Netzwerktokenisierung: Sichere Zahlungen, höhere Autorisierungsraten
Kartennummern sind als Zahlungsdaten denkbar ungeeignet. Eine 16-stellige primäre Kontonummer ändert sich nicht zwischen verschiedenen Händlern, verliert mit der Zeit an Gültigkeit und ist in Dutzenden von Datenbanken gespeichert – von denen jede einzelne gehackt werden kann. Die Zahlungsbranche weiß das schon lange, doch eine flächendeckende Lösung ist erst seit relativ kurzer Zeit möglich.
Netzwerktokenisierung ist die Lösung. Visa, Mastercard und American Express ersetzen die gespeicherte Kartennummer durch einen Ersatzwert – ein Netzwerktoken –, das nur bei einem bestimmten Händler gültig ist und für jede Transaktion ein einmaliges Kryptogramm generiert wird. Dieses Token ist wertlos, da es sonst nicht verwendet werden kann. Visas Zahlen sprechen für sich: durchschnittlich 26 % weniger Betrug und eine um 4,6 % höhere Autorisierungsrate bei Online-Zahlungen für Händler, die Netzwerktoken nutzen.
Dieser Artikel behandelt die Mechanismen, den Vergleich mit der Gateway-Tokenisierung (die sich in finanziell relevanten Aspekten unterscheidet) und wie die Umsetzung in der Praxis aussieht.
Was ist Netzwerk-Tokenisierung?
Die primäre Kontonummer (PAN) Ihrer Karte ist eine statische 16-stellige Kennung. Sie ändert sich weder bei verschiedenen Händlern noch bei Transaktionen; derselbe Wert ist in Dutzenden verschiedener Datenbanken gespeichert, bis die Bank die physische Karte neu ausstellt. Genau das ist das Problem. Statische, weit verbreitete Zugangsdaten sind ein leichtes Ziel für Hackerangriffe.
Kartennetzwerke – Visa, Mastercard, American Express – lösen dieses Problem durch Netzwerktokenisierung. Sie ersetzen die PAN durch einen zufällig generierten numerischen Wert, das Netzwerktoken, das nur innerhalb der Infrastruktur des jeweiligen Kartennetzwerks der realen Karte zugeordnet werden kann. Das Token ist händlerspezifisch. Ein in einem Geschäft abgefangenes Token kann nicht in einem anderen Geschäft wiederverwendet oder zum Klonen der Karte genutzt werden.
Die Gateway-Tokenisierung (auch PCI-Tokenisierung genannt) funktioniert anders. Ein Zahlungsdienstleister oder ein Gateway generiert seinen eigenen Token und verwahrt ihn in einem eigenen Tresor. Gateway-Token funktionieren nur innerhalb dieses einen Ökosystems. Netzwerk-Token stammen von den Kartennetzwerken selbst und enthalten Vertrauenssignale, die von den Kartenausstellern erkannt werden. Dies führt zu einer höheren Autorisierungsrate.
Wie Netzwerk-Tokenisierung funktioniert
Der Lebenszyklus verläuft in drei Phasen: Bereitstellung, Transaktionsverarbeitung und Lebenszyklusmanagement.
Die Bereitstellung erfolgt vor der ersten Ladung:
- Der Händler oder Zahlungsdienstleister übermittelt die Kartendaten an einen Token Requestor Service Provider (TPSP), in der Regel den PSP oder das Gateway mit direkter Kartennetzwerkintegration.
- Der TPSP leitet die Anfrage an das entsprechende Kartennetzwerk weiter (Visa Token Service, Mastercard Digital Enablement Service usw.).
- Das Kartennetzwerk prüft die Karte bei der ausstellenden Bank. Nach der Genehmigung wird ein Netzwerktoken generiert, das mit dem jeweiligen Händler und dem Gerätekontext verknüpft ist.
- Das Token wird an den TPSP zurückgesendet und gespeichert. Die Roh-PAN wird nicht mehr benötigt.
Die Transaktionsverarbeitung folgt diesem Pfad:
- Der Kunde zahlt.
- Der Händler sendet das Netzwerk-Token an den Zahlungsabwickler.
- Der Prozessor fordert ein Kryptogramm vom Kartennetzwerk an. Dieses Kryptogramm ist ein Einmalcode, der 15 Minuten gültig ist und an diese spezifische Transaktion gebunden ist.
- Token plus Kryptogramm wird zur Autorisierung an die ausstellende Bank weitergeleitet.
- Der Aussteller sieht eine netzwerkverifizierte Anmeldeinformation und verarbeitet die Transaktion.
Das Lebenszyklusmanagement läuft unbemerkt im Hintergrund. Wird eine Karte aufgrund von Ablauf, Verlust oder Betrug neu ausgestellt, aktualisiert das Kartennetzwerk die Token-Zuordnung. Der beim Händler gespeicherte Token bleibt ohne weiteres Zutun des Kunden funktionsfähig.
Netzwerk-Token vs. Gateway-Token: Wichtigste Unterschiede
Die meisten Händler speichern bereits tokenisierte Kartendaten über ihren Zahlungsdienstleister. Gateway-Token schützen diese Daten innerhalb einer Zahlungsumgebung, stoßen aber an Grenzen, die Netzwerk-Token nicht erreichen.
| Besonderheit | Netzwerk-Token | Gateway / PCI-Token |
|---|---|---|
| Ausgestellt von | Kartennetzwerk (Visa, Mastercard, Amex) | Zahlungsportal oder PSP |
| Umfang | Übertragbar im gesamten Kartennetzwerk-Ökosystem | An einen Prozessor oder Tresor gebunden. |
| Automatische Aktualisierungen bei Neuauflage | Ja, das wird vom Kartennetzwerk abgewickelt. | Nein, erfordert eine Kundenaktion oder eine manuelle Aktualisierung. |
| Verlagerung der Betrugshaftung | Übertragung an den Emittenten bei genehmigten Transaktionen | Der Händler behält die Haftung. |
| Emittentenvertrauenssignal | Emittenten erkennen Netzwerktoken als verifiziert an | Standard PAN-äquivalentes Risiko |
| Erhöhung der Autorisierungsrate | 4,6 % (Visa), 2,1 % (Mastercard) auf CNP | Keine messbare Verbesserung |
| Reduzierung der Interbankengebühren | Bis zu 10 Basispunkte niedriger bei Visa-qualifizierten Transaktionen | Keiner |
| Reduzierung des PCI-DSS-Geltungsbereichs | Signifikant, keine Roh-PAN im Händlerumfeld | Mäßig, reduziert den Umfang innerhalb des PSP-Ökosystems |
Ein Gateway-Token ist eine Sicherheitsmaßnahme. Ein Netzwerk-Token ist eine Sicherheitsmaßnahme, die gleichzeitig den Umsatz steigert.
Vorteile der Netzwerktokenisierung für Händler
Die Daten sind spezifisch genug, um darauf aufbauend einen Business Case zu erstellen:
- Betrugsreduzierung um 26 %. Visas Untersuchungen zu Händlern, die Netzwerk-Token verwenden, belegen diesen durchschnittlichen Rückgang der Betrugsraten. Ein abgefangener Token kann nicht bei einem anderen Händler wiederverwendet werden – er ist systembedingt an den jeweiligen Händler gebunden.
- Höhere Autorisierungsraten. Visa verzeichnet bei Transaktionen ohne Kartenpräsenz im Vergleich zu herkömmlichen PAN-Anfragen eine Steigerung der globalen Autorisierungsrate um 4,6 %. Mastercard gibt einen Wert von 2,1 % an. Bei Millionen von Transaktionen pro Monat entspricht das einem erheblichen Umsatzplus.
- Automatische Kartenaktualisierung. Wenn eine Karte abläuft oder ersetzt wird, aktualisiert sich das Netzwerk-Token automatisch. Händler erhalten keine fehlgeschlagenen Abonnementverlängerungen mehr von Kunden, die zwar eine neue Karte erhalten, aber ihre Zahlungsdaten nicht aktualisiert haben.
- Verlagerung des Rückbuchungsrisikos. Bei Transaktionen, die mit einem Netzwerktoken und Kryptogramm abgeschlossen werden, geht das Rückbuchungsrisiko vom Händler auf die ausstellende Bank über. Weniger Streitfälle, geringerer Betriebsaufwand.
- Niedrigere Interbankengebühren. Visas Interbankengebühr für qualifizierte tokenisierte Transaktionen liegt bis zu 10 Basispunkte unter der Gebühr für nicht tokenisierte Transaktionen. Für einen Händler mit einem monatlichen Umsatz von 100 Millionen US-Dollar entspricht dies einer monatlichen Ersparnis von 100.000 US-Dollar.
- Reduzierter PCI-DSS-Geltungsbereich. Da keine Rohdaten von PANs in der Händlerumgebung gespeichert werden, fallen weniger Systeme unter die PCI-Prüfanforderungen. Dies senkt die Compliance-Kosten und reduziert die Anzahl der zu prüfenden Prozesse.
Die Studie von ClearSale liefert weitere Einblicke: 39 % der Karteninhaber kaufen nach einer fälschlicherweise abgelehnten Zahlung nicht mehr bei einem Händler ein. US-Händler verlieren 3,75 US-Dollar für jeden Dollar, der durch tatsächlichen Betrug verloren geht (Statista). Beide Zahlen sprechen für jede Optimierung, die die Akzeptanz erhöht und unberechtigte Verluste reduziert.
Anwendungsfälle: Wer benötigt Netzwerk-Token am dringendsten?
Netzwerktokenisierung zahlt sich am meisten in Situationen aus, in denen Kartendaten gespeichert und wiederholt belastet werden, nicht nur einmal beim Bezahlvorgang verwendet werden.
- Abonnement- und SaaS-Unternehmen benötigen für wiederkehrende Zahlungen gespeicherte Zugangsdaten, die auch bei Verlängerungen gültig bleiben. Abgelaufene Karten führen zu ungewollten Kundenabwanderungen – der Kunde hat nicht gekündigt, die Zahlung ist einfach fehlgeschlagen. Netzwerk-Tokens werden bei der Neuausstellung von Karten automatisch aktualisiert, sodass die Zugangsdaten stets aktuell sind.
- E-Commerce-Händler mit gespeicherten Kartendaten. CNP-Transaktionen bergen das höchste Betrugsrisiko. Händler, die Kartendaten für den One-Click-Checkout speichern, sind besonders anfällig für Datendiebstahl. Netzwerk-Token entfernen die Speicherung der PAN-Nummer vollständig aus der Händlerumgebung.
- Marktplätze und Plattformen. Multi-Sided-Plattformen, die Zahlungsmethoden im Namen von Nutzern verwalten, profitieren von der Portabilität: Tokens bleiben gültig, auch wenn sich die zugrunde liegende Karte ändert, und zwar über verschiedene Zahlungsabwickler hinweg.
- Reise- und Gastgewerbe. Hotels, Fluggesellschaften und Buchungsplattformen belasten Kreditkarten regelmäßig nach der Buchung – für Nebenkosten nach dem Aufenthalt, Sitzplatz-Upgrades oder Flugplanänderungen. Automatische Token-Aktualisierungen verhindern, dass fehlgeschlagene Abbuchungen zu Buchungsstreitigkeiten führen.
- Gaming und digitale Inhalte. In-App-Käufe und Guthabenaufladungen werden über gespeicherte Karten mit hoher Transaktionsfrequenz abgewickelt. Netzwerktoken reduzieren den Aufwand für die erneute Authentifizierung, ohne das Betrugsrisiko zu erhöhen.
Wie man die Netzwerk-Tokenisierung implementiert
Die meisten Händler integrieren sich nicht direkt in Visa oder Mastercard. Die Kartennetzwerke erreichen Händler über Token Requestor Service Provider (TPSPs), und die meisten großen Zahlungsdienstleister (PSPs) haben diese TPSP-Integrationen bereits integriert.
Der praktische Weg:
- Wählen Sie einen Zahlungsdienstleister oder ein Gateway mit nativer Unterstützung für Netzwerk-Tokenisierung. Stripe, Adyen, Checkout.com und Braintree übernehmen die Bereitstellung von Netzwerk-Tokens automatisch, sobald eine Karte gespeichert wird. Eine separate Integration Ihrerseits ist nicht erforderlich.
- Aktivieren Sie diese Funktion in Ihren Zahlungseinstellungen. Bei Zahlungsdienstleistern, die dies nativ unterstützen, ist die Aktivierung der Netzwerktokenisierung in der Regel eine Konfigurationseinstellung und erfordert keine Codeänderung. Prüfen Sie die Dokumentation Ihres Anbieters – die Funktion ist möglicherweise bereits aktiviert.
- Tokenisieren Sie Ihre bestehenden gespeicherten Karten nachträglich. Verfügen Sie über eine Vielzahl von PANs? Ihr Zahlungsdienstleister kann diese per Massenbereitstellung stapelweise übermitteln und so die PAN-basierte auf die Token-basierte Verwaltung umstellen, ohne dass ein einziges Kundenkonto betroffen ist.
- Übergeben Sie Token und Kryptogramm in Ihrem Zahlungsprozess. Der Zahlungsdienstleister generiert pro Transaktion ein Kryptogramm. Ihre Integration sendet beim Auslösen von Zahlungen die Token-Referenz anstelle der reinen PAN-Nummer.
- Prüfen Sie, ob das Lebenszyklusmanagement aktiv ist. Stellen Sie sicher, dass Ihr Zahlungsdienstleister die automatische Kontoaktualisierung und das Token-Lebenszyklusmanagement aktiviert hat. Dadurch wird die Kartenneuausstellung ohne Kundeneingriff ermöglicht.
Ein Szenario, das Sie bei der Planung berücksichtigen sollten: Wenn Sie mit mehreren Zahlungsdienstleistern (PSPs) arbeiten oder Token-Portabilität zwischen Prozessoren benötigen, sollten Sie dies explizit berücksichtigen. Optionen hierfür sind ein eigenständiger Token-Vault-Anbieter oder ein PSP, der die Migration von Anmeldeinformationen zwischen Gateways unterstützt.
Netzwerktokenisierung und PCI-DSS-Konformität
Die Tokenisierung von Netzwerken schränkt den Anwendungsbereich von PCI DSS ein, beseitigt aber nicht die PCI-Verpflichtungen.
Der eigentliche Vorteil liegt darin: Ein gespeichertes Netzwerk-Token wird gemäß PCI DSS nicht als Karteninhaberdaten eingestuft, da es nicht die Kartennummer enthält. Systeme, die ausschließlich auf das Token zugreifen und niemals die Rohdaten der PAN (Card Owner Number) einsehen, können vollständig aus dem PCI-Geltungsbereich herausgenommen werden. Dadurch reduziert sich die Anzahl der Systeme, Mitarbeiter und Geschäftsprozesse, die jährlich geprüft werden müssen, was Kosten und Risiken senkt.
Die Haftungsverlagerung unterstreicht dies. Bei tokenisierten Transaktionen, die mit einem Kryptogramm abgeschlossen werden, genehmigen die Emittenten die Belastung, da sie wissen, dass die Anmeldeinformationen netzwerkweit verifiziert wurden. Tritt bei einer vom Emittenten genehmigten Transaktion Betrug auf, haftet der Emittent, nicht der Händler. Dies stellt eine strukturelle Änderung im Bereich der Rückbuchungen dar.
Die Einschränkung: Die Netzwerk-Tokenisierung deckt den Bereitstellungsschritt nicht ab. Wenn die Rohdaten der PAN erstmals an den TPSP übermittelt werden, muss diese Übertragung gesichert sein, und jedes System, das die PAN in diesem Moment verarbeitet, bleibt im PCI-Geltungsbereich. Ziel ist es, dieses Risiko auf ein Minimum zu reduzieren – die PAN soll Ihre Umgebung so schnell wie möglich verlassen und nirgendwo sonst in Ihrer Systemarchitektur auftauchen.
Die PCI-Konformität erfordert weiterhin Verschlüsselung, Zugriffskontrollen und Netzwerksegmentierung. Tokenisierung ist eine wirksame Kontrollmaßnahme, aber kein Ersatz für das vollständige Programm.
Händler, die Kartenzahlungen abwickeln, werden feststellen, dass die Netzwerktokenisierung sich von einer optionalen Erweiterung zu einer Standardinfrastruktur entwickelt hat. Höhere Autorisierungsraten, weniger Betrug, automatisches Kartenlebenszyklusmanagement und Einsparungen bei den Interbankenentgelten machen sich bei jedem nennenswerten Transaktionsvolumen schnell bemerkbar.
Für Unternehmen, die sich gänzlich von herkömmlichen Kartenzahlungssystemen lösen möchten, bieten Krypto-Zahlungsgateways wie Plisio eine alternative Lösung, bei der diese Bedenken nicht bestehen. Blockchain-basierte Zahlungen erfordern keine gespeicherten Kartendaten, keine PAN-Bereitstellung und keinen Kartenaussteller im Transaktionsprozess – ein grundlegend anderes Sicherheitsmodell für Händler, die dies wünschen.
