Planet

Tokenisierung: Alles, was Sie wissen müssen

Letzte Aktualisierung am 18/04/24

Tokenisierung ist eine Möglichkeit für Unternehmen, sensible Daten zu schützen. Im Grunde genommen können Unternehmen damit sensible Daten in nicht sensible Daten umwandeln. Die nicht sensiblen Daten werden als "Token" bezeichnet, daher der Name.

Die Token haben keinen Bezug zu den Originaldaten, was ihre Werte angeht. Dennoch gibt es Möglichkeiten (z. B. das Format), die Token mit den Originaldaten zu verknüpfen. Auf diese Weise kann das Unternehmen seinen Geschäftsbetrieb mit einem geringeren Risiko von Datenlecks und Datenschutzverletzungen fortsetzen.

Hier erfahren Sie alles, was Sie über die Tokenisierung von Zahlungen wissen müssen. Wir diskutieren die Vor- und Nachteile, den Unterschied zwischen Tokenisierung und Verschlüsselung, die Arten von Token und vieles mehr.

Was ist ein Token?

Ein Token ist eine Dateneinheit. Die Art dieser Daten kann in Bezug auf Länge und Format sehr unterschiedlich sein. Es ersetzt jedoch immer andere Daten.

Durch die Verwendung einer kleinen Anzahl von Informationen, die von den ursprünglichen Daten beibehalten werden, kann ein Token effektiv als deren Ersatz fungieren. Es ist wichtig zu wissen, dass ein Token keinen eigenen Wert hat. Ohne die Originaldaten ist ein Token im Grunde bedeutungslos. Token werden jedoch weltweit anstelle einiger der sensibelsten Daten wie Kreditkarten und Ausweisnummern verwendet.

Eine gute Möglichkeit, über Token nachzudenken, ist die Vorstellung einer Hotelschlüsselkarte. Wenn jemand in einem Hotel eincheckt, erhält er in der Regel an der Rezeption eine Schlüsselkarte , nachdem seine Identität überprüft und die Reservierung bestätigt wurde. 

Diese Schlüsselkarte kann dann für den Zugang zu verschiedenen Bereichen im Hotel verwendet werden, z. B. wenn Sie besonderen Zugang zum VIP-Bereich haben oder wenn Sie Kindern den Zugang zum Poolbereich verwehren, ihnen aber dennoch den Zugang zu ihren Zimmern ermöglichen wollen. Das ist viel bequemer, als ständig Ausweispapiere oder mehrere Schlüssel mit sich führen zu müssen.

Was sind die Vorteile der Tokenisierung?

Lassen wir die Analogien hinter uns und gehen wir in die reale Welt. Hier sind einige der wichtigsten Vorteile der Tokenisierung:

  • Für Hacker ist es schwieriger, sich Zugang zu sensiblen Daten zu verschaffen. Dies liegt daran, dass die Daten selbst im Falle eines Einbruchs bedeutungslos sein werden.
  • Die Tokenisierung erfordert in der Regel keine Aufrüstung der Systeme zur Anpassung an neue Standards. Bei der Verschlüsselung hingegen kann eine Aufrüstung der Altsysteme erforderlich sein.
  • Die Tokenisierung erfordert nicht viele Ressourcen und ist eine kostengünstigere Alternative zu anderen Datensicherheitssystemen wie der Verschlüsselung.
  • Es erleichtert die Einhaltung von Vorschriften durch eine zusätzliche Sicherheitsebene. Wir werden später noch mehr ins Detail gehen.
  • Sie kann neue Möglichkeiten für die Effizienz in der Finanzbranche bieten. Die Tokenisierung ermöglicht Dienste wie One-Click-Payment bei Händlern. Dies liegt daran, dass Unternehmen damit PCI DSS erfüllen können, was eine Voraussetzung für One-Click-Zahlungen ist.
  • Ermöglicht alternative Formen der Vertragsabwicklung, z. B. durch die Nutzung der Blockchain, die Vorteile gegenüber herkömmlichen Systemen haben kann. Ein Beispiel hierfür wäre die Abwicklung eines Vertrags über Monero, um Privatsphäre und Anonymität zu gewährleisten.

Was sind die Nachteile der Tokenisierung?

Kein System ist perfekt. Dies gilt auch für die Tokenisierung. Hier sind die Hauptnachteile der Tokenisierung:

  • Es gibt keine klaren Vorschriften für die Tokenisierung. Dies führt zu Unsicherheiten, die für Unternehmen später kostspielig sein können. So kann ein Unternehmen beispielsweise gezwungen sein, sein Tokenisierungssystem zu ändern, wenn die Industrievorschriften die Einhaltung neuer Standards vorschreiben.
  • In bestimmten Fällen können tokenisierte Systeme Schwachstellen aufweisen, die es leichter machen, sie anzugreifen und zu verletzen. So können beispielsweise technische Schwachstellen Hackern den Zugriff auf sensible Daten durch die Verwendung eines Tokens ermöglichen.
  • Die Tokenisierung kann komplex sein und die IT-Struktur eines Unternehmens etwas schwieriger zu verstehen machen. Jeder neue IT-Techniker müsste das gesamte tokenisierte System verstehen, bevor er es warten oder Änderungen vornehmen kann.
  • Die Tokenisierung erfordert die externe Speicherung sensibler Daten. Das Unternehmen, das den Anbieter auswählt, könnte anfällig für Datenschutzverletzungen sein.
  • Nicht alle Zahlungsabwickler unterstützen die Tokenisierung. Dadurch haben Unternehmen und Händler bei der Auswahl von Zahlungsabwicklern weniger Möglichkeiten als bei einem herkömmlichen Ansatz.

Enttokenisierung

Bislang haben wir über die Tokenisierung und ihre Vor- und Nachteile gesprochen. Sobald die Daten mit Token versehen wurden, kann der Emittent durch einen Prozess, der als Enttokenisierung bekannt ist, auf die Daten zugreifen. 

So funktioniert die Enttokenisierung:

Das ursprüngliche Tokenisierungssystem ist das einzige, das auf die sensiblen Daten zugreifen kann. Die sensiblen Daten werden sicher bei dem Sicherheitsanbieter gespeichert.

In vielen Fällen wird ein Token nur einmal verwendet. Ein Beispiel dafür ist die Zwei-Faktor-Authentifizierung. Diese Token werden anschließend gelöscht, da sie keine weitere Verwendung haben. Es ist wichtig, daran zu denken, dass Token für sich genommen keinen Wert haben. Sie sind lediglich eine Darstellung der ursprünglichen Daten.

Jedes Unternehmen hat ein eigenes Tokenisierungssystem. Daher ist der Prozess der Enttokenisierung (Zugriff auf tokenisierte Daten) für jedes Unternehmen einzigartig. Genau aus diesem Grund ist die Tokenisierung so sicher.

Tokenisierung vs. Verschlüsselung

Für diejenigen, die sich in der Welt der Technik nicht so gut auskennen, mag Tokenisierung wie ein Konzept erscheinen, das der Verschlüsselung sehr ähnlich ist. Die beiden Verfahren unterscheiden sich jedoch grundlegend.

Bei der Verschlüsselung werden die Werte der Daten auf der Grundlage einer genauen Chiffre und eines Schlüssels verändert. Die Nutzer können die Daten dann entschlüsseln, solange sie den Schlüssel besitzen. Sobald etwas entschlüsselt wurde, befindet es sich wieder in seinem ursprünglichen Zustand.

Probleme mit der Verschlüsselung

Da die Daten auf der Grundlage der Chiffre gemischt wurden, kehrt der Chiffrierschlüssel genau denselben Prozess um. Dies kann ein Problem darstellen, da jeder auf die Daten zugreifen kann, solange er Zugang zum Verschlüsselungscode hat. Dies kann der Fall sein, wenn ein Schlüsselinhaber kompromittiert wird. Ein Hacker kann auch auf den Schlüssel zugreifen, wenn er in einem Dokument vermerkt ist.

Ein weiteres Problem bei der Verschlüsselung ist, dass viele Verschlüsselungssysteme geknackt werden können. Dies geschieht, wenn ein Computer über genügend Zeit und Leistung verfügt. Er wird alle möglichen Schlüsselkombinationen ausprobieren und schließlich auf die Daten zugreifen. Dies ist bei vielen fortgeschrittenen Verschlüsselungssystemen praktisch nicht möglich. Viele Low-Level-Systeme können leicht Opfer von Brute-Force-Angriffen werden.

Wie sich Tokenisierung unterscheidet

Ein Token kann nicht entschlüsselt oder umgedreht werden. Tatsächlich gibt es keinen Schlüssel oder Indikator, den eine Person verwenden könnte, um die sensiblen Daten hinter dem Token zu sehen.

Token können nur durch den Zugriff auf zusätzliche Daten wieder in ihre ursprüngliche Form gebracht werden. Diese Daten werden in der Regel aus Sicherheitsgründen extern gespeichert. Daher ist die Tokenisierung in der Regel auch eine kostengünstigere Option.

Das bedeutet, dass selbst bei einer Verletzung der Sicherheit eines Rechenzentrums die in einem tokenisierten System gewonnenen Daten für den Hacker keinen Wert haben. Die zusätzliche Sicherheitsebene ist genau der Grund, warum die Tokenisierung in den letzten Jahren an Bedeutung gewonnen hat.

Es gibt keinen klaren Sieger zwischen Tokenisierung und Verschlüsselung. Ob Tokenisierung oder Verschlüsselung verwendet wird, hängt von dem Unternehmen und der Art seiner Geschäftstätigkeit ab. Viele Unternehmen verwenden beides. Dies gilt insbesondere für Unternehmen mit vielen hochsensiblen Daten.

Arten von Token

Es gibt viele verschiedene Möglichkeiten, wie Token klassifiziert werden können. Viele Forschungsunternehmen klassifizieren Token auf ihre eigene Weise. Daher gibt es keine echte Möglichkeit, Token zu klassifizieren. Einer der Gründe dafür ist, dass der Großteil der Branche nicht reguliert ist.

Hier ist eine Möglichkeit, wie man Token klassifizieren könnte:

1. Zahlungsmünzen

Zahlungsmünzen werden für den digitalen Kauf und Verkauf von Gegenständen verwendet. Der Hauptvorteil der Verwendung von Zahlungstoken besteht darin, dass kein Vermittler erforderlich ist. Diese Token werden für den Kauf von Waren und Dienstleistungen in einem externen Netzwerk verwendet.

Die Branche der Zahlungsmünzen ist recht undurchsichtig. Sie werden nicht als Wertpapiere eingestuft. In der Tat gibt es in den meisten Ländern keine Vorschriften, die diese Token in irgendeiner Weise klassifizieren. Darüber hinaus garantieren sie keinen Zugang zu irgendetwas, sobald sie den Besitzer wechseln. Gute Beispiele für Zahlungs-Token sind die meisten Kryptowährungen wie Bitcoin und Ethereum. Zahlungsmünzen werden manchmal auch als Währungsmünzen bezeichnet.

2. Gebrauchswertmünzen

Utility-Tokens unterscheiden sich von Zahlungs-Tokens. Sie repräsentieren etwas auf der Blockchain, werden aber nicht als Währung verwendet. Hier bietet der Token seinem Inhaber ein Produkt oder eine Dienstleistung. Der Emittent des Tokens entscheidet dies. Beispielsweise kann ein Token dem Inhaber erlauben, beim Emittenten Programmguthaben zu erhalten.

Oder der Inhaber kann auf bestimmte Dienste mit einem Rabatt zugreifen. Zu beachten ist, dass Utility-Token sofort ihren Wert verlieren können. Sie gelten nicht als Investition und sind weltweit weitgehend unreguliert. Beispiele hierfür sind Golem und Brickblock.

3. Sicherheitsmünzen

Wie der Name schon sagt, sind diese Token mit Wertpapieren vergleichbar. Diese Token werden manchmal auch als Asset-Token bezeichnet. Bestimmte Vorschriften für Sicherheits-Token variieren je nach Land. In den meisten Fällen versprechen Sicherheits-Token eine positive Rendite. Viele Menschen sind der Ansicht, dass sie sich ähnlich wie Anleihen und andere kreditbasierte Instrumente verhalten.

In vielen Fällen werden Sicherheits-Token verwendet, um Finanzinstrumente wie Anleihen zu tokenisieren. Auch Währungen und Immobiliensicherheits-Token sind weit verbreitet. Diejenigen, die auf realen Vermögenswerten basieren, werden in der Regel als Asset-Backed-Token bezeichnet, während andere als Equity-Token bekannt sind.

4. DeFi-Münzen

DeFi-Tokens werden, wie der Name schon sagt, für dezentrale Finanzen verwendet. Sie werden verwendet, um Apps und Dienste zu betreiben, die für Transaktionen in den Apps genutzt werden können. Die DeFi-Token basieren größtenteils auf der Ethereum-Blockchain. Diese Token können für Bankgeschäfte und Investitionen verwendet werden.

Dies kann sowohl für traditionelle Vermögenswerte, die tokenisiert wurden, als auch für Blockchain-bezogene Vermögenswerte erfolgen.

5. Nicht fälschbare Wertmünzen

Nicht-fungible Token sind Zertifikate, die digitales Eigentum an etwas darstellen. Dabei kann es sich um etwas so Einfaches wie einen Screenshot eines Memes oder ein Gemälde eines Künstlers handeln. NFTs waren für kurze Zeit extrem beliebt und stiegen im Wert in die Höhe, bevor sie abstürzten. Obwohl sie von vielen als Modeerscheinung betrachtet werden, können sie immer noch einen gewissen Wert haben, wenn es um Kunst geht.

Datensicherheitsstandards der Zahlungskartenindustrie (PCI DSS)

Der PCI DSS ist einer der Hauptgründe, warum Tokenisierung so wichtig ist. Die Einhaltung der PCI DSS-Bestimmungen ist für jeden Händler, der in seinem Unternehmen Kartenzahlungen akzeptieren möchte, von entscheidender Bedeutung.

Der Hauptgrund für die Existenz des PCI DSS besteht darin, den Schutz der Kundendaten zu gewährleisten. Die vielleicht wichtigste Vorschrift ist, dass Kreditkartennummern nach der Transaktion nicht vom Händler gespeichert werden dürfen. Dies gilt auch für die Datenbank des Händlers und die POS-Terminals.

Wie Tokenisierung bei PCI DSS hilft

Bevor die Tokenisierung populär wurde, war die Verschlüsselung die beliebteste Methode zur Einhaltung der Vorschriften. Wir haben jedoch bereits die Vor- und Nachteile dieser Methode gesehen. Das Hauptproblem ist, dass die Kosten recht hoch sein können. Die Verschlüsselung erfordert Datensysteme, die in der Lage sein müssen, die für eine erweiterte Verschlüsselung erforderlichen Berechnungen durchzuführen.

Dies ist ein noch größeres Problem für kleinere Händler mit geringen Budgets. Ein kleinerer Händler muss möglicherweise ein umfangreiches Upgrade durchführen, um seine Daten zu verschlüsseln. Die Tokenisierung ist eine praktikable Alternative. Bei der Tokenisierung werden nur die letzten vier Ziffern der Karte in den Systemen des Händlers gespeichert. Die eigentlichen Daten des Karteninhabers werden an einem sicheren Ort von einem Dritten gespeichert. Dieser Dritte ist auch für die Ausgabe der Token zuständig. Das Token wird erstellt, indem die Kartennummern in Zufallswerte geändert werden. Dieses Token kann dann für eine bestimmte Transaktion mit dem Händler verwendet werden.  

In der schnelllebigen Welt der Technologie und Datensicherheit erweist sich die Tokenisierung als wichtiges Instrument zum Schutz sensibler Informationen. Sie bietet eine kosteneffiziente, sichere und anpassungsfähige Möglichkeit für Unternehmen, Daten wie Kreditkartennummern und Identifikationsinformationen zu schützen und so das Risiko von Datenschutzverletzungen und Datenlecks zu verringern. Von der Analogie der Hotelschlüsselkarte bis hin zu den praktischen Anwendungen in verschiedenen Branchen unterscheiden sich die einzigartigen Eigenschaften der Tokenisierung von der Verschlüsselung und bieten eine zusätzliche Sicherheitsebene.

Der Weg zur Einführung der Tokenisierung ist jedoch nicht ohne Herausforderungen. Das Fehlen klarer Vorschriften, potenzielle Schwachstellen, die Komplexität der IT-Struktur und andere Nachteile machen den Entscheidungsprozess nuanciert und kontextspezifisch. Die Tokenisierung wird ein immer wichtigerer Bestandteil der digitalen Sicherheitslandschaft werden. Sie bietet Möglichkeiten zur Effizienzsteigerung im Finanzsektor und erleichtert die Einhaltung wichtiger Standards wie PCI DSS.

Da sich Unternehmen mit den sich entwickelnden Bedrohungen der digitalen Welt auseinandersetzen müssen, ist ein Verständnis der Tokenisierung, ihrer Anwendungen, ihrer Unterschiede zur Verschlüsselung und der Palette der verfügbaren Token unerlässlich. Unternehmen, die eine Tokenisierung in Erwägung ziehen, sollten die vielen Vorteile gegen die potenziellen Nachteile abwägen und sich mit Experten beraten, um eine Strategie zu entwickeln, die ihren individuellen Bedürfnissen und Zielen entspricht.

Letztendlich ist Tokenization mehr als nur ein Schlagwort; es ist eine greifbare Lösung mit dem Potenzial, die Art und Weise, wie wir über Datensicherheit und Datenschutz in der zunehmend vernetzten globalen Wirtschaft denken, zu verändern. Ihre strategische Umsetzung könnte sich zu einem Standardverfahren entwickeln, das branchenübergreifend ist und die Zukunft der sicheren Datenverwaltung prägt. Unabhängig davon, ob sich ein Unternehmen für Tokenisierung, Verschlüsselung oder eine Kombination aus beidem entscheidet, ist klar, dass die Suche nach Sicherheit in unserem digitalen Zeitalter eine komplexe und sich ständig weiterentwickelnde Herausforderung bleibt.

Häufig gestellte Fragen (FAQs)

    Card-on-file bedeutet, dass ein Unternehmen die Daten eines Kunden für zukünftige Transaktionen speichert. Dies kann nur mit der Zustimmung der Person geschehen. Es gibt viele Vorschriften, die Card-on-File-Transaktionen regeln, darunter PCI DSS. Mit der Tokenisierung können die Unternehmen sicherstellen, dass die von ihnen gespeicherten Informationen sicher sind. Die Token können nicht verwendet werden, um auf die Kreditkarteninformationen zuzugreifen, auch nicht im Falle einer Sicherheitsverletzung. Die Tokenisierung ist für alle Karten anwendbar. Das bedeutet, dass die Karte eines Kunden geschützt ist, unabhängig davon, ob es sich um eine Debit-, Kredit- oder Prepaid-Karte handelt.

    Es ist möglich, Daten durch Tokenisierung zu anonymisieren. Bestimmte Branchen verlangen von Händlern und Unternehmen, dass sie Daten aufbewahren, die nicht zu ihren Eigentümern zurückverfolgt werden können. Die Tokenisierung ermöglicht es Unternehmen, die ursprünglichen Daten und ihre Quelle zu entkoppeln. Dies kann genutzt werden, um regulatorische Anforderungen zu erfüllen. Allerdings ist es wichtig, die Daten so zu tokenisieren, dass sie nicht zurückverfolgt werden können.

    Ja, bei der Tokenisierung werden die Daten maskiert, indem die Originalwerte durch Alternativen ersetzt werden. Auf die Originaldaten kann außer dem Aussteller niemand zugreifen. Bei der Tokenisierung werden die Originaldaten sicher gespeichert, während die mit Token versehene Version (maskiert) zur Verwendung innerhalb der Organisation zur Verfügung gestellt wird.

    Ein Kunde hat keine Beziehung zu der Tokenisierung. Als solcher muss er nichts dafür bezahlen. Die Tokenisierung ist eine Schutzmaßnahme, die von der kartenausgebenden Bank vorgenommen wird. In seltenen Fällen wird sie von einem Kartennetz wie Mastercard oder Visa übernommen.

    Sie könnten auch interessiert sein an...

    Auth0: Technischer Überblick und Hauptvorteile
    Was ist PSD3? Ein Leitfaden für die neue europäische Verordnung