Einführung
Verschlüsselung ist der Prozess der Verwendung eines Algorithmus zur Transformation Klartext Informationen in eine nicht lesbare Form namens Geheimtext. Einfacher ausgedrückt: Verschlüsselung verändert lesbare Daten so, dass sie zufällig erscheinen. Verschlüsselung schützt die Vertraulichkeit digitaler Daten, die auf Computersystemen gespeichert oder über ein Netzwerk wie das Internet übertragen werden. Wenn der Empfänger auf die Nachricht zugreift, werden die Informationen in einem Prozess namens „Verschlüsselung“ wieder in ihre ursprüngliche Form zurückübersetzt. Entschlüsselung. Um die Nachricht zu entschlüsseln, müssen sowohl der Absender als auch der Empfänger einen geheimen Verschlüsselungsschlüssel verwenden – eine Sammlung von Algorithmen, die Daten verschlüsseln und wieder in ein lesbares Format bringen.
Was ist Tokenisierung?
Bei der Tokenisierung werden sensible Datenelemente (wie z. B. eine Bankkontonummer oder Kreditkartennummer) durch einen nicht sensiblen Ersatz, ein sogenanntes Token, ersetzt. Das Token ist eine zufällig generierte Datenzeichenfolge ohne wesentlichen Wert oder Bedeutung. Im Gegensatz zu verschlüsselten Daten sind tokenisierte Daten nicht entzifferbar und irreversibel, da zwischen dem Token und seiner ursprünglichen Nummer keine mathematische Beziehung besteht. Es gibt keinen Schlüssel oder Algorithmus, mit dem sich die ursprünglichen Daten eines Tokens ableiten lassen. Stattdessen wird bei der Tokenisierung eine Datenbank, ein sogenannter Token-Tresor, verwendet, in dem die Beziehung zwischen dem sensiblen Wert und dem Token gespeichert wird. Die realen Daten im Tresor werden dann gesichert, häufig durch Verschlüsselung.
Ziel der Tokenisierung ist es, sensible Informationen zu schützen und gleichzeitig ihren Nutzen für geschäftliche Zwecke zu erhalten. Obwohl Token eindeutige Werte sind, behalten sie wichtige Merkmale der Originaldaten, wie Länge oder Format, bei und ermöglichen so eine nahtlose Integration in laufende Geschäftsprozesse. Die ursprünglichen vertraulichen Daten werden gleichzeitig sicher an einem externen Ort gespeichert, getrennt von den internen Systemen des Unternehmens.
Darüber hinaus ist die Tokenisierung im maschinellen Lernen für die Merkmalsextraktion von entscheidender Bedeutung, da sie Textdaten in ein für das Modelltraining geeignetes numerisches Format umwandelt. Über NLP hinaus findet die Tokenisierung Anwendung in der Datensicherheit und Blockchain. Dort werden sensible Informationen in Token umgewandelt, um den Datenschutz zu verbessern und das Risiko der Offenlegung vertraulicher Daten bei Transaktionen oder der Speicherung zu verringern.
So funktioniert die Daten-Tokenisierung
Die Tokenisierung ist eine der beliebtesten Sicherheitsmaßnahmen, die Händler, Zahlungsabwickler und Banken einsetzen, um sensible Finanz- und persönliche Daten vor Kriminellen zu schützen.
Beispielsweise schützt die Tokenisierung im Bankwesen die Daten von Karteninhabern. Bei der Zahlungsabwicklung mit dem im System gespeicherten Token kann nur das ursprüngliche Kreditkarten-Tokenisierungssystem den Token mit der entsprechenden primären Kontonummer (PAN) austauschen und zur Autorisierung an den Zahlungsabwickler senden. Die Systeme erfassen, übertragen oder speichern niemals die PAN – nur den Token. Für eine effektive Tokenisierung müssen Unternehmen ein Zahlungsgateway verwenden, um sensible Daten sicher zu speichern.
Ein Zahlungsgateway ist ein Händlerservice eines E-Commerce-Anwendungsanbieters, der Direktzahlungen oder die Abwicklung von Kreditkartenzahlungen ermöglicht. Dieses Gateway speichert Kreditkartennummern sicher und generiert das zufällige Token.
Verschlüsselung vs. Tokenisierung
Sowohl Tokenisierung als auch Verschlüsselung erhöhen die Datensicherheit, doch ihre Ansätze unterscheiden sich. Bei der Tokenisierung geht es darum, Daten durch nicht verwandte Token zu ersetzen, die Offenlegung sensibler Informationen zu minimieren und die Einhaltung von Datenschutzbestimmungen zu vereinfachen. Bei der Verschlüsselung hingegen werden Daten durch die Konvertierung in ein unlesbares Format geschützt, sodass für den Zugriff ein Entschlüsselungsschlüssel erforderlich ist.
| Eigenschaften | Verschlüsselung | Tokenisierung |
|---|---|---|
| Arbeitsprozess | Wandelt Klartext mithilfe eines Verschlüsselungsalgorithmus und Schlüssels in Geheimtext um | Ersetzt sensible Daten durch einen zufällig generierten Token-Wert |
| Arten der unterstützten Daten | Strukturierte Daten wie Zahlungskarten und unstrukturierte Daten wie ganze Dateien und E-Mails | Strukturierte Daten wie Zahlungskarten, Sozialversicherungsnummern usw. |
| Anwendungen |
|
|
| Datenaustausch | Daten können mit einem Dritten oder Empfänger ausgetauscht werden, der über den Verschlüsselungsschlüssel verfügt | Der Datenaustausch ist schwierig, da er direkten Zugriff auf einen Token-Tresor erfordert, der den Token-Wert abbildet |
| Sicherheitsstärke | Ursprüngliche sensible Daten verlassen die Organisation, jedoch in verschlüsselter Form | Ursprüngliche vertrauliche Daten verlassen niemals das Unternehmen |
| Ausgang | Die Ausgabe ist im Allgemeinen nicht format- oder längenerhaltend (zB AES, RSA); Ausnahme FPE – Formaterhaltende Verschlüsselung | Die Ausgabe erfolgt format- und längenerhaltend |
| Mapping | Kann Verschlüsselung als Zuordnungsfunktion verwenden oder nicht, könnte eine Hash-Funktion oder eine statische Zuordnungstabelle verwenden | Bei der Verschlüsselung wird intern keine Tokenisierung verwendet. |
Was sollte Ihr Unternehmen verwenden: Tokenisierung oder Verschlüsselung?
Die Wahl zwischen Verschlüsselung und Tokenisierung ist nicht immer einfach. Ob sich Ihr Unternehmen für Tokenisierung oder Verschlüsselung entscheiden sollte, hängt von Ihren individuellen Anforderungen ab. Wenn Sie konform bleiben und gleichzeitig Ihre Verpflichtungen reduzieren möchten PCI DSSkönnen Sie verwenden TokenisierungWenn Sie Skalierbarkeit wünschen und große Datenmengen verschlüsseln müssen, dann Verschlüsselung ist ideal, da Sie nur einen Verschlüsselungsschlüssel benötigen. Unabhängig davon, welche Methode Sie zum Schutz privater Informationen wählen, können sowohl die Tokenisierung als auch die Verschlüsselung dazu beitragen, die gesetzlichen Anforderungen von PCI DSS, HIPAA-HITECH, GLBA, ITAR und der kommenden EU-Datenschutzverordnung zu erfüllen.
Wann ist eine Verschlüsselung sinnvoll?
Datenverschlüsselung kann große Datenmengen effizient schützen, ohne die Datenübertragung oder den Zugriff des Empfängers zu beeinträchtigen. Tatsächlich bietet Datenverschlüsselung für viele allgemeine Datenschutzanwendungen die beste Kombination aus Komfort, Praktikabilität und Sicherheit. Erwägen Sie Verschlüsselung für:
- Unstrukturierte Daten, große Datenmengen: Wenn Ihr Unternehmen große Datenmengen wie Bilder oder Videomaterial überträgt, bietet die Datenverschlüsselung effektiven Schutz ohne hohe Kosten. Auch wenn die Datenstruktur (ID-Nummern, Kreditkartendaten usw.) für die Token-Zuordnung fehlt, ist die Verschlüsselung eine geeignete Alternative.
- Geringere Compliance-AnforderungenManche Daten erfordern einen Schutz wie in Fort Knox, und Vorschriften wie PCI-Compliance und HIPAA verlangen entsprechende Schutzmaßnahmen. Andere Datensätze erfordern lediglich einen angemessenen Schutz und sind daher weniger anfällig für Datendiebstahl. In diesen Fällen ist Verschlüsselung die kostengünstigste Schutzmaßnahme.
Verschlüsselungsberatung
Verschlüsselungsberatung unterstützt Unternehmen dabei, die wichtigsten Risiken für ihr Unternehmen zu identifizieren, indem sie eine Bewertung der Datenverschlüsselung durchführt. Dies hilft auch dabei, den Reifegrad der Fähigkeiten und mögliche Lücken in Ihrem Unternehmen zu erkennen. Basierend auf dieser Bewertung wird eine Datenverschlüsselungsstrategie entwickelt, zusammen mit einem Fahrplan, der die Komponenten und Fähigkeiten des Datenschutzprogramms definiert und einen End-to-End-Verschlüsselungsplan implementiert.
Um mehr über die Beratungsleistungen von Encryption Consulting zu erfahren, folgen Sie dem folgenden Link: Verschlüsselungsberatung