Was ist Tokenization?
Tokenization beschreibt den Prozess, bei dem sensible Daten durch einzigartige Identifizierungssymbole ersetzt werden, die sämtliche Informationen enthalten, ohne die Datensicherheit zu kompromittieren. Dafür werden sogenannte Tokens mit alphanumerischen Codes verwendet. Der Prozess steigt bei kleinen und mittleren Unternehmen in der Beliebtheit, um die Sicherheit von Kreditkartendaten und E-Commerce Transaktionen zu gewährleisten und gleichzeitig die Kosten zu senken und die komplexen Regulierungen einzuhalten. Standards der Payment Card Industry (PCI) verbieten das Speichern von Kreditkartennummern nach einer Transaktion. Um die PCI-Richtlinie zu erfüllen, müssen Unternehmen Ende-zu-Ende-Verschlüsselung einsetzen oder ihren Bezahlservice zu einem anderen Anbieter outsourcen, der Tokenization als Option anbietet. Ein POS-System erhält einen Zugang zum Service-Provider, der die Kreditkartennummern in zufällig generierte Werte (Tokens) umwandelt. Bei einer Transaktion unter Verwendung einer Kreditkarte enthält der Token beispielsweise nur die letzten vier Ziffern der Kreditkartennummer. Der restliche Token besteht aus alphanumerischen Zeichen, die Informationen zum Karteninhaber und der Transaktion beinhalten.
Wie schützt Tokenization vor Cyberkriminellen?
Im Vergleich zu älteren Systemen erschwert Tokenization Kriminellen den Zugang zu den Daten eines Karteninhabers. Zuvor wurden Kreditkartendaten in einer Datenbank gespeichert und frei über das Netzwerk ausgetauscht. Theoretisch lässt sich die Tokenization-Technologie für sensitive Daten unterschiedlicher Art einsetzen, wie für medizinische Patientendaten und den Aktienhandel.
Wo kommt die Technologie zum Einsatz?
Apple Pay und zahlreiche andere neue Kassensysteme nutzen die Codes und ersetzen damit die Kreditkartennummern in den Datensätzen der Händler. Bei richtiger Anwendung wird keine Kreditkartennummer im System eines Händlers gespeichert.
Beispiel
Angenommen ein Kunde möchte beim Zahlen an der Kasse die Tokenization-Technologie nutzen. Nach dem Einstecken der Kreditkarte ins Kartenlesegerät verschlüsselt dieses die Kreditkarteninformationen, wobei der Verschlüsselungscode nur der Bank bekannt ist. Anschließend wird die verschlüsselte Kreditkartennummer zur Bank gesandt und das Kassensystem des Händlers zeichnet einen Token-Wert auf, damit die Transaktion von der Bank diesem Prozess zugeordnet werden kann. Die unverschlüsselte Kreditkartennummer wird dabei zu keinem Zeitpunkt vom Kassensystem registriert.