Tokenisierung – Was ist das und wie wird sie eingesetzt?

Tokenisierung ist ein Verfahren im Zahlungsverkehr, bei dem sensible Zahlungsdaten durch einen technisch generierten Ersatzwert, einen sogenannten Token, ersetzt werden. Der Token enthält keine direkt nutzbaren Originaldaten und kann außerhalb des vorgesehenen Systems nicht zur Durchführung einer Zahlung verwendet werden.

Im elektronischen Zahlungsumfeld betrifft dies insbesondere Kartennummern, Kontodaten oder andere vertrauliche Informationen. Ziel der Tokenisierung ist es, das Risiko bei Datenverarbeitung und -speicherung zu reduzieren, ohne den eigentlichen Zahlungsprozess zu verändern.

Wie funktioniert Tokenisierung?

Bei der Tokenisierung werden Originaldaten durch einen zufällig oder regelbasiert erzeugten Ersatzwert ersetzt. Dieser Token wird in internen Systemen gespeichert und verarbeitet, während die sensiblen Originaldaten in einer gesicherten Umgebung verbleiben.

Der Token selbst besitzt keine mathematische Beziehung zu den Originaldaten, wie es bei der Verschlüsselung der Fall ist. Die Zuordnung zwischen Token und Originalwert erfolgt über eine geschützte Datenbank, die häufig als Token Vault bezeichnet wird.

Im Zahlungsverkehr wird die Tokenisierung typischerweise unmittelbar nach Eingabe der Zahlungsdaten durchgeführt. Ab diesem Zeitpunkt werden in nachgelagerten Prozessen nur noch die Token-Werte verwendet.

Technischer Ablauf im Detail

Der technische Ablauf beginnt mit der Erfassung sensibler Zahlungsdaten, beispielsweise einer Kartennummer. Diese Daten werden an ein Tokenisierungssystem übermittelt, das den Originalwert analysiert und einen eindeutigen Token erzeugt.

Der Token wird anschließend an das anfragende System zurückgegeben, während die Originaldaten sicher gespeichert oder unmittelbar weitergeleitet werden. In internen Verarbeitungsschritten, etwa bei Autorisierungsanfragen oder Buchungsvorgängen, wird ausschließlich mit dem Token gearbeitet.

Soll eine tatsächliche Zahlungsabwicklung erfolgen, wird der Token durch das Tokenisierungssystem wieder dem Originalwert zugeordnet. Dieser Prozess findet innerhalb einer geschützten Infrastruktur statt. Externe Systeme erhalten keinen Zugriff auf die hinterlegten Originaldaten.

Durch diese Trennung bleibt das Risiko bei Datenlecks oder unbefugtem Zugriff auf nachgelagerte Systeme reduziert, da dort keine verwertbaren Originaldaten gespeichert sind.

Zentrale Merkmale und Besonderheiten

Tokenisierung weist mehrere charakteristische Eigenschaften auf:

• Ersatz sensibler Daten durch nicht verwertbare Platzhalter

• Trennung zwischen Originaldaten und operativer Verarbeitung

• Einsatz eines zentralen Zuordnungssystems (Token Vault)

• Begrenzte Nutzbarkeit des Tokens außerhalb definierter Systeme

In der Regel ist ein Token nur innerhalb eines bestimmten Systems oder bei einem bestimmten Zahlungsdienst nutzbar. Häufig werden sogenannte domänenspezifische Token verwendet, die beispielsweise nur für einen bestimmten Händler oder eine bestimmte Anwendung gültig sind.

Ein weiteres typisches Merkmal ist die irreversible Struktur des Tokens. Ohne Zugriff auf das Tokenisierungssystem kann der Originalwert nicht rekonstruiert werden. Dadurch unterscheidet sich die Tokenisierung grundlegend von der Verschlüsselung.

In welchen Zahlungssituationen wird Tokenisierung verwendet?

Tokenisierung wird in verschiedenen Zahlungssituationen eingesetzt, insbesondere dort, wo Zahlungsdaten wiederkehrend gespeichert oder verarbeitet werden:

• Speicherung von Kartendaten für wiederkehrende Zahlungen

• Mobile Zahlungsanwendungen

• Digitale Wallet-Systeme

• Abonnementbasierte Zahlungsmodelle

• Händlerinterne Zahlungsabwicklungen

Auch bei kontaktlosen oder gerätegebundenen Zahlungen werden häufig Token verwendet, um reale Kartendaten nicht direkt im Umlauf zu halten.

Im Rahmen moderner Sicherheitsverfahren im Zahlungsverkehr bildet die Tokenisierung eine ergänzende Maßnahme neben anderen technischen Schutzmechanismen Sicherheitsverfahren – Welche technischen Maßnahmen gibt es?.

Abgrenzung zu ähnlichen Begriffen

Tokenisierung wird häufig mit anderen Sicherheitsbegriffen gleichgesetzt, unterscheidet sich jedoch klar von diesen:

Verschlüsselung
Bei der Verschlüsselung werden Daten mathematisch transformiert und können mit dem passenden Schlüssel wiederhergestellt werden. Bei der Tokenisierung existiert keine mathematische Rückrechnungsmöglichkeit.

Maskierung
Maskierung verdeckt Teile von Daten, lässt jedoch einen Teil erkennbar. Tokenisierung ersetzt den gesamten sensiblen Wert.

Anonymisierung
Anonymisierung entfernt dauerhaft Personenbezug. Tokenisierung erhält die Möglichkeit der späteren Zuordnung innerhalb eines geschützten Systems.

Tokenisierung dient primär der Minimierung von Risiken bei Speicherung und Verarbeitung sensibler Zahlungsdaten.

Häufige Fragen

Was ist ein Token im Zahlungsverkehr?
Ein Token ist ein technischer Ersatzwert für sensible Zahlungsdaten, der ohne Zugriff auf das Tokenisierungssystem nicht verwertbar ist.

Wie unterscheidet sich Tokenisierung von Verschlüsselung?
Tokenisierung ersetzt Daten durch Platzhalter, während Verschlüsselung Daten mathematisch transformiert und mit einem Schlüssel wiederherstellbar macht.

Wann wird Tokenisierung eingesetzt?
Tokenisierung wird eingesetzt, wenn Zahlungsdaten gespeichert oder wiederkehrend verarbeitet werden.

Wer nutzt Tokenisierung?
Tokenisierung wird von Zahlungsdienstleistern, Händlern und technischen Plattformen eingesetzt, die elektronische Zahlungen abwickeln.