Skip to content
Back to Blog
hashingfile-integrityhash-generatorhow-to

So überprüfst du eine Datei-Prüfsumme (SHA-256)

Hast du ein ISO oder Installer heruntergeladen und möchtest sicherstellen, dass es nicht beschädigt oder manipuliert wurde? Hier erfährst du, wie du eine SHA-256-Prüfsumme unter Windows, Mac und Linux erzeugst und vergleichst, per Kommandozeile oder per Drag-and-Drop im Browser.

SZ
Founder, Molixa
12 min read
Teilen
So überprüfst du eine Datei-Prüfsumme (SHA-256)
Table of contents8 sections

Um eine Datei-Checksumme zu überprüfen, generieren Sie einen SHA-256-Hash der heruntergeladenen Datei und vergleichen ihn Zeichen für Zeichen mit der offiziellen Checksumme des Herausgebers. Stimmen die beiden Zeichenfolgen exakt überein, ist die Datei intakt. Weicht auch nur ein Zeichen ab, ist die Datei beschädigt oder wurde verändert. Diese Anleitung zeigt, wie es unter Windows, Mac und Linux in der Befehlszeile geht und wie Sie dasselbe ohne Terminalbefehle in Ihrem Browser tun.

Die meisten lernen auf die harte Tour, wie man eine Datei-Checksumme überprüft: Ein Download schlägt still fehl, ein Installer stürzt ab, und erst dann stellen sie fest, dass die Datei unvollständig war. Ein zwei Sekunden dauernder Checksummen-Check fängt das ab, bevor Sie die Datei ausführen, plus den beängstigenderen Fall, dass ein Download-Mirror kompromittiert und die Datei gegen Malware ausgetauscht wurde.

Was eine Prüfsumme tatsächlich beweist (und was nicht)#

Eine Prüfsumme ist ein Fingerabdruck einer Datei mit fester Länge. Wenn Sie dieselbe Datei zweimal mit demselben Hash-Algorithmus ausführen, erhalten Sie jedes Mal die identische Zeichenfolge. Ändern Sie ein einziges Byte, ändert sich der gesamte Fingerabdruck vollständig. Das ist der gesamte Mechanismus, und genau das macht Prüfsummen nützlich, um sowohl versehentliche Beschädigungen als auch absichtliche Manipulationen zu erkennen.

Hier ist der Teil, den die meisten Tutorials auslassen, und der für Ihre Sicherheit entscheidend ist. Eine übereinstimmende Prüfsumme beweist, dass die Datei, die Sie haben, byteweise mit der Datei identisch ist, die die veröffentlichte Prüfsumme beschreibt. Sie beweist nichts darüber, ob diese Referenz-Prüfsumme selbst vertrauenswürdig ist.

Wichtiger Punkt: Eine Prüfsumme überprüft nur die Integrität, nicht die Authentizität, es sei denn, Sie vertrauen der Quelle der Prüfsumme selbst. Wenn ein Angreifer sowohl den Download als auch die Prüfsumme auf derselben Seite ersetzen kann, sagt Ihnen die Übereinstimmung nichts.

Integrität versus Authentizität#

Diese beiden Wörter werden oft synonym verwendet, sollten es aber nicht.

  • Integrität bedeutet, dass die Datei genau so angekommen ist, wie sie den Server verlassen hat, ohne Beschädigung durch eine unterbrochene Verbindung, einen defekten Sektor oder einen unzuverlässigen Mirror. Jede Prüfsumme, selbst eine alte MD5-Prüfsumme, überprüft die Integrität perfekt.
  • Authentizität bedeutet, dass die Datei tatsächlich von dem Herausgeber stammt, den Sie vermuten, und keine bösartige Version untergeschoben wurde. Dazu muss die Prüfsumme über einen Kanal kommen, den ein Angreifer nicht ebenfalls kontrollieren kann.

Die praktische Schlussfolgerung: Laden Sie die Datei von einem Download-Mirror herunter, aber holen Sie die Prüfsumme von der HTTPS-Seite des Herausgebers oder aus einer signierten Prüfsummendatei. Wenn beide auf demselben unsicheren Mirror leben, ist eine übereinstimmende Prüfsumme Sicherheitstheater.

Warum MD5-Prüfsummen für Korruptionserkennung noch in Ordnung sind#

Sie werden immer noch MD5-Prüfsummen neben Downloads veröffentlicht sehen, und in Foren beharren viele Leute darauf, dass MD5 „gebrochen“ und nutzlos sei. Dieser Rat ist zur Hälfte richtig, und die falsche Hälfte sorgt ständig für Verwirrung.

MD5 ist in einem bestimmten Sinne kryptografisch gebrochen: Ein erfahrener Angreifer kann absichtlich zwei verschiedene Dateien erstellen, die denselben MD5-Hash (eine Kollision) erzeugen. Das macht MD5 für die Authentizität unbrauchbar. Aber MD5 ist immer noch perfekt geeignet, um versehentliche Korruption zu erkennen. Ein abgeschnittener Download oder ein Bit, das durch eine defekte Festplatte umkippt, wird nicht magisch mit dem ursprünglichen Hash kollidieren. Wenn ein Projekt also nur eine MD5-Prüfsumme veröffentlicht und Sie nur bestätigen möchten, dass der Download nicht beschädigt ist, reicht MD5 dafür völlig aus.

AlgorithmusSicher für KorruptionsprüfungSicher für Manipulation/AuthentizitätAnmerkungen
MD5JaNeinKollisionen sind praktikabel; niemals für Sicherheit vertrauen
SHA-1JaNeinVeraltet; Kollisionen seit 2017 nachgewiesen
SHA-256JaJaDer aktuelle Standard für Release-Verifikation
SHA-512JaJaGleiche Familie wie SHA-256, längerer Hashwert

Faustregel: Wenn ein Download SHA-256 anbietet, bevorzugen Sie es immer. Wenn nur MD5 angeboten wird und Sie nur auf einen fehlerhaften Download prüfen, ist MD5 akzeptabel. Verlassen Sie sich niemals auf MD5 oder SHA-1, um zu beweisen, dass eine Datei nicht manipuliert wurde.

So überprüfen Sie eine Datei-Prüfsumme unter Windows, Mac und Linux#

Der Befehl unterscheidet sich je nach Betriebssystem, aber der Arbeitsablauf ist überall identisch: Erzeugen Sie den Hash Ihrer heruntergeladenen Datei und vergleichen Sie ihn mit dem veröffentlichten Wert.

Schritt 1: Finden Sie die offizielle Prüfsumme#

Bevor Sie etwas hashen, suchen Sie die Referenz-Prüfsumme vom Herausgeber. Suchen Sie nach einer SHA256SUMS-Datei, einer .sha256-Datei neben dem Download oder einem Hash auf der offiziellen Release-Seite. Stellen Sie sicher, dass es SHA-256 ist (ein 64-stelliger Hex-String) und nicht MD5 (32 Zeichen) oder SHA-1 (40 Zeichen), da Sie mit dem passenden Algorithmus hashen müssen.

Wenn der Herausgeber eine GPG-Signatur für die Prüfsummendatei anbietet, ist deren Überprüfung der Goldstandard, da sie bestätigt, dass die Prüfsummenliste selbst vom echten Herausgeber stammt.

Schritt 2: Erzeugen Sie den Hash auf Ihrem Rechner#

Öffnen Sie ein Terminal im Ordner mit Ihrem Download und führen Sie den Befehl für Ihre Plattform aus.

Windows (Eingabeaufforderung oder PowerShell):

certutil -hashfile yourfile.iso SHA256

certutil ist in Windows integriert, es muss nichts installiert werden. Ersetzen Sie SHA256 durch MD5 oder SHA1, falls der Herausgeber dies bereitgestellt hat. PowerShell-Nutzer können auch Get-FileHash yourfile.iso -Algorithm SHA256 für eine übersichtlichere Ausgabe verwenden.

macOS:

shasum -a 256 yourfile.dmg

Das Flag -a 256 wählt SHA-256. Für MD5 auf einem Mac verwenden Sie den separaten Befehl md5 yourfile.dmg. Beide sind in macOS enthalten.

Linux:

sha256sum yourfile.iso

Die meisten Distributionen enthalten sha256sum, md5sum und sha1sum standardmäßig. Jeder gibt den Hash gefolgt vom Dateinamen aus.

Schritt 3: Vergleichen Sie die beiden Hashes#

Legen Sie den von Ihrem Rechner erzeugten Hash neben den offiziellen. Sie sind lang, also überfliegen Sie nicht die gesamte Zeichenfolge. Überprüfen Sie die ersten sechs und letzten sechs Zeichen und bestätigen Sie, dass die Länge übereinstimmt. Wenn beide Enden übereinstimmen, haben Sie mit hoher Wahrscheinlichkeit eine Übereinstimmung.

Unter Linux und Mac können Sie den Computer für Sie vergleichen lassen. Wenn der Herausgeber Ihnen eine SHA256SUMS-Datei gegeben hat, führen Sie sha256sum -c SHA256SUMS (oder shasum -a 256 -c auf einem Mac) im selben Ordner aus, und es gibt OK oder FAILED pro Datei aus, wodurch jede Möglichkeit eines menschlichen Lesefehlers ausgeschlossen wird.

Schritt 4: Entscheiden Sie basierend auf dem Ergebnis#

  • Hashen überein: Die Datei ist intakt und identisch mit der veröffentlichten Version. Wenn Sie auch der Quelle der Prüfsumme vertrauen, können Sie sicher fortfahren.
  • Hashen stimmen nicht überein: Stoppen Sie. Führen Sie die Datei nicht aus. Laden Sie sie von einem anderen Spiegel erneut herunter und überprüfen Sie sie erneut. Eine anhaltende Abweichung von der offiziellen Quelle ist ein Warnsignal, das Sie dem Projekt melden sollten.

Der terminalfreie Weg: Prüfen Sie eine Prüfsumme im Browser#

Kommandozeilen-Tools sind zuverlässig, aber viele Leute möchten kein Terminal öffnen, haben keine Admin-Rechte auf einem Arbeitsrechner oder finden die Syntax fehleranfällig. Es gibt einen schnelleren Weg, der das exakt gleiche SHA-256-Ergebnis liefert.

Ein browserbasierter kostenloser SHA-256-Hash-Generator ermöglicht es Ihnen, die Datei per Drag & Drop zu laden und den Hash direkt auf Ihrem Gerät mit der integrierten Web Crypto API des Browsers zu berechnen. Es wird nichts hochgeladen. Die Datei verlässt niemals Ihren Computer, was wichtig ist, wenn Sie ein sensibles Installationsprogramm oder ein vertrauliches Dokument prüfen.

Der Ablauf besteht aus denselben drei Schritten, nur ohne Tipparbeit:

  1. Öffnen Sie den Hash-Generator und ziehen Sie Ihre heruntergeladene Datei darauf.
  2. Lesen Sie den erzeugten SHA-256-Hash ab.
  3. Fügen Sie die offizielle Prüfsumme des Herausgebers in das Vergleichsfeld ein; das Tool zeigt Ihnen sofort an, ob sie übereinstimmen.

Der letzte Punkt bewahrt Sie vor sich selbst. Statt zwei 64-stellige Zeichenfolgen zu vergleichen, fügen Sie den erwarteten Wert ein und erhalten ein klares Übereinstimmungs- oder Nichtübereinstimmungsergebnis, wobei die abweichenden Zeichen hervorgehoben werden. Das gleiche Tool kann auch andere Algorithmen verwenden, sodass auch ein älterer Download mit nur einem MD5-Hash abgedeckt ist.

Tipp: Da die Hash-Berechnung lokal in Ihrem Browser läuft, funktioniert dies auch offline, sobald die Seite geladen ist. Nützlich auf einem abgeschotteten Rechner oder in einem eingeschränkten Netzwerk.

Häufige Gründe, warum eine Prüfsumme nicht übereinstimmt#

Eine Abweichung ist alarmierend, aber meist harmlos. Gehen Sie diese Punkte durch, bevor Sie das Schlimmste annehmen.

  • Falscher Algorithmus. Sie haben mit SHA-256 gehasht, aber der veröffentlichte Wert ist MD5 oder umgekehrt. Die Zeichenfolgen stimmen nie zwischen Algorithmen überein, überprüfen Sie daher zuerst die Länge des Digests.
  • Unvollständiger Download. Der häufigste Grund. Eine unterbrochene Verbindung hinterlässt eine abgeschnittene Datei. Laden Sie sie erneut herunter und prüfen Sie sie noch einmal.
  • Sie haben die falsche Datei gehasht. Eine alte Kopie mit demselben Namen oder eine umbenannte Installationsdatei hasht anders. Bestätigen Sie, dass Sie auf die richtige Datei verweisen.
  • Leerzeichen oder Groß-/Kleinschreibung beim Vergleich. Ein überflüssiges Leerzeichen oder ein Großbuchstabe kann beim Einfügen wie eine Abweichung aussehen. Hex-Hashes sind nicht case-sensitiv, normalisieren Sie daher beide auf Kleinbuchstaben; ein gutes Vergleichstool erledigt das für Sie.
  • Der Herausgeber hat die Datei aktualisiert. Manche Projekte erstellen Releases neu und aktualisieren Prüfsummen. Stimmen Sie daher Ihren Referenz-Hash mit der exakten Version ab, die Sie heruntergeladen haben.

Wenn Sie all diese Punkte ausgeschlossen haben und der offizielle Hash immer noch nicht übereinstimmt, behandeln Sie den Download als unzuverlässig. Genau diese Situation soll die Prüfsummenverifizierung erkennen.

Wo die Checksummen-Überprüfung in eine Sicherheitsroutine passt#

Die Überprüfung einer Checksumme ist eine Schicht, nicht die gesamte Verteidigung. Laden Sie von offiziellen Quellen über HTTPS herunter, damit die Verbindung selbst authentifiziert ist, und bevorzugen Sie GPG-signierte Checksummen für alles Sicherheitskritische, da eine Signatur den Hash mit einem verifizierbaren Schlüssel verknüpft und nicht nur mit einer Webseite.

Sobald eine Datei verifiziert und installiert ist, verlagern sich Ihre verbleibenden Risiken auf Passwörter und Konten. Wenn ein von Ihnen installiertes Tool Sie auffordert, Anmeldedaten zu erstellen, prüfen Sie diese mit einem Passwort-Stärke-Prüfer und generieren Sie ein eindeutiges mit einem sicheren Passwort-Generator, damit eine verifizierte Installation nicht zum neuen Schwachpunkt wird.

Hashing ist auch über Downloads hinaus nützlich. Derselbe SHA-256-Digest, der ein ISO verifiziert, kann eine Konfigurationsdatei fingerabdrucken, um spätere Änderungen zu erkennen, Dokumente zu deduplizieren oder zu bestätigen, dass ein Backup mit dem Original übereinstimmt.

Fazit: So prüfen Sie eine Datei-Prüfsumme richtig#

Zu wissen, wie man eine Datei-Prüfsumme überprüft, verwandelt einen Vertrauensvorschuss in eine Zwei-Sekunden-Gewissheit. Erzeugen Sie den SHA-256-Hash Ihres Downloads, vergleichen Sie ihn mit dem offiziellen Wert des Herausgebers und fahren Sie nur fort, wenn sie exakt übereinstimmen. Nutzen Sie die Befehlszeile, wenn Sie im Terminal leben, oder ziehen Sie die Datei in einen browserbasierten Generator, wenn Sie die Syntax lieber überspringen möchten.

Das Detail, das eine echte Prüfung von einem Placebo unterscheidet, ist die Quelle Ihrer Referenz-Prüfsumme. Vergleichen Sie die Datei mit einem Hash aus der vertrauenswürdigen, HTTPS-gesicherten, idealerweise signierten Quelle des Herausgebers, und Sie haben sowohl Integrität als auch Authentizität verifiziert. Vergleichen Sie sie mit einem Hash auf demselben zwielichtigen Mirror wie der Download, und Sie haben nichts Wesentliches überprüft. Holen Sie sich die Prüfsumme aus einer vertrauenswürdigen Quelle, erzeugen Sie Ihre eigene mit einem kostenlosen SHA-256-Hash-Generator, vergleichen Sie, und Sie sind fertig.

Häufig gestellte Fragen#

Was ist der Unterschied zwischen einer Prüfsumme und einem Hash? Im alltäglichen Gebrauch bedeuten sie für die Dateiverifizierung dasselbe: ein Fingerabdruck mit fester Länge, der aus dem Inhalt einer Datei berechnet wird. Technisch gesehen ist „Prüfsumme“ der weitere Begriff und umfasst einfache Fehlererkennungscodes wie CRC32, während „Hash“ meist eine kryptografische Funktion wie SHA-256 impliziert. Wenn eine Download-Seite „Prüfsumme“ sagt, ist fast immer ein kryptografischer Hash wie MD5, SHA-1 oder SHA-256 gemeint.

Bedeutet eine übereinstimmende SHA-256-Prüfsumme, dass die Datei sicher ist? Sie bedeutet, dass die Datei byteweise identisch mit derjenigen ist, die die veröffentlichte Prüfsumme beschreibt. Das garantiert, dass die Datei während der Übertragung nicht beschädigt wurde. Es garantiert nur, dass die Datei tatsächlich vom Herausgeber stammt, wenn Sie die Prüfsumme von einer Quelle bezogen haben, die ein Angreifer nicht ebenfalls manipulieren konnte, z. B. der HTTPS-Seite des Herausgebers oder einer GPG-signierten Prüfsummendatei.

Ist MD5 für die Überprüfung eines Downloads ausreichend? Um versehentliche Korruption zu erkennen, ja. Ein abgeschnittener oder beschädigter Download wird nicht versehentlich denselben MD5 wie das Original erzeugen. Um nachzuweisen, dass eine Datei nicht absichtlich manipuliert wurde, nein, da Angreifer MD5-Kollisionen erzeugen können. Wenn der Herausgeber SHA-256 anbietet, verwenden Sie stattdessen diesen und reservieren Sie MD5 für reine Korruptionsprüfungen.

Wie überprüfe ich eine Prüfsumme unter Windows, ohne etwas zu installieren? Verwenden Sie den integrierten Befehl certutil: Öffnen Sie die Eingabeaufforderung im Ordner der Datei und führen Sie certutil -hashfile yourfile.iso SHA256 aus. PowerShell-Benutzer können Get-FileHash yourfile.iso -Algorithm SHA256 für eine sauberere Ausgabe ausführen. Wenn Sie das Terminal ganz vermeiden möchten, ziehen Sie die Datei in einen browserbasierten Hash-Generator, der lokal auf Ihrem Rechner läuft.

Warum sehen meine beiden Hashes unterschiedlich aus, obwohl ich die richtige Datei heruntergeladen habe? Die üblichen Übeltäter sind Hashing mit dem falschen Algorithmus (Vergleich eines SHA-256-Hashs mit einem MD5-Wert), ein unvollständiger Download oder Unterschiede in Leerzeichen und Groß-/Kleinschreibung beim Einfügen der Werte. Hex-Hashes sind case-insensitiv, normalisieren Sie also beide in Kleinbuchstaben. Wenn alles übereinstimmt und der Hash sich dennoch von der offiziellen Quelle unterscheidet, laden Sie von einem anderen Mirror erneut herunter und überprüfen Sie erneut.

Kann ich eine Prüfsumme offline überprüfen? Ja. Die Befehlszeilentools (certutil, shasum, sha256sum) laufen alle vollständig lokal ohne Internetverbindung. Ein browserbasierter Generator, der die Web Crypto API verwendet, funktioniert ebenfalls offline, sobald die Seite geladen ist, da das Hashing auf Ihrem Gerät und nicht auf einem Server stattfindet.

hashingfile-integrityhash-generatorhow-to

More from Molixa

Try Molixa Tools

50+ free AI tools for content creation, SEO, coding, and more. No signup, no watermark.

Explore all tools