{"id":7,"date":"2026-06-10T07:45:07","date_gmt":"2026-06-10T07:45:07","guid":{"rendered":"https:\/\/shattered.io\/de\/2026\/06\/10\/sha-256\/"},"modified":"2026-06-10T13:35:44","modified_gmt":"2026-06-10T13:35:44","slug":"sha-256","status":"publish","type":"post","link":"https:\/\/shattered.io\/de\/2026\/06\/10\/sha-256\/","title":{"rendered":"SHA-256 erkl\u00e4rt: So funktioniert es"},"content":{"rendered":"

SHA-256 ist die Hashfunktion, die einen gro\u00dfen Teil der digitalen Infrastruktur absichert, mit der Sie t\u00e4glich arbeiten. Sie steckt in der Signatur hinter dem Schloss-Symbol im Browser, bildet den Fingerabdruck heruntergeladener Software und verankert jeden Block in der Bitcoin-Blockchain. Als Forscher SHA-1 mit der SHAttered-Kollision<\/a> brachen, war SHA-256 bereits der empfohlene Nachfolger und ist bis heute in der Praxis ungebrochen. Dieser Artikel erkl\u00e4rt, was SHA-256 leistet, wie es im Inneren arbeitet und warum es dieses Vertrauen verdient.<\/p>\n

Was SHA-256 ist<\/h2>\n

SHA-256 steht f\u00fcr Secure Hash Algorithm 256-Bit. Es geh\u00f6rt zur SHA-2-Familie, einer Gruppe von Hashfunktionen, die von der US-amerikanischen National Security Agency (NSA) entworfen und 2001 vom National Institute of Standards and Technology (NIST) im Rahmen von FIPS 180-2 ver\u00f6ffentlicht wurde. Die Zahl 256 bezeichnet die L\u00e4nge der Ausgabe: Jede Eingabe, ob ein einzelnes Zeichen oder ein mehrere Gigabyte gro\u00dfes Festplatten-Abbild, erzeugt einen Hashwert von exakt 256 Bit. Das entspricht 32 Byte, \u00fcblicherweise dargestellt als 64 hexadezimale Zeichen.<\/p>\n

Eine Hashfunktion nimmt Daten beliebiger L\u00e4nge entgegen und reduziert sie auf einen Fingerabdruck fester L\u00e4nge. SHA-256 ist eine konkrete, standardisierte Methode, genau das zu tun. Wie sich diese Klasse von Algorithmen allgemein verh\u00e4lt, beschreibt die \u00dcbersicht zu Hashfunktionen<\/a>; hier liegt der Fokus auf dem Aufbau von SHA-256 selbst.<\/p>\n

Zur SHA-2-Familie geh\u00f6ren au\u00dferdem SHA-224, SHA-384 und SHA-512. Sie unterscheiden sich vor allem in Ausgabel\u00e4nge und interner Wortbreite. SHA-256 ist die am weitesten verbreitete Variante, weil die 256-Bit-Ausgabe einen praktischen Kompromiss trifft: lang genug, um Brute-Force-Angriffen auf absehbare Zeit zu widerstehen, kurz genug, um sie g\u00fcnstig zu speichern und zu \u00fcbertragen.<\/p>\n

Die Kerneigenschaften<\/h2>\n

Eine kryptografische Hashfunktion ist nur dann n\u00fctzlich, wenn sie einige strenge Garantien einh\u00e4lt. SHA-256 wurde so entworfen, dass es alle davon erf\u00fcllt.<\/p>\n

Deterministisch und feste L\u00e4nge<\/h3>\n

Dieselbe Eingabe liefert immer dieselbe Ausgabe. Hashen Sie das Wort Kryptografie<\/code> heute, n\u00e4chstes Jahr oder auf einem anderen Rechner, erhalten Sie jedes Mal denselben 64 Zeichen langen Hashwert. Auch die Ausgabel\u00e4nge \u00e4ndert sich nie: Eine leere Zeichenkette und ein vollst\u00e4ndiger Roman ergeben beide genau 256 Bit.<\/p>\n

Einwegfunktion (Preimage-Resistenz)<\/h3>\n

Aus einem gegebenen Hashwert l\u00e4sst sich die urspr\u00fcngliche Eingabe nicht mit vertretbarem Aufwand rekonstruieren. Die Funktion verwirft beim Rechnen jede erkennbare Struktur, sodass eine Umkehrung das Durchsuchen eines astronomisch gro\u00dfen Raums m\u00f6glicher Eingaben bedeuten w\u00fcrde. Genau das erlaubt es einem System, einen Fingerabdruck sensibler Daten zu speichern, ohne die Daten selbst abzulegen.<\/p>\n

Kollisionsresistenz<\/h3>\n

Eine Kollision sind zwei verschiedene Eingaben, die denselben Hashwert erzeugen. Bei einer sicheren 256-Bit-Hashfunktion w\u00fcrde es wegen des Geburtstagsproblems rund 2^128 Operationen kosten, eine solche per Brute Force zu finden, weit jenseits jeder heutigen oder absehbaren Rechenleistung. F\u00fcr SHA-256 ist keine praktische Kollision bekannt.<\/p>\n

Der Lawineneffekt<\/h3>\n

\u00c4ndert man ein einziges Bit der Eingabe, kippt im Durchschnitt die H\u00e4lfte der Ausgabebits. Es gibt kein allm\u00e4hliches Abdriften; eine winzige \u00c4nderung erzeugt einen Hashwert, der mit dem Original keinerlei \u00c4hnlichkeit mehr hat. Diese Eigenschaft macht einen Hash zum verl\u00e4sslichen Werkzeug, um Manipulationen zu erkennen: Jede noch so kleine Ver\u00e4nderung f\u00e4llt sofort auf.<\/p>\n

Feste Ausgabel\u00e4nge<\/h3>\n

Unabh\u00e4ngig von der Eingabegr\u00f6\u00dfe ist die Ausgabe stets 256 Bit lang. Das macht Hashwerte gut vergleichbar und sorgt daf\u00fcr, dass Speicherbedarf und Verarbeitungskosten konstant bleiben, egal ob ein Byte oder ein Terabyte gehasht wird.<\/p>\n

Ein anschauliches Beispiel<\/h2>\n

Der Lawineneffekt l\u00e4sst sich an einer kurzen Zeichenkette am besten beobachten, indem man verfolgt, was bei der \u00c4nderung eines einzigen Zeichens passiert. Die folgenden Hexwerte sind als Beispiel gekennzeichnet und stehen stellvertretend f\u00fcr die tats\u00e4chliche Ausgabe, sie sind keine echten berechneten Hashes:<\/p>\n

Eingabe:  "shattered"\nSHA-256:  4c9c8f3b...  (Beispiel: ein fester 64-Zeichen-Hexwert)\n\nEingabe:  "shattereD"  (nur der letzte Buchstabe in Gro\u00dfschreibung)\nSHA-256:  e1b7a402...  (Beispiel: ein v\u00f6llig anderer 64-Zeichen-Hexwert)\n<\/code><\/pre>\n
Beide Eingaben sind neun Zeichen lang und unterscheiden sich um ein einziges Bit (kleines d<\/code> gegen\u00fcber gro\u00dfem D<\/code>). Trotzdem haben die beiden Hashwerte keinerlei Gemeinsamkeit, und beide bestehen weiterhin aus exakt 64 Hexzeichen, weil die Ausgabel\u00e4nge fest ist. Vollst\u00e4ndige Empfindlichkeit gegen\u00fcber der Eingabe bei gleichzeitig konstanter Ausgabegr\u00f6\u00dfe ist genau der Sinn der Sache.<\/p>\n
So funktioniert SHA-256<\/h2>\n
Man braucht nicht die vollst\u00e4ndige Spezifikation, um dem Ablauf zu folgen. SHA-256 verarbeitet eine Nachricht in f\u00fcnf gedanklichen Schritten.<\/p>\n
1. Padding der Nachricht<\/h3>\n
Die Eingabe wird zun\u00e4chst aufgef\u00fcllt, damit ihre Gesamtl\u00e4nge ein Vielfaches von 512 Bit ergibt. Das Padding h\u00e4ngt ein einzelnes 1<\/code>-Bit an, danach so viele 0<\/code>-Bits wie n\u00f6tig und schlie\u00dflich einen 64-Bit-Wert, der die urspr\u00fcngliche Nachrichtenl\u00e4nge festh\u00e4lt. Dass die L\u00e4nge fest in das Padding kodiert wird, ist eine bewusste Absicherung gegen Angriffe, die durch ein abweichendes Padding dieselbe Blockstruktur vort\u00e4uschen wollen.<\/p>\n
2. Aufteilung in 512-Bit-Bl\u00f6cke<\/h3>\n
Die aufgef\u00fcllte Nachricht wird in Bl\u00f6cke zu je 512 Bit zerlegt, die SHA-256 nacheinander einzeln verarbeitet. Jeder Block aktualisiert einen internen Zustand aus acht 32-Bit-W\u00f6rtern. Dieser Zustand startet von acht festen Anfangswerten, die aus den Nachkommastellen der Quadratwurzeln der ersten acht Primzahlen abgeleitet sind.<\/p>\n
3. Aufbau des Message Schedule<\/h3>\n
F\u00fcr jeden 512-Bit-Block erweitert der Algorithmus die 16 eingehenden 32-Bit-W\u00f6rter auf 64. Die zus\u00e4tzlichen 48 entstehen, indem fr\u00fchere W\u00f6rter \u00fcber Bit-Rotationen, Verschiebungen und XOR miteinander vermischt werden. Dieses erweiterte Feld, der Message Schedule, sorgt daf\u00fcr, dass jeder Teil des Blocks viele Runden der Verarbeitung beeinflusst.<\/p>\n
4. 64 Runden Kompression<\/h3>\n
Das Herzst\u00fcck von SHA-256 ist seine Kompressionsfunktion, die pro Block 64 Runden durchl\u00e4uft. Jede Runde nimmt die acht Arbeitsvariablen (mit a<\/code> bis h<\/code> bezeichnet), mischt ein Wort aus dem Message Schedule und eine Rundenkonstante hinzu und verr\u00fchrt den Zustand \u00fcber Additionen, Rotationen und die logischen Funktionen Ch und Maj. Die 64 Rundenkonstanten sind nicht willk\u00fcrlich gew\u00e4hlt: Sie sind die Nachkommastellen der Kubikwurzeln der ersten 64 Primzahlen. Solche bekannten mathematischen Konstanten zu verwenden, ist eine Transparenzma\u00dfnahme. Sie belegt, dass die Entwerfer keine versteckte Struktur eingebaut haben, ein Prinzip, das oft als “Nothing up my sleeve” bezeichnet wird.<\/p>\n
5. Erzeugung des Hashwerts<\/h3>\n
Nach dem letzten Block werden die acht 32-Bit-Arbeitsw\u00f6rter zu einem einzigen 256-Bit-Wert zusammengef\u00fcgt: dem Hashwert. Die gesamte Konstruktion, die Bl\u00f6cke der Reihe nach verarbeitet und den Zustand dabei weitertr\u00e4gt, folgt dem Merkle-Damg\u00e5rd-Modell, das hinter den meisten klassischen Hash-Designs steht.<\/p>\n
Warum SHA-256 SHA-1 abl\u00f6ste<\/h2>\n
SHA-1 erzeugt einen 160-Bit-Hashwert und war das Arbeitspferd der 1990er- und 2000er-Jahre. Theoretische Schw\u00e4chen tauchten bereits 2005 auf, doch der entscheidende Schlag kam im Februar 2017, als Forscher des CWI Amsterdam und von Google SHAttered<\/a> vorstellten: die erste praktische SHA-1-Kollision. Sie erzeugten zwei verschiedene PDF-Dateien mit identischem SHA-1-Hashwert und bewiesen damit, dass die Kollisionsresistenz in der realen Welt gebrochen war, nicht nur auf dem Papier.<\/p>\n
Dieses Ergebnis beschleunigte eine ohnehin laufende Migration. Zertifizierungsstellen, Browser und Versionsverwaltungssysteme wechselten zu SHA-256, dessen gr\u00f6\u00dfere Ausgabe und st\u00e4rkeres Design keine vergleichbare Schw\u00e4che aufweisen.<\/p>\n\n\n\n\n\n\n\n
Algorithmus<\/th>\nAusgabel\u00e4nge<\/th>\nJahr der Standardisierung<\/th>\nStatus<\/th>\n<\/tr>\n<\/thead>\n
SHA-1<\/td>\n160 Bit<\/td>\n1995<\/td>\nGebrochen (praktische Kollision 2017)<\/td>\n<\/tr>\n
SHA-256<\/td>\n256 Bit<\/td>\n2001<\/td>\nSicher, weit verbreitet<\/td>\n<\/tr>\n
SHA-3<\/td>\nvariabel (224 bis 512 Bit)<\/td>\n2015<\/td>\nSicher, andere Bauweise<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n
SHA-3, von NIST 2015 standardisiert, verdient eine Anmerkung. Es ist kein Flicken f\u00fcr SHA-2, sondern eine andere Konstruktion (ein Schwamm-Verfahren auf Basis des Keccak-Algorithmus), die \u00fcber einen \u00f6ffentlichen Wettbewerb ausgew\u00e4hlt wurde. SHA-3 existiert als strukturelle R\u00fcckfallebene, damit die Welt nicht von einer einzigen Designfamilie abh\u00e4ngt. Sowohl SHA-256 als auch SHA-3 gelten heute als sicher.<\/p>\n
Wo SHA-256 eingesetzt wird<\/h2>\n
Der Algorithmus taucht \u00fcberall dort auf, wo ein vertrauensw\u00fcrdiger Fingerabdruck gebraucht wird.<\/p>\n
TLS und Zertifikate.<\/strong> Die digitalen Zertifikate hinter HTTPS werden mit SHA-256 signiert. Wenn Ihr Browser eine Website pr\u00fcft, verl\u00e4sst er sich auf einen SHA-256-Hashwert innerhalb dieser Signatur, um zu best\u00e4tigen, dass das Zertifikat unver\u00e4ndert ist.<\/p>\n
Passwort-Hashing.<\/strong> Systeme speichern keine Passw\u00f6rter im Klartext. SHA-256 kommt in diesem Zusammenhang vor, allerdings bettet sichere Passwortspeicherung es in ein bewusst langsames, mit Salt versehenes Verfahren wie PBKDF2 oder ein bcrypt-artiges Schema ein. Ein nackter Hash ist schnell, was f\u00fcr Integrit\u00e4tspr\u00fcfungen passt, f\u00fcr Passw\u00f6rter aber ein Risiko darstellt. Die Verlangsamung ist daher Absicht.<\/p>\n
Datei-Integrit\u00e4t und Pr\u00fcfsummen.<\/strong> Softwareprojekte ver\u00f6ffentlichen neben ihren Downloads eine SHA-256-Pr\u00fcfsumme. Nach dem Herunterladen einer Datei hashen Sie sie und vergleichen. Stimmen die Hashwerte \u00fcberein, ist die Datei unver\u00e4ndert angekommen. Ein einziges gekipptes Bit ver\u00e4ndert den gesamten Hashwert, weshalb die Pr\u00fcfung keine Abweichung durchgehen l\u00e4sst.<\/p>\n
Bitcoin Proof of Work.<\/strong> SHA-256 ist der Motor von Bitcoin. Miner hashen Blockk\u00f6pfe immer wieder und suchen nach einer Ausgabe unterhalb eines Zielwerts (das Proof-of-Work-R\u00e4tsel), und jeder Block wird \u00fcber seinen Hashwert identifiziert. Das Verfahren ist absichtlich schwer zu l\u00f6sen, aber leicht zu \u00fcberpr\u00fcfen, genau die Asymmetrie, die ein dezentrales Netzwerk braucht.<\/p>\n
Provably-Fair-Gl\u00fccksspiel.<\/strong> Online-Spiele k\u00f6nnen SHA-256 nutzen, um zu beweisen, dass ein Ergebnis im Voraus feststand und nie ver\u00e4ndert wurde. Der Anbieter legt sich auf einen geheimen Server-Seed fest, indem er dessen Hashwert vor Spielbeginn ver\u00f6ffentlicht. Nach der Runde wird der urspr\u00fcngliche Seed offengelegt, und der Spieler hasht ihn, um zu best\u00e4tigen, dass er zu dieser fr\u00fcheren Festlegung passt. Weil der Hash einweggerichtet und deterministisch ist, h\u00e4tte der Anbieter den Seed nicht manipulieren k\u00f6nnen, ohne dass die \u00c4nderung auffliegt. Unser Leitfaden zu Provably-Fair-Systemen zeigt, wie Sie ein Ergebnis selbst \u00fcberpr\u00fcfen.<\/p>\n
Ist SHA-256 noch sicher?<\/h2>\n
Ja. Es gibt keinen bekannten praktischen Kollisionsangriff gegen SHA-256 und keine durchf\u00fchrbare Methode, es umzukehren oder Preimages zu finden. Die besten bekannten Angriffe bleiben deutlich schw\u00e4cher als Brute Force und betreffen nur rundenreduzierte Varianten, die in akademischen Studien untersucht werden, nicht die vollst\u00e4ndige 64-Runden-Funktion. Der \u00fcbergeordnete Kryptografie-\u00dcberblick<\/a> verfolgt den aktuellen Stand der Forschung. Sofern es keinen grundlegenden mathematischen Durchbruch gibt, d\u00fcrfte SHA-256 noch Jahre sicher bleiben, was genau der Grund ist, warum es einen so gro\u00dfen Teil des modernen Internets tr\u00e4gt.<\/p>\n
H\u00e4ufig gestellte Fragen<\/h2>\n
Ist SHA-256 eine Verschl\u00fcsselung?<\/h3>\n
Nein. Verschl\u00fcsselung ist umkehrbar: Mit dem richtigen Schl\u00fcssel l\u00e4sst sich der Geheimtext wieder zum Klartext entschl\u00fcsseln. SHA-256 ist ein Einweg-Hash ohne Schl\u00fcssel und ohne Umkehrung. Es erzeugt einen Fingerabdruck, keine wiederherstellbare Nachricht.<\/p>\n
K\u00f6nnen zwei verschiedene Dateien jemals denselben SHA-256-Hash haben?<\/h3>\n
Theoretisch ja, denn unendlich viele Eingaben werden auf eine endliche Menge von 256-Bit-Ausgaben abgebildet. In der Praxis w\u00fcrde das Finden eines solchen Paares in der Gr\u00f6\u00dfenordnung von 2^128 Operationen liegen, was rechnerisch nicht durchf\u00fchrbar ist. Es wurde bisher keine SHA-256-Kollision gefunden.<\/p>\n
Wie lang ist ein SHA-256-Hash?<\/h3>\n
Immer 256 Bit, also 32 Byte oder 64 hexadezimale Zeichen. Die L\u00e4nge ist fest, unabh\u00e4ngig davon, ob die Eingabe ein Byte oder ein Terabyte umfasst.<\/p>\n
Warum nutzt Bitcoin ausgerechnet SHA-256?<\/h3>\n
SHA-256 war eine ausgereifte, gr\u00fcndlich analysierte und ungebrochene Hashfunktion, als Bitcoin 2009 startete. Seine Einweg-Eigenschaft und der Lawineneffekt machen das Proof-of-Work-R\u00e4tsel schwer zu l\u00f6sen, aber trivial zu \u00fcberpr\u00fcfen, genau die Asymmetrie, die ein dezentrales Netzwerk ben\u00f6tigt.<\/p>\n
\n
Quellen<\/h2>\n