Das ist seit alters her so, dass jede Bank meint, sie weiss es am Besten und alle anderen Banken sind dumm. Außerdem möchte jede Bank irgendwelche Alleinstellungsmerkmale haben, die anders als bei anderen Banken ist. Sonst wäre es für einen Kunden ja auch viel zu einfach, zu wechseln oder mehrere Institute parallel zu nutzen... Steckt sicher auch etwas "Kundenbindung" (ich sage dazu eher Fesselung bzw. Vergwaltigung dazu) dahinter. Und das war schon zu BTX-Zeiten so, dass man zwar einerseits etwas standardisiertes hatte, aber jedes Bank-Rechenzentrum das anders ausgelegt hat.
Das Problem mit dem "echten" Chipkarten-Verfahren ist, dass Du nicht sicher sehen kannst, was genau Du freigibst. Wenn sich jemand in die Verbindung einschleicht ("man-in-the-middle"), dann wird dir an Deinem PC-Bildschirm angezeigt "100 Euro an Firma Schmidt" - beim Bankrechner kommt aber an "10.000 Euro nach Rußland". Du signierst vermeintlich die 100 Euro, in Wirklichkeit aber die 10.000 Euro und hast keine Chance, das zu bemerken. Bei den neuen Verfahren ist das anders. Da wird vom Bankrechner verschlüsselt das zurückgespiegelt, was wirklich beim Bankrechner angekommen ist. Und das wird auf einem gesonderten Gerät angezeigt - entweder dem TAN-Generator oder dem Smartphone. Da könntest Du dann sehen "10.000 Euro..." und den Vorgang abbrechen. Da hat auch keiner die Möglichkeit, sich dazwischenzusetzen. Und die generierte bzw. angezeigte TAN gilt nur für den angezeigten Auftrag (also die 100 Euro). Sollte nochmal was geändert werden, ist diese TAN dafür nicht mehr gültig. Somit ist man auf der sicheren Seite. Das Alles war früher bei Erfindung des Chipkartenverfahrens kein Problem, ist es aber im Lauf der Jahrzehnte geworden.
Die letzte Frage ist falsch: Welchen Vorteil bietet PIN/chipTAN gegenüber PIN/pushTAN. In beiden Fällen ist es ein TAN-Verfahren, das zum Login eine PIN nutzt und ein TAN-Verfahren zur Freigabe.
pushTAN
Vorteil: Es wird kein besonderer Leser benötigt und auch nicht die GiroCard. Man muß nur sein Smartphone zur Hand haben, was bei sehr vielen Menschen heutzutage der Fall ist - auch unterwegs.
Nachteil: Es gab schon teil-erfolgreiche Angriffe auf dieses Verfahren und es ist auf einem "Online-Gerät" potentiell eher angreifbar und somit zwangsweise weniger sicher als chipTAN.
chipTAN:
Vorteil: Das Verfahren ist derzeit das wohl sicherste von allen verfügbaren. Die Kryptografie findet im Chip der GiroCard statt, der TAN-Generator ist im Prinzip nur ein Eingabe- und Anzeigegerät. Der Chip kann von keinem Bösewicht angefriffen und beeinflusst werden. Zumal der TAN-Generator nicht mit dem Internet verbunden ist.
Nachteil: Man benötigt den gesonderten TAN-Generator, was insbesondere unterwegs stört. Weiterhin ist die "normale" optische Übertragung mitunter etwas hakelig und damit unbequem, insbesondere bei "vielen" Überweisungen. Um das zu umgehen gibt es das chipTAN-usb-Verfahren wo die Flackerei durch usb-Verbindung ersetzt wird. Ist bequemer, aber nur für "zuhause" geeignet.
Das PhotoTAN-Verfahren der DeuBa und comdirekt finde ich recht "nett" und auch schnell und bequem. Es ist aber auch schon halberfolgreich angegriffen worden, weil dabei kein unbeeinflussbarer Chip zum Einsatz kommt, sondern nur Signaturdaten, die auf dem Smartphone oder dem Hardware-Phototan-Leser gespeichert werden. Ob da noch erfolgreichere Angriffe drauf kommen werden bleibt abzuwarten.
Ein Zwitterding ist bei den Sparkassen gerade im Kommen: chipTAN-Photo. Das ist das bisherige chipTAN-Verfahren, allerdings findet da die Übertragung nicht mehr mit den flackernden Balken statt, sondern über so einen bunten Barcode wie beim PhotoTAN-Verfahren. Aber die TAN wird weiterhin vom Chip erzeugt, nicht auf dem (evtl. beeinflussbaren) Gerät. Diese Form wird wohl in den nächsten Monaten bei den Sparkassen "ausgerollt".
Welches Verfahren - im Rahmen der von der jeweiligen Bank angebotenen - das geeignetste ist, muss jeder für sich entscheiden.
smsTAN würde ich allerdings heute nicht mehr anfangen. Darauf gab es schon diverse erfolgreiche Angriffe. Sei es durch unbefugtes Beschaffen von Multicards zur Haupt-Mobilfunkkarte (und damit Abfischen der SMS) oder Verwendung des Verfahrens auf Smartphones mit Trojanerverseuchung oder auch der nicht allzu schwierigen Umleitung des SMS-Versands in ausländische Mobilfunknetze. Das Problem ist, dass dabei die Sicherheit (der Empfang der SMS) nicht mehr im Einflussbereich der Bank sondern in dem des Mobilfunkers liegt. Und für den sind SMS nun mal nichts sicherheitsrelevantes...