In den meisten Fällen nutzen Organisationen Verschlüsselung zum Schutz ruhender Daten. Verschlüsselung ist zwar eine wirksame Methode zum Schutz von Daten, es gibt jedoch auch andere, wie die Tokenisierung. Tokenisierung ist der Prozess der Konvertierung Klartext in einen Tokenwert, der die zu tokenisierenden sensiblen Daten nicht preisgibt. Der Token hat dieselbe Länge und dasselbe Format wie der Klartext und wird in einem sicheren Token-Tresor gespeichert, sofern dieser verwendet wird. Einer der Gründe, warum die Tokenisierung nicht verwendet wird, ist jedoch, dass der Prozess zu einem nicht entzifferbaren und irreversiblen Token führt. Die Tokenisierung kann irreversibel sein, wenn eine vaultlose Tokenisierungsmethode verwendet wird.
Tokenisierungsterminologie
Ein Token besteht aus Daten, die keine Bedeutung oder Beziehung zu den ursprünglichen sensiblen Daten haben. Ein Token dient als Platzhalter für den Klartext und ermöglicht die Verwendung von Daten in einer Datenbank, ohne die geschützten Informationen preiszugeben. Token sind für jeden Wert eindeutig und bestehen aus zufälligen Informationszeichenfolgen. Bei der Tokenisierung ohne Tresor besteht keine mathematische Beziehung zwischen dem Token und den sensiblen Daten, sodass der Tokenisierungsprozess unumkehrbar und nicht entzifferbar ist. Bei Verwendung eines Tresors ist die Detokenisierung möglich.
Detokenisierung ist die Umkehrung der Tokenisierung. Sie ist nur möglich, wenn im Tokenisierungsprozess ein Token-Tresor verwendet wird. Mit einem Token-Tresor werden Token- und Klartextdaten miteinander verknüpft, sodass die sensiblen Daten an einen privilegierten Benutzer zurückgegeben werden können. Token-Tresore sind in der Regel zusätzlich verschlüsselt, um maximale Sicherheit zu gewährleisten. Auf diese Weise sind die Daten für jeden, der die im Token-Tresor gespeicherten Informationen stiehlt, unbrauchbar.
Verwendungsmöglichkeiten der Tokenisierung
Tokenisierung hat viele verschiedene Einsatzmöglichkeiten und kommt jeder Organisation mit sensiblen Daten zugute. Obwohl dies zutrifft, wird Tokenisierung hauptsächlich in der Payment Card Industry (PCI) eingesetzt. Tokenisierung bietet Schutz für Kreditkarteninformationen, Sozialversicherungsnummern, Bankkontoinformationen und mehr. Die PCI setzt Tokenisierung gegenüber Verschlüsselungsmethoden ein, da sie einfacher zu implementieren und im Vergleich zu anderen Methoden zum Schutz sensibler Daten kostengünstiger ist. Ein weiterer Grund für den Einsatz von Tokenisierung in der PCI ist die Einhaltung von Compliance-Standards.
PCI DSS-Konformität
Die Datensicherheitsstandards der Zahlungskartenbranche oder PCI DSS, verlangen von Einzelhändlern, die mit Kreditkarteninformationen arbeiten, dass diese Daten nicht in ihren Point-of-Sale-Systemen (POS) gespeichert werden. PCI DSS ist für jedes Unternehmen erforderlich und sucht daher nach der kostengünstigsten und bewährtesten Methode zur Einhaltung. Das Payment Card Industry Security Standards Council (PCI SSC), das den PCI DSS durchsetzt, hat Richtlinien zur Verwendung von Tokenisierung zur Einhaltung des PCI DSS veröffentlicht. Tokenisierung ist im Gegensatz zur Verschlüsselung eine viel bessere Wahl, da die Einrichtung einer End-to-End-Verschlüsselung teuer und zeitaufwändig sein kann.
Vorteile der Tokenisierung
Die Tokenisierung bietet viele Vorteile, darunter die Reduzierung des Aufwands für Angreifer beim Diebstahl tokenisierter Informationen. Da sensible Daten, die ohne Token-Tresor tokenisiert wurden, nicht rückgängig gemacht werden können, ist diese Form der Tokenisierung absolut sicher vor Angreifern. Selbst wenn die Daten gestohlen werden, können sie nicht in ihre ursprüngliche Form zurückversetzt werden und sind daher für Angreifer nutzlos. Erfolgt die Tokenisierung mit einem Token-Tresor, ist es für Hacker dennoch extrem schwierig, die Informationen zu stehlen. Obwohl die Token mit ihrem Klartext verknüpft sind, werden die Daten im Token-Tresor in der Regel zusätzlich verschlüsselt, lediglich als zusätzliche Vorsichtsmaßnahme.
Ein weiterer Vorteil der Tokenisierung ist die gute Kompatibilität mit Legacy-Systemen. Selbst wenn eine Anwendung und Datenbank bereits seit Jahren oder sogar Jahrzehnten erstellt und genutzt wird, können die darin gesicherten Informationen tokenisiert werden, ohne dass die Anwendung neu entwickelt werden muss. Tokenisierung verbraucht zudem weniger Ressourcen als Verschlüsselung und birgt im Vergleich zu anderen Datenmaskierungsmethoden ein geringeres Fehlerrisiko.
Fazit
Die Tokenisierung stellt eine hervorragende Alternative zur Verschlüsselung zur Sicherung ruhender Daten dar und bietet Einfachheit, Kosteneffizienz und Compliance-Vorteile, insbesondere in Branchen wie der Payment Card Industry. Mit ihrem irreversiblen Tokenisierungsprozess und der Kompatibilität mit Legacy-Systemen bietet die Tokenisierung einen robusten Schutz vor Angreifern, erfordert dabei aber weniger Ressourcen und birgt im Vergleich zur Verschlüsselung ein geringeres Ausfallrisiko.
Mit einem starken Fokus auf Verschlüsselungsberatungsdienste und jahrzehntelanger Beratungskompetenz bietet Encryption Consulting eine Reihe von kryptografischen Lösungen. Darunter PKI als Service (PKIaaS) zeichnet sich durch den Rund-um-die-Uhr-Support für Kunden bei allen Problemen mit ihrer PKI-Umgebung aus. Dieser umfassende Ansatz erhöht die Sicherheit und stellt sicher, dass Unternehmen gegen mögliche Fehlkonfigurationen ihrer Verschlüsselungs-Setups gewappnet bleiben.