Die Tokenisierung ist eine der Schlüsseltechnologien bei der Digitalisierung des Zahlungsverkehrs. Seit Verbreitung des eCommerce gab es zahlreiche Angriffe auf Server von Online-Händlern und ihren Zahlungsabwicklern, durch die oft jeweils mehrere Millionen Kartendaten kompromittiert wurden. Durch Verpflichtung der Händler – also der Payees – auf die Umsetzung der PCI-Standards und der damit verbundenen (proprietären) Tokenisierung konnten bereits massive Kosteneinsparungen erzielt werden. Moderne Tokenisierungsansätze beinhalten zusätzliche interessante Funktionen für Payees und Payers.

Gastbeitrag – Tokenisierung im Kartengeschäft – Kevin Hampel und Alain Dietrich

Hintergrundinformationen

Im Automatengeschäft ersetzen Wertmünzen – Tokens – echte Münzen, um den Schaden durch Aufbruch zu reduzieren. Im digitalen Kartenzahlungsverkehr ist es ähnlich. Sensible Zahlungsinformationen wie die Kartennummer werden durch einen einmalig verwendbaren, ggf. an die Transaktion gebundenen Wert ersetzt. Wird die Transaktion mit einem Karten-Token gehacked, kann bspw. die ausgegebene Karte weiterverwendet werden.

So können umfangreiche Kartenaustauschprogramme aufgrund kompromittierter Payee-Server vermieden werden. Herstellung und Austausch einer einzelnen Karte verursachen inkl. Versand Kosten im mittleren einstelligen Euro-Bereich. Je angegriffener Payee-Infrastruktur, wurden regelmäßig mehrere Millionen Kartendaten erbeutet. Diese Daten wurden in professionell organisierten Netzwerken meist über das Darknet vermarktet. Hierdurch sind neben den Austauschkosten sowie hohen Betrugsschäden auch immense Betrugsbearbeitungskosten für die teilnehmenden PSP entstanden.

Neben einer höheren Netzwerksicherheit und einer finanziellen Risikoreduktion sind weitere Vorteile erzielbar. So sind durch Kombination mit anderen Technologien, z. B. automatisierte Token-Updates oder Payment-Wallet-Angebote möglich, welche durch Einsatz aktueller Tokenisierungsservices die Lösung zahlreicher Transaktions- und Sicherheitsprobleme im Kartenzahlungsverkehr darstellen. Tokenisierung ist damit eine der Schlüsseltechnologien bei der Digitalisierung des Zahlungsverkehrs.

Regulatorik / Rahmenbedingungen

Grundsätzlich muss jede Art der Verschlüsselung dem Schutzbedarf der Daten bei Speicherung und Übertragung gerecht werden.[1] Der Regulator achtet im Kartengeschäft insbesondere auf die Sicherheit im Zahlungsverkehr und die Stärkung des Verbraucherschutzes. Diese wurden in den letzten Jahren vor allem durch die Umsetzung der PSD2-Vorgaben und der sicheren Kundenauthentifizierung weiter gestärkt.

Ebenso kann sich ein technischer Regulierungsbedarf zur Sicherung der Interoperabilität oder zur Einhaltung eines Mindestsicherheitsstandards ergeben. Dies ist bei der Tokenisierung von Kartennummern der Fall, die allgemeingültig für alle beteiligten Schemes durch den PCI-Standard geregelt ist.[2]

Regulierungen für Gesamtlösungen inklusive einer Tokenisierung (z. B. Tokens mit Update-Funktion) erfolgen durch den entsprechenden Lösungsanbieter. Dies kann ein Zahlungssystem oder eine übergeordnete Spezifizierungsinstitution wie z. B. EMVCo sein.[3]

Technik / Funktionen

Während im Präsenzgeschäft in den letzten Jahren die Sicherheit kartenbasierter Lösungen durch Einführung der EMV-Chip Technologie anstelle der rein auf Magnetstreifen basierten Technologie vorangetrieben wurde, diente im Internet lediglich eine Prüfziffer als zusätzliche Sicherheit.

Die Generierung eines Tokens kann grundsätzlich auf drei Arten erfolgen:

  • Anwendung einer mathematisch reversiblen kryptografischen Funktion auf die zu schützende (Karten- oder Konto-Nummer)
  • Nicht-reversible Verschlüsselung (z. B. Hash Funktionen)
  • Der zu schützenden Nummer wird ein Token aus einem Token-Bestand zugewiesen

Eine Echtheitsprüfung kryptographisch generierter Tokens kann, je nach Verschlüsselungsmechanismus, auch durch Stellen erfolgen, die nicht auf die ursprüngliche Nummer zurückrechnen können. Dies erlaubt unterschiedlichste Rollenmodelle für die Parteien, die einen Token nutzen.

Reversible Tokens haben den Vorteil, dass sie durch eine berechtigte Stelle jederzeit in die ursprüngliche Nummer zurückgerechnet werden können. So kann bspw. der Payee für Folgetransaktionen den gleichen Token nutzen, ohne die Nummer zu speichern. Im Falle eines Geldwäscheverdachtes kann aber der PSP des Payers für entsprechende Ermittlungen die Nummer ermitteln. Ebenso bei der Untersuchung eines Betrugsfalles.

Tokens können bei einem Payee für mehrere regelmäßig (Abos) oder unregelmäßig (z. B. Reisestellenkarten) wiederkehrende Zahlungen hinterlegt werden. Technisch werden dabei unterschiedliche, payee-bezogene Tokens generiert, um die Tokens auch im digitalen Einsatz zu entkoppeln.

User Experience (UX)

Die UX variiert stark in Abhängigkeit des Einsatzgebietes der Tokenisierung. Im Allgemeinen stellt es sich für den Payer bei der Bezahlung so dar, dass er entweder Karten-/Kontodaten oder einen Token, den er von seinem PSP erhalten hat, weitergibt. Der Token beinhaltet dann ggf. bereits zusätzliche Daten, wie ein Verfallsdatum. Durch Hinterlegung des Tokens in einer Payment Wallet kann die Handhabung/UX weiter vereinfacht werden. Der Payer muss dann die meist lange Karten- oder Kontonummer nur noch einmalig bei Registrierung hinterlegen, um sie zukünftig automatisiert zu nutzen.

Diese Vereinfachung wäre auch ohne Tokenisierung zu erreichen, ist dann jedoch mit einem deutlich höheren Datensicherheitsrisiko verbunden.

Die UX des Payees hängt davon ab, ob er einen vom Payer übertragenen Token lediglich handhaben muss oder ob er selbst übertragene Karten-/ Kontodaten tokenisiert.

Für die Tokenisierung von Daten im Payee-Umfeld sind entsprechende Standardlösungen beziehbar. Der Installationsaufwand wird durch die höhere Sicherheit bei der Datenhaltung kompensiert. Z. B. gelten für die Speicherung nicht tokenisierter Kartendaten die strengen PCI-Vorschriften mit verpflichtenden Revisionsprüfungen.

Strategisches Potential

Tokenisierung wird als Schlüsseltechnologie angesehen, um die offenen Zahlungssysteme sicher in das digitale Zeitalter zu überführen.

Manche Zahlungsverfahren, insbesondere Kryptowährungen, werden durch Tokenisierung überhaupt erst ermöglicht. Andere, z. B. Kartenzahlungen, funktionieren prinzipiell ohne Tokenisierung – auch im Internet. Die Tokenisierung erhöht jedoch spürbar das Sicherheitsniveau. Sie verringert das Risiko millionenfacher Rückbuchungen betrügerischer Transaktionen und den Austausch zahlreicher, kompromittierter Karten. Damit leistet Tokenisierung einen Beitrag zur wirtschaftlichen Abwicklung von Internetzahlungen über Karten und Konten.

In Kombination mit Update-Funktionen ermöglicht Tokenisierung die dauerhafte Hinterlegung von Karten für Abonnements, wie z. B. beim Streaming. Bei Verfall der Karte kann so das Abo weiterlaufen. Der Verlust des Plastiks in der echten Welt oder die Kompromittierung der Kartendaten im digitalen Umfeld haben durch Tokenisierung keine Auswirkung mehr auf den jeweils anderen Einsatzbereich.

Während Kryptowährungen und die Tokenisierung von Kartendaten bereits im ausgereiften Stadium ein starkes Wachstum im Einsatz erleben, sind in andere Felder der Tokenisierung erst angedacht oder im Erprobungsstadium. Hierzu mehr im Factsheet Krypto-Tokens und im Big Picture Tokenisierung.

Über die Autoren

Kevin Hampel: Ist seit über 10 Jahren in den Bereichen Payments, Banking und Cards tätig. Spezialisiert auf die Bereiche Regulatorik, Projekt- & Strategie-Beratung.

Alain Dietrich: Mehr als 25 Jahre Branchenerfahrung, Führungsarbeit und die Mitwirkung in deutschen und europäischen Gremien bilden die Grundlage für seine Beratung bei Banken und Payment-Unternehmen.

Beitragsbild von ZSun Fu auf unsplash.com/photos/b4D7FKAghoE

Die beiden Grafiken stammen von den Autoren Kevin Hampel und Alain Dietrch.


© Copyright 2021. Kevin Hampel, Am Schleifweg 21, 97456 Dittelbrunn und Alain Dietrich, Venloer Straße 143, 50259 Pulheim, Deutschland. Alle Rechte vorbehalten.

[1] BaFin-Rundschreiben 10/2017 in der Fassung vom 16.8.2021 zu „Bankaufsichtliche Anforderungen an die IT (BAIT)

[2] PCI DSS Tokenization Guidelines 2.0 (August 2011)

[3] EMV Payment Tokenisation Specification Technical Framework (Version 2.2, Oktober 2020)