen Verfahren ein.

ChipTAN bietet konstruktionsbedingt die stärkste physische Trennung der beiden Faktoren. Der TAN-Generator ist ein separates Gerät ohne Internetverbindung – er liest Transaktionsdaten optisch per Flickercode vom Bildschirm und erzeugt daraus eine TAN. Das macht ihn immun gegen Online-Angriffe. Der Nachteil: Du brauchst immer das Gerät dabei, und die einmaligen Anschaffungskosten fallen an.

pushTAN liegt dazwischen – und ist für die meisten Nutzer der beste Kompromiss. Es ist kostenlos, erfordert keine Zusatzhardware, schützt vor SIM-Swapping und ermöglicht Biometrie. Der einzige strukturelle Schwachpunkt: Wenn du Banking-App und pushTAN-App auf demselben Gerät nutzt, sind bei einer Gerätekompromittierung beide Faktoren betroffen. Das BSI empfiehlt deshalb, beide Apps auf getrennten Geräten zu betreiben.

Die Zwei-Geräte-Strategie im Überblick

Die sicherste Konfiguration für pushTAN: Online-Banking läuft auf dem PC oder Laptop, die pushTAN-App läuft auf einem separaten Smartphone. So sind beide Kanäle vollständig unabhängig voneinander. Selbst wenn dein PC durch Schadsoftware kompromittiert wird, kann der Angreifer keine Transaktion freigeben – denn dafür bräuchte er zusätzlich dein Smartphone.

Nutzt du hingegen Banking-App und pushTAN-App auf demselben Gerät, reduziert sich der Schutz erheblich. Gerichte haben in solchen Konstellationen bereits diskutiert, ob das Verfahren noch als „starke Kundenauthentifizierung“ im Sinne der europäischen Zahlungsdiensterichtlinie PSD2 gilt.

Sicherheit von pushTAN: Stärken, Risiken und Gerichtsurteile

pushTAN ist technisch ein starkes Verfahren. Aber kein Sicherheitssystem schützt vor dem schwächsten Glied: dem Nutzer selbst. Hier erfährst du, wo pushTAN wirklich sicher ist – und wo die echten Risiken liegen.

Technische Stärken

Die S-pushTAN-App der Sparkassen wurde vom TÜV Saarland sicherheitsgeprüft. Das Verfahren nutzt TLS-Verschlüsselung für die Kommunikation und kryptografische Schlüssel, die fest an das jeweilige Gerät gebunden sind. TANs sind auftragsbezogen: Jede TAN gilt nur für genau eine Transaktion mit genau diesen Daten. Eine abgefangene TAN ist damit wertlos – sie kann nicht für eine andere Überweisung verwendet werden.

Das unterscheidet pushTAN fundamental von iTAN-Listen, bei denen eine abgefangene TAN-Nummer für beliebige Transaktionen missbraucht werden konnte. Phishing-Angriffe, die auf generische TANs abzielen, laufen bei pushTAN ins Leere.

Das größte Risiko: Social Engineering

Technische Sicherheit nützt wenig, wenn Kriminelle den Nutzer direkt manipulieren. Social Engineering ist die gefährlichste Angriffsmethode gegen pushTAN-Nutzer. Das Muster ist immer ähnlich: Ein angeblicher Bankmitarbeiter ruft an, behauptet, es gebe ein Sicherheitsproblem, und bittet darum, eine Transaktion in der App zu bestätigen. Wer das tut, gibt eine echte Überweisung frei – und verliert sein Geld.

Ein dokumentierter Fall: Ein Kunde wurde durch Social Engineering dazu verleitet, eine Echtzeitüberweisung von 10.000 Euro in der pushTAN-App freizugeben. Das zuständige Oberlandesgericht wertete dieses Verhalten als grobe Fahrlässigkeit des Nutzers. Die Bank musste nicht haften.

In einem anderen Fall gingen einem Betroffenen über 49.000 Euro verloren. Hier diskutierte das Gericht, ob der App-Schutz ausreichend war und ob die Bank die Anforderungen an starke Kundenauthentifizierung erfüllt hatte.

OLG Dresden: Ein-Gerät-Nutzung unter der Lupe

Das OLG Dresden hat in einem Urteil die Frage aufgeworfen, ob das pushTAN-Verfahren noch als „starke Kundenauthentifizierung“ gilt, wenn Banking und TAN-Freigabe in derselben App auf demselben Gerät erfolgen. Das Gericht bewertete diese Konstellation als möglicherweise unzureichend und sprach einem Phishing-Opfer trotz grober Fahrlässigkeit einen Teilschadensersatz zu. Das Urteil zeigt: Die rechtliche Bewertung hängt stark von der konkreten Nutzungskonfiguration ab.

Sicherheitsniveau im Vergleich

Das folgende Diagramm zeigt das relative Sicherheitsniveau der gängigen TAN-Verfahren auf einer Skala von 1 bis 10 – basierend auf technischen Eigenschaften, BSI-Bewertungen und dokumentierten Angriffsvektoren.

Die wichtigste Nutzerregel

Prüfe immer die in der App angezeigten Auftragsdaten, bevor du eine Transaktion freigibst. Empfänger-IBAN und Betrag müssen exakt mit dem übereinstimmen, was du eingegeben hast. Gibt es auch nur die kleinste Abweichung, brich die Transaktion sofort ab und kontaktiere deine Bank. Banken fragen niemals telefonisch oder per Nachricht danach, eine Transaktion in der App zu bestätigen.

Gerätewechsel und Geräteverlust: Was tun?

Da pushTAN fest an die Hardware eines Geräts gebunden ist, hat jeder Gerätewechsel oder -verlust direkte Konsequenzen für dein Online-Banking. Hier erfährst du, wie du in beiden Situationen schnell und richtig handelst.

Gerätewechsel: Mit Zugriff auf das alte Gerät

Wenn du noch Zugriff auf dein altes Smartphone hast, nutze die Schnelleinrichtung. Voraussetzungen: Die S-pushTAN-App auf dem alten Gerät muss mindestens Version 4.6.0 haben. Bluetooth muss auf beiden Geräten aktiviert sein. Die Kamera des neuen Geräts wird für den QR-Code-Scan benötigt.

Ablauf: Auf dem neuen Gerät die App öffnen und „Neu einrichten“ wählen. Dann „Ja, starte Schnelleinrichtung“ antippen. Das alte Gerät zeigt einen QR-Code an, den du mit dem neuen Gerät scannst. Die Übertragung der Registrierungsdaten erfolgt dann automatisch über Bluetooth. Der Prozess dauert nur wenige Minuten.

Gerätewechsel: Ohne Zugriff auf das alte Gerät

Hast du keinen Zugriff mehr auf das alte Gerät – weil es defekt, verloren oder gestohlen ist – musst du den vollständigen Registrierungsprozess neu starten. Das bedeutet: einen neuen Registrierungsbrief per Post anfordern und alle Einrichtungsschritte erneut durchlaufen. Das dauert mehrere Tage. Genau deshalb lohnt es sich, vorbeugend ein Zweitgerät zu registrieren.

Geräteverlust und Diebstahl: Sofortmaßnahmen

Bei Verlust oder Diebstahl deines Smartphones zählt jede Minute. Gehe diese Schritte sofort durch:

1. Bank kontaktieren: Ruf sofort bei deiner Bank an und lass das verlorene Gerät für die Authentifizierung sperren. Damit kann niemand mehr über dieses Gerät Transaktionen freigeben.
2. SIM-Karte sperren: Ruf den Sperrnotruf 116 116 an und lass deine SIM-Karte sperren. Dieser Notruf ist kostenlos und rund um die Uhr erreichbar.
3. Karten für kontaktloses Bezahlen sperren: Wenn du Google Pay oder Apple Pay auf dem Gerät eingerichtet hast, lass die hinterlegten Karten ebenfalls über 116 116 sperren.
4. Passwörter ändern: Ändere sofort die Passwörter für Online-Banking, E-Mail und alle sozialen Netzwerke, auf die du über das Gerät zugegriffen hast.
5. Gerät orten: Versuche, das Gerät zu orten. Auf iOS nutzt du „Find My iPhone“ bzw. die „Wo ist?“-App über iCloud.com. Auf Android nutzt du „Google Find My Device“ über google.com/android/find.
6. Polizei informieren: Bei Diebstahl erstattest du Anzeige bei der Polizei. Informiere ggf. auch deine Versicherung.

Neues Gerät registrieren nach Verlust

Sobald du ein neues Gerät hast, forderst du einen neuen Registrierungsbrief per Post an und durchläufst den vollständigen Einrichtungsprozess. Dein Online-Banking-Zugang bleibt dabei erhalten – nur die pushTAN-Freigabe ist bis zur Neuregistrierung nicht möglich.

Die beste Vorsorge gegen den Verlustfall ist eine einfache Maßnahme: Registriere ein zweites Gerät – ein Tablet, ein Zweitsmartphone oder ein Gerät eines Familienmitglieds – parallel als Backup. Jedes Gerät erhält einen eigenen Registrierungsbrief und kann unabhängig Transaktionen freigeben. Im Verlustfall bist du damit sofort wieder handlungsfähig, ohne tagelang auf einen neuen Brief warten zu müssen.

pushTAN optimal nutzen: Tipps und Best Practices

pushTAN ist technisch sicher – aber wie sicher dein Online-Banking wirklich ist, hängt stark davon ab, wie du das Verfahren nutzt. Diese Best Practices helfen dir, das Maximum aus dem Sicherheitspotenzial herauszuholen.

Starkes App-Passwort und Biometrie

Das App-Passwort ist deine erste Verteidigungslinie. Wähle mindestens 8 Zeichen – und kombiniere Zahlen, Buchstaben und Sonderzeichen. Vermeide offensichtliche Kombinationen wie „12345678“ oder dein Geburtsdatum. Aktiviere zusätzlich Biometrie: Fingerabdruck oder Face-ID machen den Zugriff schneller und sicherer zugleich. Biometrie ist schwerer zu überwinden als ein Passwort, das jemand über deine Schulter ablesen könnte.

Auftragsdaten immer prüfen – ohne Ausnahme

Die wichtigste Verhaltensregel: Prüfe vor jeder Freigabe die in der App angezeigten Daten. Empfänger-IBAN und Betrag müssen exakt stimmen. Kriminelle manipulieren manchmal die Daten zwischen Eingabe und Anzeige – das nennt sich Man-in-the-Browser-Angriff. Die pushTAN-App zeigt dir die Daten, die die Bank tatsächlich verarbeitet. Was du dort siehst, wird ausgeführt. Wer diese Prüfung überspringt, riskiert grobe Fahrlässigkeit – mit allen rechtlichen Konsequenzen.

Besonders wichtig: Gib niemals eine Transaktion frei, die du nicht selbst initiiert hast. Banken fragen niemals telefonisch, per E-Mail oder per Nachricht danach, eine Zahlung in der App zu bestätigen. Wer das behauptet, ist ein Betrüger.

Zwei-Geräte-Strategie umsetzen

Die BSI-Empfehlung ist eindeutig: Nutze Banking-App und pushTAN-App auf getrennten Geräten. Die sicherste Konfiguration ist Online-Banking am PC oder Laptop, pushTAN-App auf dem Smartphone. So sind beide Faktoren physisch getrennt. Selbst wenn dein Computer durch Schadsoftware kompromittiert wird, kann kein Angreifer ohne dein Smartphone eine Transaktion freigeben.

Nutzt du beides auf demselben Gerät, ist das zwar bequemer – aber das Sicherheitsniveau sinkt spürbar. Wie das Diagramm im vorherigen Abschnitt zeigt, fällt die Bewertung von 9 auf 6 Punkte, wenn beide Apps auf einem einzigen Gerät laufen.

App immer aktuell halten

Sicherheitsupdates schließen bekannte Schwachstellen. Aktiviere automatische App-Updates oder prüfe regelmäßig, ob eine neue Version der pushTAN-App verfügbar ist. Das gilt auch für das Betriebssystem deines Smartphones: Ein veraltetes Android oder iOS ist ein Einfallstor für Schadsoftware.

Zweitgerät registrieren

Registriere vorbeugend ein zweites Gerät. Das kann ein Tablet, ein Zweitsmartphone oder ein Gerät sein, das du normalerweise kaum nutzt. Im Verlustfall oder bei einem Defekt des Hauptgeräts bist du damit sofort wieder handlungsfähig – ohne tagelang auf einen neuen Registrierungsbrief warten zu müssen.

Keine Transaktionen auf Zuruf freigeben

Diese Regel kann nicht oft genug wiederholt werden: Gib niemals eine Transaktion frei, weil dich jemand am Telefon darum bittet. Auch nicht, wenn die Person behauptet, von deiner Bank zu sein. Echte Bankmitarbeiter fordern das niemals. Leg auf, ruf deine Bank über die offizielle Nummer zurück und schildere den Vorfall.

pushTAN ist eines der sichersten TAN-Verfahren, die heute für Privatnutzer verfügbar sind. Die TÜV-Saarland-Prüfung der S-pushTAN-App bestätigt das. Aber Technik allein reicht nicht. Wer die Auftragsdaten prüft, starke Passwörter nutzt, Biometrie aktiviert und die Zwei-Geräte-Strategie umsetzt, ist gegen die allermeisten Angriffe gut geschützt.