Tokenisierung – Mehr Sicherheit für Kreditkartendaten

12. Oktober 2021

Was ist Tokenisierung?
Was passiert mit Kreditkartendaten bei der Tokenisierung?
Was ist der Unterschied zwischen Tokenisierung und Verschlüsselung?
Ist Tokenisierung sicherer als Verschlüsselung?
Tokenisierung zur Reduzierung des PCI DSS Compliance Scope
Externe Tokenisierungsdienstleister vs. Eigenbetrieb
Ist Tokenisierung das Richtige für Ihr Unternehmen?

Was ist Tokenisierung?

Der Sinn der Tokenisierung besteht darin, die Verwendung und Speicherung sensibler Daten im Klartext auf möglichst wenige Stellen in Ihrer Umgebung zu beschränken. Token können verwendet werden, um jeden sensiblen oder nicht sensiblen Datensatz zu ersetzen, aber die beliebtesten Daten für die Tokenisierung sind nach wie vor Primary Account Numbers (PAN) oder Kreditkartennummern. Das Beste an einem korrekt implementierten Tokenisierungssystem ist, dass Unternehmen niemals die Kreditkarteninformationen ihrer Kunden sehen. Sie sehen nur Token, die im Grunde genommen nutzlose Informationsketten sind.

Was passiert mit Kreditkartendaten bei der Tokenisierung?

Diese fünf Schritte durchlaufen Kreditkarten vom Einzug bis zum Abschluss des Zahlungsvorgangs im Zuge eines Tokenisierungsvorgangs:

1.  Kreditkartendaten werden auf einer E-Commerce-Website eingegeben oder die Karte an einem POS-Gerät ausgelesen.

2.  Die E-Commerce-Website (oder das POS-Gerät) leitet die PAN an das Tokenisierungssystem weiter. Sie können selbst ein Tokenierungssystem einsetzen oder hierfür einen externen Dienstleister beauftragen . Entscheiden Sie sich für einen externen Dienstleister, übernimmt dieser die Speicherung der PANs auf seinen Systemen – und damit auch die Verantwortung für deren Sicherheit. (Unterschiede hierbei finden Sie unter Externe Tokenisierungsdienstleister vs. Eigenbetrieb).

3.  Das Tokenisierungssystem generiert eine Zeichenkette aus Zufallszeichen, um die PAN zu ersetzen, oder ruft das zugehörige Token ab (falls es bereits erstellt wurde) und speichert die Korrelation im Datentresor.

4.  Das Tokenisierungssystem gibt das Token an das POS-Terminal (oder die E-Commerce-Website) zurück und wird verwendet, um die Kreditkarte des Kunden im System zu repräsentieren.

5.  Wenn das Unternehmen die Tokenisierungslösung eines Zahlungsabwicklers verwendet, wird das Token an den Zahlungsabwickler gesendet, der mit der gleichen Tokenisierungstechnologie die ursprüngliche Kreditkartennummer de-tokenisieren, anzeigen und die Zahlung abwickeln kann. Wenn das Unternehmen eine Tokenisierungslösung eines Drittanbieters verwendet, wird das Token an den Drittanbieter gesendet, der es dann de-tokenisieren kann und es an den Zahlungsabwickler zur Kreditkartenverarbeitung weiterleitet.

Tokenisierung - modellhafte Darstellung

Was ist der Unterschied zwischen Tokenisierung und Verschlüsselung?

Obwohl einige Token (reversible kryptografische Token) mithilfe von kryptografischen Funktionen erstellt werden, sind Tokenisierung und Verschlüsselung sehr unterschiedliche Technologien, die verschiedene Vor- und Nachteile haben. Um die Debatte zwischen Tokenisierung und Verschlüsselung zu verstehen, muss man zunächst einmal wissen, dass Verschlüsselung reversibel ist, während Tokenisierung irreversibel ist.

Irreversible Token haben keine mathematische Beziehung zum ursprünglichen Datenpunkt. Mit anderen Worten: Man kann den Token-Wert nicht mathematisch zurückentwickeln, um zum ursprünglichen Datenpunkt zurückzukehren.

Bei der Verschlüsselung (P2PE usw.) hingegen wird eine mathematische Beziehung zum ursprünglichen Datenpunkt aufrechterhalten, was bedeutet, dass Verschlüsselungsmethoden nur so gut sind wie ihre Algorithmusstärke. Wenn ein Hacker den Algorithmus knackt, ist er auch in der Lage, alle verschlüsselten Werte zu entschlüsseln. Darüber hinaus sind insbesondere Verschlüsselungsschlüssel vor allem in großen Umgebungen sehr anfällig für Angriffe.

Ist Tokenisierung sicherer als Verschlüsselung?

Es gibt keine einfache Antwort auf diese Frage, da es sowohl für Tokenisierung als auch für Verschlüsselung Anwendungen gibt. Die Verschlüsselung eignet sich hervorragend für die Übertragung sensibler Daten. Da die Tokenisierung jedoch nicht durch Computeralgorithmen oder mathematische Formeln ausgenutzt werden kann, argumentieren einige, dass sie eine bessere Gesamtlösung für die Datensicherheit darstellt, insbesondere wenn es um Zahlungskartendaten geht. Selbst wenn tokenisierte Zahlungskartendaten gestohlen werden, bleiben sie sicher, solange der Datentresor geschützt ist.

Tokenisierung zur Reduzierung des PCI DSS Compliance Scope

Tokenisierungslösungen machen die Einhaltung des PCI DSS nicht überflüssig, aber sie können den Compliance-Nachweis eines Unternehmens stark vereinfachen, indem sie den Scope reduzieren, für den die PCI DSS-Anforderungen gelten. Denn durch die Speicherung von Tokens anstelle von PANs werden Karteninhaberdaten aus der eigenen IT-Umgebung vollständig eliminiert.

Das Grundprinzip ist dabei einfach: Systeme und Applikationen die (beispielsweise statt verschlüsselten PANs) nur noch Tokens übertragen, fallen nicht mehr in den PCI DSS Scope. In bestimmten Szenarien können Händler sogar zu einem kurzen SAQ A und Service Provider zu einem stark reduzierten SAQ D-SP greifen.

Externe Tokenisierungsdienstleister vs. Eigenbetrieb

Jedes Unternehmen kann grundsätzlich seinen eigenen Tokensierungsservice betreiben. Für einige Systeme in einer solchen Umgebung bleiben dabei die vollen technischen Anforderungen des PCI DSS bestehen. Dies betrifft die Systeme, die noch direkt (auch wenn nur temporär) mit vollen PANs in Berührung kommen (bspw. die Datenbank über die der Token mit der PAN verknüpft wird). Alle „dahinterleigenden“ Systeme und Applikationen verarbeiten nur noch Token und fallen daher aus dem technischen PCI DSS Scope. Das Unternehmen ist hierbei für den korrekten Betrieb seines Eigenen Tokenisierungs-Services verantwortlich.

In den vergangenen Jahren sind zunehmend Dienstleister auf den Markt getreten, die einem Unternehmen diese Schritte abnehmen. Da die PAN hier direkt bei dem Dienstleister in einen Token umgewandelt wird, kann sich ein Unternehmen vollständig von seinem technischen PCI DSS Scope betreien. Der Dienstleister ist hierbei für die sichere und korrekte Implementierung seines Services verantwortlich.

Ist Tokenisierung das Richtige für Ihr Unternehmen?

Die Gewichtung der Vorteile einer Tokenisierung hängt stark von der Größe der aktuellen PCI DSS Umgebung eines Unternehmens ab. Insbesondere für kleinere Händler, die ohnehin zertifizierte Zahlungsprodukte ihrer Acquiring Bank einsetzen, wie zum Beispiel iFrame-basierte payment-Pages, lohnt sich der zusätzliche betrieb eines Tokenisierungsservice kaum.

Unternehmen, die stattdessen auf eine Speicherung von Kreditkartendaten angewiesen sind, können von einer Tokensierung stark profitieren. Sie können beispielsweise ihre jährigen Zertifizierungskosten senken und Maßnahmen zum Schutz vormals kritischer Systeme zurückbauen.

Solche Unternehmen sollten genau planen, ob sich der Eigenbetrieb einer Tokenisierungslösung lohnt oder auf einen Dienstleister zurückgegriffen werden soll. Berücksichtigen Sie hierbei die Anschaffungs- und Implementierungskosten zusätzlicher eigener Systeme. Viele Dienstleister rechnen zudem pro Transaktion ab.

Achten Sie auf jeden Fall auf eine PCI DSS Level 1 Zertifizierung, sollten Sie einen Dienstleister mit der Tokenisierung Ihrer Kundendaten beauftragen. Eine solche Zertifizierung schafft Vertrauen und sollte jeder Anbieter vorweisen können.


Sie haben Fragen oder Interesse an Tokenisierung? Unsere Berater*innen helfen Ihnen gerne bei der Evaluation, ob der Einsatz einer Tokenisierungslösung das Richtige für Sie ist. Sprechen Sie uns gerne an.

Auch interessant:

Sunset des PCI DSS v4.0 am 31.12.2024: Seien Sie bereit!

Sunset des PCI DSS v4.0 am 31.12.2024: Seien Sie bereit!

PCI DSS v4.0: Im März 2024 wurde Version 4.0 des Payment Card Industry Data Security Standard nach einer zweijährigen Übergangsphase verpflichtend. Bereits wenige Monate später erschien mit Version 4.0.1 ein Minor Update des Standards, das zum 01.01.2025 verpflichtend...

mehr lesen

Kategorien

Kategorien