Tokenisierung
Tokenisierung ersetzt sensible Kartendaten durch ein eindeutiges Token — einen zufälligen Wert, der für Betrüger wertlos ist, aber für autorisierte Folgetransaktionen verwendet werden kann.
Tokenisierung
Tokenisierung ist ein Sicherheitsverfahren, bei dem sensible Kartendaten (Kartennummer, Ablaufdatum) durch ein Token ersetzt werden — eine zufällige Zeichenfolge ohne eigenständigen Wert. Das Token kann vom PSP oder Händler für Folgetransaktionen verwendet werden, ohne dass die echten Kartendaten erneut übermittelt werden müssen.
Im E-Commerce ermöglicht Tokenisierung gespeicherte Zahlungsmethoden (One-Click-Payment), wiederkehrende Zahlungen (Abonnements) und vorauautorisierte Zahlungen — alles ohne die echten Kartendaten zu speichern. Das reduziert den PCI-DSS-Compliance-Aufwand und minimiert das Risiko bei Datenverlust.
Tokenisierung kommt auch bei Mobile Wallets zum Einsatz: Apple Pay und Google Pay ersetzen die echte Kartennummer durch ein gerätespezifisches Token. Selbst wenn das Token abgefangen wird, ist es auf einem anderen Gerät wertlos.
Tokenisierung Beispiele
Ein Online-Shop tokenisiert die Kreditkarte eines Kunden beim ersten Kauf. Bei Folgekäufen bezahlt der Kunde mit einem Klick — ohne erneute Karteneingabe.
Ein SaaS-Anbieter nutzt Tokenisierung für monatliche Abo-Zahlungen. Das Token wird jeden Monat belastet, ohne dass die Kartendaten gespeichert werden.
Apple Pay erstellt ein gerätespezifisches Token der hinterlegten Kreditkarte. Die echte Kartennummer wird nie an den Händler übermittelt.
Tokenisierung FAQ
Was ist Tokenisierung im Zahlungsverkehr?
Tokenisierung ersetzt sensible Kartendaten durch ein zufälliges Token, das für Betrüger wertlos ist. Das Token kann für Folgetransaktionen verwendet werden, ohne dass die echten Kartendaten erneut übermittelt werden müssen.
Ist Tokenisierung sicher?
Ja. Selbst bei einem Datenleck sind Token wertlos, weil sie nur im Kontext des autorisierten PSP-Systems funktionieren. Die echten Kartendaten bleiben sicher beim Token-Vault des PSP gespeichert.
Brauche ich Tokenisierung für wiederkehrende Zahlungen?
Ja, für Abonnements und wiederkehrende Zahlungen ist Tokenisierung der Standard. Das Token wird bei jeder Abbuchung verwendet, ohne dass der Kunde seine Kartendaten erneut eingeben muss.
Was hat Tokenisierung mit PCI DSS zu tun?
Tokenisierung reduziert den PCI-DSS-Compliance-Aufwand erheblich: Wenn Du nur Token und keine echten Kartendaten speicherst, fallen viele der strengen PCI-DSS-Anforderungen weg.
