Verschlüsselung und Tokenisierung sind beides Datensicherheitstechniken. Verschlüsselung verschlüsselt sensible Daten, sodass sie ohne Entschlüsselungsschlüssel unlesbar werden. Bei der Tokenisierung werden sensible Daten durch einen nicht vertraulichen Ersatz (ein Token) ersetzt, der für sich genommen keinen Wert hat. Die Zunahme von Online- und digitalen Zahlungen hat zu einer Ausweitung dieser Sicherheitsmethoden geführt, wobei das Volumen der Transaktionen mit Token-Zahlungen bis 2026 voraussichtlich weltweit eine Billion übersteigen wird.

Im Folgenden werden wir die Unterschiede zwischen Verschlüsselung und Tokenisierung erläutern. Dabei wird auch erklärt, wie beide funktionieren, wie sie eingesetzt werden und was Unternehmen über ihren gemeinsamen Einsatz wissen müssen, um die Sicherheit von Zahlungssystemen zu gewährleisten.

Worum geht es in diesem Artikel?

• Wie funktioniert die Verschlüsselung?
  
• Wofür wird Verschlüsselung verwendet?
  
• Wie funktioniert die Tokenisierung?
  
• Wofür wird die Tokenisierung verwendet?
  
• Tokenisierung und Verschlüsselung: Hauptunterschiede und ihr Zusammenspiel
  
• Best Practices für den Einsatz von Verschlüsselung und Tokenisierung in Ihrem Unternehmen
  

Wie funktioniert die Verschlüsselung?

Bei der Verschlüsselung wird Klartext, die lesbare Form von Daten, in Geheimtext (ein unlesbares Format) umgewandelt. Sie wandelt Daten mithilfe eines kryptografischen Algorithmus (einer Reihe mathematischer Regeln, die vorgeben, wie die Daten verschlüsselt werden) und eines Schlüssels (einer Information, wie z. B. einem Passwort, die vom Algorithmus zum Ver- und Entschlüsseln der Daten verwendet wird) um.

Hier ein vereinfachtes Beispiel für die Funktionsweise:

• Klartext: „Hello“

• Schlüssel: „Secret“

• Algorithmus: Caesar-Chiffre (verschiebt jeden Buchstaben im Alphabet um eine bestimmte Anzahl von Stellen)

• Verschlüsselung: Der Algorithmus verschiebt unter Verwendung des Schlüssels „Secret“ jeden Buchstaben in „Hello“ um drei Stellen, was zu dem Geheimtext „Khoor“ führt.

Nur jemand mit dem richtigen Schlüssel („Secret“) und Kenntnis des Algorithmus (Caesar-Chiffre) wäre in der Lage, den verschlüsselten Text wieder in den ursprünglichen Klartext zu entschlüsseln.

Es gibt viele verschiedene Arten von Verschlüsselungsalgorithmen, die jeweils unterschiedliche Komplexitäts- und Sicherheitsgrade aufweisen. Zu den häufig verwendeten Algorithmen gehören Advanced Encryption Standard (AES) und Rivest-Shamir-Adleman (RSA).

Die Stärke der Verschlüsselung hängt von mehreren Faktoren ab, darunter der verwendete Algorithmus, die Länge und Komplexität des Schlüssels sowie die Sicherheit der Systeme zur Speicherung und Übertragung verschlüsselter Daten.

Wofür wird Verschlüsselung verwendet?

Durch die Verschlüsselung werden vertrauliche Informationen geschützt. Hier sind einige der häufigsten Anwendungen:

• Kommunikation: Die Verschlüsselung schützt Daten, die über Netzwerke übertragen werden – wie E-Mails, Nachrichten und Online-Transaktionen –, sodass nur autorisierte Parteien auf die Informationen zugreifen können und Abhören und Manipulationen verhindert werden.

• Datenspeicherung: Die Verschlüsselung schützt Daten, die auf Geräten und Servern gespeichert sind, und macht sie für Unbefugte unlesbar. Dies ist wichtig für sensible Informationen wie persönliche Daten, Finanzunterlagen und vertrauliche Geschäftsdokumente.

• Passwortschutz: Die Verschlüsselung speichert und schützt Passwörter. Anstatt Passwörter im Klartext zu speichern, wandelt die Verschlüsselung sie in verschlüsselte Hashes um. Dies macht es Hackern schwer, die Passwörter wiederherzustellen, selbst wenn sie sich Zugriff verschaffen.

• Dateiübertragung: Durch Verschlüsselung bleiben Daten vertraulich, wenn jemand Dateien über das Internet oder andere Netzwerke überträgt, und schützen so sensible Informationen wie geistiges Eigentum, medizinische Aufzeichnungen und Finanzdaten.

• Finanztransaktionen: Durch Verschlüsselung werden Finanztransaktionen in Online-Banking- und Zahlungssystemen vertraulich behandelt und sensible Informationen wie Kreditkartennummern und Bankkontodaten geschützt.

• Virtual Private Networks (VPNs): VPNs verwenden Verschlüsselung, um sichere Verbindungen über öffentliche Netzwerke herzustellen, sodass Nutzer/innen sicher und privat auf Ressourcen zugreifen können. Unternehmen verwenden häufig VPNs, um sensible Daten zu schützen, die zwischen Büros und externen Mitarbeiterinnen und Mitarbeitern übertragen werden.

• Digital Rights Management (DRM): DRM-Systeme verwenden Verschlüsselung, um den Zugriff auf urheberrechtlich geschütztes Material wie Software, Musik und Videos zu kontrollieren. Dadurch wird ein unbefugtes Kopieren oder Verteilen verhindert.

• Browsen: Hypertext Transfer Protocol Secure (HTTPS) verwendet Verschlüsselung, um den Datenverkehr auf der Website zu schützen und die zwischen dem Browser des Nutzers/der Nutzerin und dem Website-Server übertragenen Daten vertraulich zu halten.

• Messaging-Apps: Viele Messaging-Apps verwenden eine Ende-zu-Ende-Verschlüsselung, sodass nur der/die Absender/in und der/die vorgesehene Empfänger/in die Nachrichten lesen können. Dies bietet ein hohes Maß an Datenschutz und Sicherheit für sensible Kommunikation.

Wie funktioniert die Tokenisierung?

Bei der Tokenisierung werden sensible Daten – wie Kreditkartennummern oder Sozialversicherungsnummern und andere vertrauliche Informationen – durch nicht vertrauliche, zufällig generierte Entsprechungen namens Token ersetzt. Bei diesem Token handelt es sich um eine Zeichenfolge, die keinen inhärenten Wert oder Bedeutung hat. Selbst wenn ein Token kompromittiert wird, ist es für eine/n Angreifer/in nutzlos, da es keine sensiblen Informationen enthält. Es gibt zahlreiche Verwendungsmöglichkeiten für Token, was sie zu einem vielseitigen Werkzeug zum Schutz sensibler Daten macht.

Tokenisierungssysteme verwalten die Token und ihre Beziehung zu den Originaldaten. Diese Systeme speichern die ursprünglichen sensiblen Daten in einer hochsicheren Umgebung. Dies wird oft als Token-Tresor bezeichnet, der isoliert und vor unbefugtem Zugriff geschützt ist. Das System verwendet dann den Token anstelle der Originaldaten, wenn Prozesse wie Transaktionen abgeschlossen werden. In einigen Fällen kann das System die ursprünglichen sensiblen Daten mithilfe eines als „Detokenisierung“ bezeichneten Prozesses aus dem Token-Tresor abrufen, aber in der Regel geschieht dies nur, wenn es absolut notwendig ist und unter strengen Sicherheitskontrollen. Token sind so konzipiert, dass sie nicht rückgängig gemacht werden können, d. h. sie können nicht verwendet werden, um die ursprünglichen sensiblen Daten ohne Zugriff auf den Token-Tresor abzuleiten.

Wofür wird die Tokenisierung verwendet?

Die Tokenisierung sorgt in einer Vielzahl von Branchen und Anwendungen für die Sicherheit und den Schutz sensibler Daten. Häufige Anwendungsszenarien:

• Payment Card Industry Data Security Standard (PCI DSS): Durch die Tokenisierung werden Kreditkartendaten geschützt. Sie hilft Händlerinnen und Händlern und Zahlungsabwicklern, die PCI-DSS-Vorschriften einzuhalten, indem sie das Risiko von Datenschutzverletzungen und Betrug verringert.

• E-Commerce: Die Tokenisierung sichert Online-Transaktionen und schützt die Zahlungsinformationen der Kundinnen und Kunden während der Verarbeitung und Speicherung. Dies trägt dazu bei, sowohl Unternehmen als auch Kundinnen und Kunden vor finanziellen Verlusten durch unbefugten Zugriff auf Kartendaten zu schützen.

• Gesundheitswesen: Die Tokenisierung schützt die Gesundheitsinformationen von Patienten (Patient Health Information, PHI), indem sensible Datenelemente wie Sozialversicherungsnummern oder medizinische ID-Nummern durch Token ersetzt werden. Dies hilft Gesundheitsdienstleistern, die Bestimmungen des Health Insurance Portability and Accountability Act (HIPAA) einzuhalten und die Privatsphäre der Patienten zu schützen.

• Finanzdienstleistungen: Finanzanwendungen wie mobile Zahlungen, Peer-to-Peer-Transaktionen und Kontoverknüpfungen nutzen Tokenisierung, um sensible Finanzdaten vor unbefugtem Zugriff und Betrug zu schützen.

• Treueprogramme: Die Tokenisierung sichert Daten aus Kundenbindungsprogrammen, einschließlich Prämienpunkten oder Mitgliedsnummern, um die Daten der Kundinnen und Kunden zu schützen und Missbrauch zu verhindern.

• Datenspeicherung: Die Tokenisierung schützt sensible Daten, die in Datenbanken oder in der Cloud gespeichert sind, reduziert das Risiko von Datenschutzverletzungen und hält Informationen vertraulich.

• Regierung und öffentlicher Sektor: Die Tokenisierung schützt sensible Daten von Behörden und des öffentlichen Sektors wie Identitätsdaten, Steuerunterlagen und Sozialversicherungsnummern.

Tokenisierung und Verschlüsselung: Hauptunterschiede und ihr Zusammenspiel

Tokenisierung und Verschlüsselung sind komplementäre Datensicherheitstechniken, die häufig zusammen verwendet werden. Bei der Verschlüsselung werden Klartextdaten mithilfe eines kryptografischen Algorithmus und eines Schlüssels in ein unlesbares Format (Chiffretext) umgewandelt. Bei der Tokenisierung werden sensible Daten durch einen Ersatzwert ersetzt, der als Token bezeichnet wird und keinen intrinsischen Wert oder keine Bedeutung hat und keine mathematische Beziehung zu den ursprünglichen Daten aufweist.

Hier sind einige ihrer Unterschiede und funktionalen Überschneidungen:

Tokenisierung und Verschlüsselung zusammen können einen mehrschichtigen Sicherheitsansatz schaffen. Hier ist ein genauerer Blick darauf, wie sie zusammenarbeiten:

• Tokenisierung für die Speicherung: Ein/e Nutzer/in tokenisiert sensible Daten und speichert sie in einer Datenbank.

• Verschlüsselung für die Übertragung: Wenn Token für Zwecke wie die Zahlungsabwicklung übertragen werden müssen, kann der/die Nutzer/in diese für eine sichere Kommunikation verschlüsseln.

• Detokenisierung (falls erforderlich): In bestimmten Szenarien, die den Zugriff auf die Originaldaten erfordern, können autorisierte Parteien den Token-Tresor verwenden, um die Daten unter strengen Sicherheitsprotokollen zu detokenisieren.

Ein Beispiel für die Kombination von Tokenisierung und Verschlüsselung

Ein Einzelhändler speichert Kreditkarteninformationen von Kundinnen und Kunden. Anstatt die tatsächlichen Kartennummern zu speichern, verwenden sie Tokenisierung, um sie durch Token zu ersetzen. Der Einzelhändler verwendet die Token für Transaktionen, während die tatsächlichen Kartennummern sicher in einem Token-Tresor gespeichert und für zusätzlichen Schutz verschlüsselt werden.

Best Practices für den Einsatz von Verschlüsselung und Tokenisierung in Ihrem Unternehmen

Verschlüsselung und Tokenisierung sind wichtige Bestandteile eines robusten Datensicherheitssystems. Im Folgenden finden Sie einige Best Practices für die Implementierung wirksamer, konformer Sicherheitsstandards:

• Compliance: Machen Sie sich mit den relevanten Datenschutzbestimmungen in Ihrer Branche vertraut (z. B. PCI DSS, HIPAA, Datenschutz-Grundverordnung [DSGVO]), um sicherzustellen, dass Ihre Verschlüsselungs- und Tokenisierungspraktiken konform sind.

• Sicherheitsaudits: Überprüfen und überwachen Sie Ihre Verschlüsselungs- und Tokenisierungsprozesse regelmäßig, um potenzielle Schwachstellen und Sicherheitslücken zu identifizieren.

• Personalschulungen: Klären Sie Ihre Mitarbeiter/innen über die Bedeutung der Datensicherheit und den richtigen Umgang mit sensiblen Informationen auf.

• Incident-Response-Plan: Planen Sie eine schnelle, effektive Reaktion auf mögliche Sicherheitsverletzungen.

Verschlüsselung

Im Folgenden finden Sie einige bewährte Methoden für die Verwendung von Verschlüsselung:

• Verwenden Sie branchenübliche Algorithmen wie AES mit geeigneten Schlüssellängen (z. B. AES-256). Vermeiden Sie veraltete oder schwache Algorithmen.

• Schützen Sie Ihre Verschlüsselungsschlüssel. Bewahren Sie sie sicher auf, kontrollieren Sie den Zugriff streng und wechseln Sie sie regelmäßig. Für noch mehr Schutz sollten Sie ein Hardware-Sicherheitsmodul (HSM) verwenden.

• Verschlüsseln Sie sensible Daten, wenn sie auf Ihren Servern oder in der Cloud gespeichert sind und wenn sie über Netzwerke übertragen werden.

• Verwenden Sie sichere Protokolle wie Transport Layer Security (TLS), um Kommunikationskanäle zu verschlüsseln, damit die Daten zwischen Systemen vertraulich bleiben.

Tokenisierung

Im Folgenden finden Sie einige Best Practices für die Verwendung der Tokenisierung:

• Priorisieren Sie die Tokenisierung für hochsensible Daten wie Kreditkartennummern, Sozialversicherungsnummern und alle personenbezogenen Daten (PII).

• Speichern Sie die Originaldaten und ihre Beziehung zu den Token in einem sicheren Token-Tresor, getrennt von Ihrer Produktionsumgebung. Implementieren Sie strenge Zugriffskontrollen und Überwachung für den Tresor.

• Ziehen Sie eine formaterhaltende Tokenisierung (FPT) in Betracht, um das ursprüngliche Format der Daten beizubehalten und die Integration in vorhandene Systeme und Anwendungen zu vereinfachen.

• Entwickeln Sie eine klare Richtlinie für die Generierung, Verwendung und Außerbetriebnahme von Token, um sicherzustellen, dass sie angemessen verwendet werden und nicht veraltet oder anfällig werden.

Kombination von Verschlüsselung und Tokenisierung

Im Folgenden finden Sie einige Best Practices für die Kombination von Verschlüsselung und Tokenisierung in Ihrem Sicherheitssystem:

• Kombinieren Sie die Stärken beider Techniken für mehr Sicherheit. Verschlüsseln Sie tokenisierte Daten, um sie während der Übertragung zusätzlich zu schützen.

• Verwenden Sie Tokenisierung für die sensibelsten Daten und verschlüsseln Sie andere sensible Informationen, um Sicherheit mit Leistung und Nutzerfreundlichkeit in Einklang zu bringen.

• Bewerten Sie das Risiko, das mit verschiedenen Arten von Daten verbunden ist, und wenden Sie entsprechende Schutzmaßnahmen an. Nicht alle Arten von Daten erfordern dasselbe Maß an Sicherheit.