Tokenization (Tokenisierung)

Beispiele für Tokenisierung

Die Tokenisierungstechnologie kann theoretisch für sensible Daten aller Art verwendet werden, zum Beispiel für Banktransaktionen, Krankenakten, Strafregister, Fahrzeugführerinformationen, Kreditanträge, Aktienhandel und Wählerregistrierung. Im Großen und Ganzen kann jedes System, in dem nicht sensible Daten als Ersatz für sensible Daten dienen können, von der Tokenisierung profitieren.

Tokenisierung wird häufig zum Schutz von Kreditkartendaten, Bankkontoinformationen und anderen sensiblen Daten verwendet, die von Zahlungsabwicklern verarbeitet werden. Zu den Anwendungsfällen bei der Zahlungsverarbeitung, bei denen sensible Kreditkartendaten in Token umgewandelt werden, gehören die folgenden:

• mobile Geldbörsen, wie Google Pay und Apple Pay
• E-Commerce-Websites
• Unternehmen, die die Karten ihrer Kunden in einer Datei speichern

Wie Tokenisierung funktioniert

Bei der Tokenisierung werden sensible Daten durch gleichwertige, nicht sensible Daten ersetzt. Die nicht sensiblen Ersatzinformationen werden als Token bezeichnet.

Token können auf folgende Weise erstellt werden:

• mithilfe einer mathematisch umkehrbaren kryptografischen Funktion mit einem Schlüssel
• mithilfe einer nicht umkehrbaren Funktion, zum Beispiel einer Hash-Funktion
• mithilfe einer Indexfunktion oder einer zufällig erzeugten Zahl

Im Ergebnis wird der Token zur exponierten Information, und die sensiblen Informationen, für die der Token steht, werden sicher in einem zentralen Server, dem Token-Tresor, gespeichert. Der Token-Tresor ist der einzige Ort, an dem die ursprünglichen Informationen dem entsprechenden Token zugeordnet werden können.

Hier ist ein Beispiel aus der Praxis, wie die Tokenisierung mit einem Token-Tresor funktioniert.

• Ein Kunde gibt seine Zahlungsdaten an einem Point-of-Sale (POS)-System oder einer Online-Kasse an.
• Die Angaben oder Daten werden durch einen zufällig generierten Token ersetzt, der in den meisten Fällen vom Zahlungs-Gateway des Händlers erzeugt wird.
• Die tokenisierten Informationen werden dann verschlüsselt und an einen Zahlungsabwickler gesendet. Die ursprünglichen sensiblen Zahlungsinformationen werden in einem Token-Tresor im Zahlungs-Gateway des Händlers gespeichert. Dies ist der einzige Ort, an dem der Token den Informationen zugeordnet werden kann, für die es steht.
• Die tokenisierten Informationen werden vom Zahlungsabwickler erneut verschlüsselt, bevor sie zur endgültigen Überprüfung gesendet werden.

Andererseits gibt es auch Tokenisierung ohne Tresor. Anstatt die sensiblen Informationen in einer sicheren Datenbank zu speichern, werden Token ohne Tresor mit Hilfe eines Algorithmus gespeichert. Wenn der Token reversibel ist, werden die ursprünglichen sensiblen Daten im Allgemeinen nicht in einem Tresor gespeichert.

Tokenisierung und PCI DSS

Die Standards der Zahlungskartenindustrie (Payment Card Industry Data Security Standards, PCI DDS) verbieten es Einzelhändlern, Kreditkartennummern nach Kundentransaktionen auf POS-Terminals oder in ihren Datenbanken zu speichern.

Um PCI-konform zu sein, müssen Händler entweder teure End-to-End-Verschlüsselungssysteme installieren oder ihre Zahlungsabwicklung an einen Dienstleister auslagern, der eine Tokenization-Option anbietet. Der Dienstleister kümmert sich um die Ausgabe des Token-Wertes und trägt die Verantwortung für die Sicherheit der Karteninhaberdaten.

In einem solchen Szenario stellt der Dienstleister dem Händler einen Treiber für das POS-System zur Verfügung, der Kreditkartennummern in zufällig generierte Werte (Token) umwandelt. Da es sich bei dem Token nicht um eine primäre Kontonummer (Primary Account Number, PAN) handelt, kann es nur im Zusammenhang mit einer bestimmten Transaktion mit einem bestimmten Händler verwendet werden.

Bei einer Kreditkartentransaktion beispielsweise enthält das Token in der Regel nur die letzten vier Ziffern der eigentlichen Kartennummer. Der Rest des Tokens besteht aus alphanumerischen Zeichen, die Informationen über den Karteninhaber und spezifische Daten für die laufende Transaktion darstellen.

Vorteile der Tokenisierung

Die Tokenisierung erschwert Hackern den Zugriff auf Karteninhaberdaten im Vergleich zu älteren Systemen, bei denen Kreditkartennummern in Datenbanken gespeichert und frei über Netzwerke ausgetauscht wurden.

Zu den wichtigsten Vorteilen der Tokenisierung gehören die folgenden:

• Sie ist besser mit älteren Systemen kompatibel als die Verschlüsselung.
• Es ist ein weniger ressourcenintensiver Prozess als Verschlüsselung.
• Sie reduziert die Risiken bei einem Datenverlust.
• Sie macht den Zahlungsverkehr bequemer, indem sie neue Technologien wie mobile Geldbörsen, One-Click-Zahlungen und Kryptowährungen vorantreibt. Dies wiederum stärkt das Vertrauen der Kunden, weil es sowohl die Sicherheit als auch die Bequemlichkeit der Dienstleistungen eines Händlers verbessert.
• Für die Händler verringert sich der Aufwand für die Einhaltung der PCI DSS-Vorschriften.

Geschichte der Tokenisierung

Tokenization gibt es schon seit den Anfängen der frühen Währungssysteme, wobei Münz-Tokens lange Zeit als Ersatz für echte Münzen und Banknoten verwendet wurden. U-Bahn-Tokens und Casino-Tokens sind Beispiele dafür, da sie als Ersatz für echtes Geld dienen. Dies ist eine physische Tokenisierung, aber das Konzept ist das gleiche wie bei der digitalen Tokenisierung: Sie dienen als Ersatz für einen wertvolleren Vermögenswert.

Die digitale Tokenisierung wurde bereits in den 1970er Jahren eingesetzt. In den damaligen Datenbanken wurde sie dazu verwendet, bestimmte sensible Daten von anderen gespeicherten Daten zu trennen.

In jüngerer Zeit wurde die Tokenisierung in der Zahlungskartenbranche eingesetzt, um sensible Karteninhaberdaten zu schützen und die Branchenstandards einzuhalten. Der Organisation TrustCommerce wird zugeschrieben, dass sie 2001 das Konzept der Tokenisierung zum Schutz von Zahlungskartendaten entwickelt hat.

Arten von Token

Es gibt zahlreiche Möglichkeiten zur Klassifizierung von Token.

Drei Haupttypen von Token - gemäß der Definition der Securities and Exchange Commission und der Schweizer Finanzmarktaufsicht - unterscheiden sich aufgrund ihrer Beziehung zu dem realen Vermögenswert, den sie repräsentieren. Dazu gehören die folgenden:

• Vermögenswert/Sicherheits-Token. Dies sind Token, die eine positive Rendite auf eine Investition versprechen. Sie sind wirtschaftlich vergleichbar mit Anleihen und Aktien.
• Utility-Token. Diese werden geschaffen, um als etwas anderes als ein Zahlungsmittel zu fungieren. Ein Utility Token kann zum Beispiel direkten Zugang zu einem Produkt oder einer Plattform gewähren oder einen Rabatt auf künftige Waren und Dienstleistungen, die von der Plattform angeboten werden, bieten. Er fügt der Funktion eines Produkts einen Mehrwert hinzu.
• Währungs-/Zahlungs-Token. Diese werden ausschließlich als Zahlungsmittel für Waren und Dienstleistungen außerhalb der Plattform geschaffen, auf der sie existieren.

Im Zusammenhang mit Zahlungen gibt es auch einen wichtigen Unterschied zwischen Token mit hohem und niedrigem Wert. Ein High-Value-Token fungiert in einer Transaktion als direkter Ersatz für eine PAN und kann die Transaktion selbst abschließen. Low-Value-Tokens (LVTs) fungieren ebenfalls als Ersatz für PANs, können aber keine Transaktionen abschließen. Stattdessen müssen die LVTs auf die tatsächlichen PANs zurückgeführt werden.

Tokenisierung und Verschlüsselung im Vergleich

Digitale Tokenisierung und Verschlüsselung sind zwei verschiedene kryptografische Methoden, die für die Datensicherheit verwendet werden. Der Hauptunterschied zwischen den beiden besteht darin, dass bei der Tokenisierung weder die Länge noch der Typ der zu schützenden Daten verändert wird, während bei der Verschlüsselung sowohl die Länge als auch der Datentyp verändert werden.

Dadurch wird die Verschlüsselung für jeden, der keinen Schlüssel hat, unlesbar, auch wenn er die verschlüsselte Nachricht sehen kann. Bei der Tokenisierung wird kein Schlüssel auf diese Weise verwendet - sie ist mit einem Entschlüsselungsschlüssel mathematisch nicht umkehrbar. Die Tokenisierung verwendet nicht entschlüsselbare Informationen, um geheime Daten darzustellen. Die Verschlüsselung ist mit einem Schlüssel entschlüsselbar.

Die Verschlüsselung war lange Zeit die bevorzugte Methode für Datensicherheit. In letzter Zeit hat sich jedoch die Tokenisierung als die kostengünstigere und sicherere Option durchgesetzt. Verschlüsselung und Tokenisierung werden jedoch oft zusammen verwendet.

Tokenisierung und Blockchain

Tokenisierung in Blockchain bezieht sich auf die Ausgabe eines Blockchain-Tokens, auch bekannt als Sicherheits- oder Vermögenswert-Token. Blockchain-Tokens sind digitale Repräsentationen von realen Vermögenswerten. Ein realer Vermögenswert ist tokenisiert, wenn er digital als Kryptowährung dargestellt wird.

In traditionellen, zentralisierten Wirtschaftsmodellen sind große Finanzinstitute und Banken für die Zertifizierung der Integrität des Transaktionsbuchs verantwortlich. In einer Blockchain-basierten Wirtschaft oder Token-Ökonomie verlagert sich diese Verantwortung und Fähigkeit auf Einzelpersonen, da die Integrität von Transaktionen mithilfe von Kryptographie auf individueller Ebene statt auf zentraler Ebene überprüft wird.

Dies ist möglich, weil die Kryptowährungs-Token in Blockchain oder einer Gruppe von digitalen Vermögenswerten miteinander verbunden sind, wodurch der digitale Vermögenswert dem realen Vermögenswert zugeordnet werden kann. Blockchains bieten eine unveränderliche, mit einem Zeitstempel versehene Aufzeichnung von Transaktionen. Jeder neue Satz von Transaktionen oder Blöcken in der Kette ist von den anderen in der Kette abhängig, um verifiziert zu werden.

Daher kann ein tokenisierter Vermögenswert in Blockchain von den dazu befugten Personen letztendlich zu dem realen Vermögenswert zurückverfolgt werden, den er repräsentiert - und bleibt dennoch sicher, da die Transaktionen von jedem Block in der Kette überprüft werden müssen.