M.W.n. nicht, nein.
Die normalen Sparkassen-Girokarten mit VISA Debit Co-Badge werden soweit Ich weiß alle über PushTAN autorisiert, auch wenn man ChipTAN als TAN Verfahren für’s Online-Banking eingestellt hat. Zumindest bei den Banken mit denen Ich zu tun hatte.
Das müsste auch für die mit Mastercard Co-Badge gelten.
Alternativen sind wohl nicht vorhanden - höchstens für richtige VISA/Mastercard Debit- oder Kreditkarten, die kosten aber auch fast immer Extra und verwenden dann meist auch nur eine App zur Autorisierung. Ist bei meinen BW-Bank Konto als unter 30 Jähriger aber inklusive und eine Alternative vorhanden.
Bei der comdirect - leider eben keine Sparkasse - kann man auch mit dem physischen „Lesegerät“ seine VISA Debit Zahlungen autorisieren. Praktisch wäre es also wohl möglich, wenn die Sparkassen nur wollen. Quelle
Dort kostet die Girocard aber 1€/Monat, falls man eine braucht. Das Lesegerät auch etwas über 30€. Die Karten sind auch unfassbar hässlich. Erwähne Ich allgemein nur, weil Ich dort zuletzt Kunde war. 
Um meine Aussage hier zu verteidigen: Ich beklage mich darüber dass Banken einen dazu drängen auf sichere Systeme zu verzichten - damit meine Ich aber nicht das smsTAN Verfahren.
Wie durch das scheinbare blacklisten von GrapheneOS und dadurch auch im weiteren Sinne: dadurch dass Ich, außer wohl über weniger sichere Verfahren wie smsTAN, keine anderen Optionen mehr habe Online zu bezahlen.
Der „Simpel im Online-Banking“ Anteil bezieht sich aber auch nur auf den Wechsel zum ChipTAN Verfahren. Für den Wechsel der Kreditkarte von Appautorisierungen zu SMS müsste man erst einen Brief anfordern und verschiedene Infos parat haben. Für mich war das, unerwähnt, nur zügig möglich weil Ich das Konto neulich erst eröffnet habe. 
Ich befürchte, dass demnächst die Autorisierungsapps für Kreditkarten den gleichen Code implementieren - ob dieser absichtlich oder durch einen Fehler GrapheneOS blockiert ist dabei ja praktisch egal.
Es gibt schon seit Tagen Infos darüber, das Update wurde nicht zurückgehalten und für weitere Leute ausgerollt. Deswegen verwende Ich jetzt eben das weniger sichere smsTAN Verfahren.
Nicht erst wenn Ich definitiv gezwungen bin, mit Brieflaufzeiten von bis zu einer Woche, wenn sie sich spontan dazu entscheiden den gleichen Code zu implementieren und für mich bevorsteht Dinge zu bezahlen.
Um für smsTAN in diesen Fall eine Lanze zu brechen; Ich sehe das Risiko hier, in diesen Fall, auch als vernachlässigbar:
Mag sein dass meine SMS abgefangen werden können, das wäre ein großes Problem bei WhatsApp o.Ä. - ohne zweiten Faktor, wobei die 6 stellige PIN dort auch keine riesen Hürde ist, wenn Bruteforce irgendwie möglich ist - da dort mithilfe der Rufnummer und den SMS Codes einfach der Account kompromittiert werden kann.
Als auch eben bei allen anderen Accounts bei denen über solche TANs Logindaten zurückgesetzt oder vertrauliche Daten angefordert werden können.
Nur ist das hier nicht der Fall, und es wird hier beim smsTAN Verfahren nötig, dass man
- meine Kreditkartendaten entwendet
- die TLS verschlüsselte Verbindung zum Autorisierungsportal der Bank aufknackt, dieses kompromittiert, oder mein System kompromittiert um mein (25 Zeichen langes) Autorisierungspasswort abzuschnüffeln
- meine Mobilrufnummer „erraten“ müsste um dort die SMS Tan zu holen - oder hier weitflächigen Zugriff auf alle SMS haben müsste
- die TAN rechtzeitig verwenden müsste und nur x Versuche hat bevor die Methode gesperrt wird
Um überhaupt einen Schaden anzurichten.
Auf Punkt 1 lässt sich, ohne Zugriff auf das System der Bank, nicht durch Punkt 3 schließen, da die SMS lediglich den Händler, Transaktionswert und Währung, als auch die TAN beinhalten.
Es müssten schlussendlich 2-3 Systeme innerhalb der Ablaufzeit der Karte und eines Passwortwechsels kompromittiert werden. Die einzige Sicherheit die die smsTAN hier bringen soll ist ein „unabhängiger“ Kommunikationskanal. Das reicht mir aus.
Mir wäre natürlich eine App mit Certificate-Pinning und Verwendung des Secure Elements meines Gerätes lieber - aber das hält die Bank wohl für zu unsicher oder hat die eigene App kaputt gemacht. Mal schauen.