Bundesamt für Sicherheit in der Informationstechnik

Praktischer Nutzen

Übertragene Daten können im Internet verändert werden, auch wenn sie noch auf dem Weg vom Versender zum Empfänger sind. Vergleichbar ist das mit einem Brief, welcher auf dem Transportweg zum Empfänger heimlich entwendet wird. Der Inhalt wird manipuliert oder ausgetauscht und der Brief anschließend unbemerkt zurück in den Transportweg gebracht. Ähnlich läuft es mit manipulierten Daten im Internet.Sollte eine Datei während der Übertragung auf Ihren Computer abgefangen werden, kann sie manipuliert und mit Schadsoftware versehen werden.

Es ist unmöglich, einem solchen Eingriff 100-prozentig vorzubeugen. Daher empfiehlt es sich, zu überprüfen, ob die Daten, die Sie über das Internet bezogen haben, auch exakt das enthalten, was Sie herunterladen wollten. Beispiel: Sie wollen OpenOffice installieren und haben die Installationsdatei dafür heruntergeladen. Nun sollten Sie mithilfe der Prüfsummen-Methode prüfen, ob die Installationsdatei während des Download auch tatsächlich nicht abgefangen und manipuliert wurde. Dieser Schritt ersetzt keineswegs andere Sicherheitsmaßnahmen wie Virenschutz, Firewall und Aktualität von Software und Betriebssystem, er ist aber ein zusätzlicher Baustein im Gesamtkonzept, das Sie in Sachen IT-Sicherheit verfolgen sollten.

ABER: Bevor Sie die Prüfsummen kontrollieren, sollten Sie zuerst nachsehen, ob Sie die Dateien, die Sie herunterladen möchten, mithilfe von digitalen Signaturen überprüfen können. Diese bieten ein höheres Sicherheitsniveau als Prüfsummen. Mehr Informationen dazu finden Sie im Kapitel "PKI und Digitale Signatur".

Beispiele für die Angabe von Prüfsummen

Ein Beispiel für die Angaben von Prüfsummen bietet die Seite der AusweisApp. Die dazugehörigen Prüfsummen finden Sie auf der Webseite des BSI. Hier werden die Prüfsummen für die AusweisApp angegeben.

Prüfsummen für AusweisApp unter Windows Anzeige von Dateiname und zugehörigem SHA-256-Hashwert Prüfsummen AusweisApp2 Windows Beispiel für die Angabe von Prüfsummen auf der BSI-Webseite. Rot umrandet: Name der Installationsdatei für die "AusweisApp2". Grün umrandet: Prüfsumme, die mit der SHA-256-Hashwert-Methode erzeugt wurde.

Ein anderes Beispiel ist das kostenlose Programm "OpenOffice": Hier ist unter dem OpenOffice Download-Link ein Link zu den "MD5-Checksums" platziert. Dahinter wird für die verschiedenen OpenOffice-Versionen (Sprache, Betriebssystem etc.) die jeweilige Prüfsumme angegeben, die mithilfe des MD5-Algorithmus erstellt wurde.

Prüfsummen OpenOffice.org hier am Beispiel von OpenOffice.org 3.3.0 Prüfsummen OpenOffice.org Die Prüfsummen zur Version von OpenOffice.org sind zu finden, wenn auf den Link "MD5 checksums" geklickt wird.

Kein Allheilmittel

Grundsätzlich kann durch Prüfsummen, wenn sie anhand einer unkorrumpierten Datei erstellt wurden, nur die Integrität der Daten, nicht aber die Vertrauenswürdigkeit des Versenders geprüft werden. Das bedeutet, die Daten wurden nicht verändert, während sie übertragen wurden – waren sie aber bereits vorher gefährlich, ist dies durch den Prüfsummencheck alleine nicht erkennbar. Daher ist der Einsatz eines Virenscanners und die Aktualität von Software und Betriebssystem von höchster Wichtigkeit.

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK