Was sind Prüfsummen?

Vielleicht sind Ihnen beim Surfen im Internet schon einmal lange Reihen von Zahlen und Buchstaben neben Downloadlinks aufgefallen, z.B.: SHA-256-Hashwert: F68F966BB322A4245ACE6A35D58F8F2CD263F89EADD8B16F53ACDD868976252F

Hinweis: Die Prüfsummen-Methode ersetzt keine Antiviren-Programme, Firewalls, regelmäßige Updates und weitere Sicherheitsmaßnahmen Ihrer Geräte. Prüfsummen sind Werte, die vor und nach der Übertragung aus den übertragenen Daten selbst erzeugt werden. Sie dienen zur Erkennung von Verfälschungen der Daten.

Ein Beispiel:
Nehmen wir an, Sie versenden die Zahl 34567. Die Quersumme davon lautet 3+4+5+6+7=25. Die Zahl 25 kann als Prüfsumme der Zahl 34567 dienen.

Die Quersumme einer Zahl zu bilden, ist zwar eine Methode, eine Prüfsumme zu bilden – allerdings hat dieser einfache Weg in der Praxis einige Nachteile. Zahlendreher etwa – ein häufiger Fehler – werden nicht erkannt. Denn auch 3+6+7+4+5 führt zum Ergebnis 25. Ebenfalls bleibt die Prüfsumme "25" bestehen, wenn die Daten tatsächlich in einer bestimmten Form verändert wurden – was die Prüfsumme eigentlich aufdecken soll. Denn auch die Zahl 4579 hat die Quersumme 25. Einen solchen Fall, in dem veränderte Daten den Prüfsummentest bestehen, nennt man "Kollision". Für Angreifer ist das gewünschte Ziel genau das. Sie versuchen also, die Daten so zu manipulieren, dass deren Prüfsumme gleich der Prüfsumme der Originaldaten ist.

Die einfache Methode, die Quersumme einer Zahl als Prüfsumme zu verwenden, bietet keine Sicherheit gegenüber beabsichtigen Datenänderungen, also etwa einer vorsätzlichen Manipulation, weil sie sehr einfach zu umgehen ist. Es ist deshalb notwendig, anstelle eines einfachen Prüfsummenverfahrens kryptografisch stärkere Algorithmen zu benutzen, die absichtlich herbeigeführte Kollisionen zuverlässig verhindern.

Kryptographie-Algorithmen

Die gängigen Verfahren SHA-1, SHA-256, MD5 etc. sind darauf ausgelegt, solche "Kollisionen" zu vermeiden. Die dabei verwendeten Algorithmen sind Kryptographie-Algorithmen, man spricht daher von kryptografischen Prüfsummen. Bei diesen ist es praktisch unmöglich, zwei Dateien, die keine 1-zu-1-Kopien sind, zu finden, die dieselbe Prüfsumme haben. Dennoch sind die Algorithmen nicht perfekt und Angriffe mit hohem Aufwand denkbar. Stehen mehrere Verfahren zur Auswahl, sollte SHA-2 bevorzugt eingesetzt werden. Alternativ bieten sich auch SHA-1 und MD5 an.

Welche Verfahren aktuell als sicher gelten können, finden Sie in dem von der Bundesnetzagentur veröffentlichten Algorithmenkatalog.

Weil digitale Informationen immer in Form von Zahlen vorliegen (Nullen und Einsen), kann von jeder digitalen Datei eine (kryptografische) Prüfsumme erstellt werden, egal ob es sich um eine E-Mail, eine Bild- oder Videodatei handelt.

Wozu dient der Prüfsummencheck?

Daten können auf ihrem Weg durch das Internet abgefangen oder manipuliert werden. Auch besteht die Möglichkeit, dass sich Daten zufällig verändern. Damit nachprüfbar ist, ob eine Datei unverändert heruntergeladen wurde, erzeugt der Ersteller der Downloaddatei vor der Übertragung ins Internet mittels eines bestimmten Programmes eine Prüfsumme. Die Prüfsumme, für die zum Download angebotene Datei, stellt er dann zusätzlich zur Downloaddatei im Internet zur Verfügung.

Mit einem Checksummenprüfprogramm können Sie jetzt selbst für die Downloaddatei eine Prüfsumme erstellen und diese mit der vom Ersteller – auch wenn sie aus renommierten Quellen stammen –  zur Verfügung gestellten vergleichen. Dadurch können Sie bei der heruntergeladenen Datei oder Anwendung relativ sicher davon ausgehen, dass Sie nicht verändert wurde.

ABER: Bevor Sie die Prüfsummen kontrollieren, sollten Sie zuerst nachsehen, ob Sie die Dateien, die Sie herunterladen möchten, mithilfe von digitalen Signaturen überprüfen können. Diese bieten ein höheres Sicherheitsniveau als Prüfsummen. Mehr Informationen dazu finden Sie im Kapitel "PKI und Digitale Signatur".

Beispiele für die Angabe von Prüfsummen

Ein Beispiel für die Angaben von Prüfsummen bietet die Seite der AusweisApp. Die dazugehörigen Prüfsummen finden Sie auf der Webseite des BSI. Hier werden die Prüfsummen für die AusweisApp angegeben.

Ein anderes Beispiel ist das kostenlose Programm "OpenOffice": Hier ist unter dem OpenOffice Download-Link ein Link zu den "MD5-Checksums" platziert. Dahinter wird für die verschiedenen OpenOffice-Versionen (Sprache, Betriebssystem etc.) die jeweilige Prüfsumme angegeben, die mithilfe des MD5-Algorithmus erstellt wurde.

Kein Allheilmittel

Grundsätzlich kann durch Prüfsummen, wenn sie anhand einer unkorrumpierten Datei erstellt wurden, nur die Integrität der Daten, nicht aber die Vertrauenswürdigkeit des Versenders geprüft werden. Das bedeutet, die Daten wurden nicht verändert, während sie übertragen wurden – waren sie aber bereits vorher gefährlich, ist dies durch den Prüfsummencheck alleine nicht erkennbar. Daher ist der Einsatz eines Virenscanners und die Aktualität von Software und Betriebssystem von höchster Wichtigkeit.

Programme für den Prüfsummencheck

Die Programme und Programm-Erweiterungen zur Überprüfung der Prüfsummen funktionieren alle nach demselben Prinzip: Sie ermitteln aus einer heruntergeladenen Datei mithilfe des vom Anwender eingestellten Algorithmus (MD5, SHA etc.) die Prüfsumme. Dann kann die Prüfsumme mit der auf der Download-Seite angegebenen Prüfsumme verglichen werden.

Mit folgenden Programmen, können Prüfsummen erzeugt und kontrolliert werden:

• Das Programm Jacksum muss entweder in der Konsole des Rechners (Eingabeaufforderung bei Windows) gestartet oder durch ein Skript in den Dateibrowser integriert werden. Entsprechende Informationen zur Installation und Verwendung entnehmen Sie bitte den aktuellen Angaben auf der Jacksum-Homepage.
• Die Open-Source-Software "FileVerifier++" (nur in englischer Sprache) lässt sich wie jedes andere Programm unter Microsoft Windows installieren. Um damit die Prüfsummen bestimmter Dateien zu generieren, müssen Sie zuerst im Menüpunkt "Algorithms" die entsprechende Prüfsummen-Methode auswählen, die Ihnen die Download-Quelle zur Verfügung stellt. Dann importieren Sie die zu prüfenden Dateien über den Button "Files". Im Programm wird Ihnen in der Spalte "Hash" die Prüfsumme angezeigt. Wollen Sie diese kopieren (etwa in einen Text-Editor), klicken Sie mit der rechten Maustaste auf den Listen-Eintrag und wählen dann "Export to Clipboard as Text".

Was tun, wenn die Prüfsummen voneinander abweichen?

Weichen die Prüfsummen (in allen Fällen, nicht nur im oben angegebenen Beispiel!) voneinander ab, sind die Daten fehlerhaft übertragen worden oder die Prüfsumme stimmt nicht mehr, da die Daten legitim aktualisiert wurden oder die Daten wurden unterwegs verändert.

Daher sollten Sie im Fall ungleicher Prüfsummen folgende Schritte befolgen:

• Die geladenen Daten keinesfalls öffnen sondern umgehend löschen.
• Die Quelle, von der Sie die Daten bezogen haben, über die abweichende Prüfsumme informieren, evtl. liegt der Fehler dort.
• Versuchen, die Daten von einer anderen Quelle zu beziehen.
• Sollte keine weitere Quelle existieren, leeren Sie den Zwischenspeicher (Cache) Ihres Browsers, sowie die Downloadchronik und laden Sie die Daten erneut. Es könnte sein, dass lediglich ein Übertragungsfehler vorlag.
• Stimmt die Prüfsumme nach dem zweiten Versuch ebenfalls nicht, sollten Sie keinen weiteren Versuch unternehmen, die Daten von dieser Quelle zu beziehen. Auch sollten Sie die heruntergeladene Datei von Ihrem Datenträger löschen.