Dieser Artikel wurde maschinell übersetzt.
Bei der Tokenisierung werden sensible, private Informationen mit etwas verschlüsselt geschützt, das die Benutzer als Token bezeichnen . Token können nicht entschlüsselt und in ihren ursprünglichen Zustand zurückversetzt werden. Stattdessen fungiert ein Token als Ersatz für die ursprünglichen Daten.
Der Bankensektor setzt stark auf Tokenisierung, da die Aufsichtsbehörden IT verlangen. Sie können aber auch wichtige Informationen wie Sozialversicherungsnummern durch Token ersetzen, um sie vor Hackern zu schützen.
Die meisten Hacker hassen auch Token. Wenn sie es schaffen, sie zu stehlen, was Hacker oft tun, sind Token völlig wertlos.
Eine kurze Geschichte der Tokenisierung
Wir verwenden seit Jahren Token, um Wertsachen zu ersetzen. Wenn Sie jemals in einem Casino Geld gegen Chips eingetauscht haben, haben Sie Token verwendet. Aber Token traten in den frühen 2000er Jahren in das digitale Zeitalter ein, und wenn wir über Computer sprechen, haben Token eine etwas andere Bedeutung.
In den späten 1990er Jahren speicherten Websites wichtige Informationen auf ihren Servern. Wenn Sie beispielsweise eine Bewerbung ausgefüllt haben, haben Sie möglicherweise ein Formular verwendet, in dem folgende Dinge abgefragt wurden:
- Offizieller Name
- Adresse
- Sozialversicherungsnummer
- Telefonnummer
- Kontonummer (für eine Bonitätsprüfung)
Das Unternehmen speicherte all diese Daten. Wenn man sich schon einmal auf eine andere Stelle bewerben wollte, war alles vorgeladen.
Wenn Hacker die Schutzmaßnahmen umgehen, könnten sie in Datenbanken eindringen und alle möglichen wichtigen Daten darüber stehlen, wer Sie sind und was Sie besitzen.
Im Jahr 2001 veröffentlichte TrustCommerce Token. Unternehmen könnten Bankinformationen von ihrem Kunden für wiederkehrende Zahlungen sammeln, aber das System würde einen Token freigeben, der das Konto mit dem Benutzer für wiederholte Transaktionen verknüpft. Anstatt wichtige Informationen immer wieder offen auszutauschen, würde ein Token diese Zweitkäufe sicher halten.
Seitdem ist die Tokenisierung in den Mainstream gerückt. Die Technologie hat sich nicht dramatisch verändert. Unternehmen erstellen Token immer noch auf die gleiche Weise, und sie speichern sie auch auf ähnliche Weise. Aber die Verwendung von Token ist weit verbreitet.
Wie funktioniert die Tokenisierung?
Bei der Tokenisierung geht es darum, wertvolle, nutzbare Daten in etwas umzuwandeln, das immer noch nützlich ist, aber viel schwerer zu stehlen ist.
Zwei Haupt-Token-Typen werden von der Weltbank anerkannt.
- Frontend: Personen erstellen diese Token, wenn sie sich für einen Online-Dienst anmelden. Diese Token können problematisch sein, da sie erfordern, dass Benutzer sowohl verstehen, wie Token funktionieren, als auch, wie man eines erstellt.
- Backend: Ein System erstellt automatisch Token. Die Tokenisierung erfolgt, bevor Kennungen mit anderen Systemen geteilt werden.
Unabhängig davon, ob Sie einen Token erstellen oder jemand die IT für Sie erledigt, sind ein paar einfache Schritte erforderlich.
- Token-Erstellung: Kein Algorithmus oder Computerprogramm verschlüsselt die Daten. Stattdessen kann Ihr Token das Ersetzen einiger Zahlen oder Buchstaben auf der Grundlage von Regeln beinhalten, die das System erstellt hat. Oder Ihr Token stammt aus einer Tabelle mit verfügbaren Zahlen und Buchstaben. Deines ist nur das nächste in der Reihe.
- Ersatz: Ihr Token fungiert als Ersatz für die ursprünglichen, sensiblen Daten. Sie werden nie wieder in die IT einsteigen, und das System wird die IT nie über Online-Kanäle drängen.
- Speicherung: Ihre sensiblen Daten werden verschlüsselt (normalerweise mit Verschlüsselung) und in einem Tresor gespeichert.
Betrachten wir den Kauf von etwas online mit einem Token. Als Sie sich für den Dienst angemeldet haben, hat die Website Ihre Daten übernommen und ein Token ausgestellt, das sich in Ihrem Telefon befindet. Wenn Sie die App verwenden, um eine weitere Bestellung aufzugeben, schließt der Token die Transaktion ab und Ihre Kontoinformationen verbleiben im Tresor.
Der PCI Security Council veröffentlicht Sicherheitsrichtlinien, die Unternehmen bei der Erstellung, Speicherung und Verwendung von Token befolgen sollten. Aber es gibt viel Raum für Innovationen. Einige Unternehmen erstellen eigene proprietäre Token-Lösungen zum Schutz der Kundendaten.
Vorteile der Tokenisierung
Das Erstellen und Speichern von Token ist wohl komplizierter als das einfache Speichern von Originalwerten. Aber für viele Unternehmen ist die Tokenisierung eine wichtige Geschäftspraxis.
Zu den Vorteilen von Token gehören:
- Erhöhte Sicherheit. Hacker sind clever und wenn sie Man-in-the-Middle-Angriffe starten, können sie wertvolle Informationen abfangen, während sich IT-Daten durch das Internet bewegen. Da Token wertlos und unmöglich zu entschlüsseln sind, können sie einen Angriff stoppen, bevor er beginnt.
- Geschwindigkeit. Token können eine Automatisierung ermöglichen, wodurch Transaktionen schneller abgeschlossen werden können. In Branchen wie der Blockchain ist dies ein wichtiger Vorteil.
- Einhaltung. In einigen Branchen, wie z. B. im Gesundheitswesen, müssen Unternehmen nachweisen, dass sie sensible Daten schützen. Die Verwendung von Token kann eine nützliche Möglichkeit sein, dieses spezielle Kontrollkästchen zu aktivieren. In der Finanzbranche ist die Verwendung von Token auch vom Payment Card Industry Council vorgeschrieben, so dass Unternehmen, die sie nicht verwenden, mit Geldstrafen rechnen müssen.
Verschlüsselung vs. Tokenisierung
Sie müssen Daten vor Hackern schützen und Token scheinen ideal. Vergessen Sie nicht, dass Verschlüsselung auch nützlich sein kann und dass es für manche Unternehmen besser ist, Daten zu verschlüsseln, als sie gegen ein Token auszutauschen.
Bei der Verschlüsselung werden Rohdaten durch einen Algorithmus geleitet. Ein Schlüssel kehrt den Vorgang um. Einige Systeme verwenden den gleichen Schlüssel für die Verschlüsselung und Entschlüsselung, andere verwenden ein mathematisch verknüpftes Schlüsselpaar (ein öffentliches, ein privates) für die Verschlüsselung und Entschlüsselung.
Die Tokenisierung ist anders, da keine Schlüssel produziert werden. Ein Empfänger einer Nachricht kann ein Token nicht entschlüsseln und zu den ursprünglichen Daten zurückkehren. Der Empfänger verwendet das Token anstelle des ursprünglichen Werts.
Verschlüsselung | Tokenisierung | |
Kann dekodiert/entschlüsselt werden | Ja, entweder mit einem öffentlichen oder privaten Schlüssel (je nach Verschlüsselungstyp) | Nicht ohne Zugriff auf den Tresor der gespeicherten Daten zu erhalten |
Im Falle eines Diebstahls können Diebe die Daten verwenden | Ja, wenn sie ES entschlüsseln können | Nicht ohne Zugriff auf den Tresor der gespeicherten Daten zu erhalten |
Bleibt funktionsfähig | Nein, die IT muss zuerst entschlüsselt werden | Ja, die IT fungiert als Ersatz für die Daten |
Funktioniert mit ganzen Dateien und Ordnern | Ja | Nein, die IT arbeitet nur mit strukturierten Feldern |
Grenzen der Tokenisierung
Einige Unternehmen haben keine andere Wahl, als Token zu verwenden. Aber wenn Sie die Wahl haben, ist die IT nützlich, um die Grenzen der Technologie zu verstehen.
Zum Beispiel ist die Implementierung der Tokenisierung komplex. Viele verschiedene Unternehmen sind an Token-Lösungen beteiligt, und sie arbeiten nicht immer gut miteinander zusammen. Es kann sein, dass Sie einen Vertrag mit einem Token-Unternehmen abschließen, nur um festzustellen, dass es keine Schnittstelle zu einer anderen Lösung bietet, die Sie bereits verwenden.
Token bieten außerdem keine vollständige Sicherheit. Sie müssen außerdem sicherstellen, dass die Daten in Ihrem Tresor vor Dieben geschützt sind. Sie könnten für diese Aufgabe Verschlüsselung verwenden, wenn Sie jedoch davon ausgehen, dass Token Ihnen die gesamte benötigte Hilfe bieten, könnten Sie Ihre Kunden echten Risiken aussetzen.
Hilfe von Okta
Der Schutz der Privatsphäre der Kunden ist von entscheidender Bedeutung, insbesondere wenn Sie Informationen in der Cloud speichern. Es ist jedoch nicht immer einfach, die benötigten Tools zu ermitteln und sie dann richtig einzurichten.
Lassen Sie uns helfen. Erfahren Sie, wie Okta Ihnen helfen können, gespeicherte und übertragene Daten zu schützen.
Referenzen
Funktionen: Wiederkehrende Abrechnung. (April 2001). Internet-Archiv.
Tokenisierung. Die Weltbank.
Sicherheitsrichtlinien für Tokenisierungsprodukte. (April 2015). PCI Security Standard Council.
Die Tokenisierung von Vermögenswerten revolutioniert die Finanzindustrie. Bist du so weit? Inside Magazine.
Was ist Tokenisierung und warum ist IT so wichtig? (August 2019). Forbes.
Verschlüsselung vs. Tokenisierung: Unter der Haube. (September 2010). Tech News Welt.
Tokenisierung vs. Verschlüsselung: Was ist besser für den Schutz kritischer Daten? (Dezember 2020). eSecurity Planet.
Wählen Sie Tokenisierung oder Verschlüsselung. (Mai 2019). IVSS-Zeitschrift.
