Ein Mitarbeiter behauptet, in seinem Überlassungsvertrag stünde eine andere Privatnutzungsregelung als die, die du gespeichert hast. Aussage gegen Aussage -- bei einem Papiervertrag hast du schlechte Karten. Bei einem digital signierten Dokument mit SHA-256 Hashing kannst du kryptographisch beweisen, dass nichts verändert wurde. Wie das funktioniert und warum es für deinen Fuhrpark relevant ist, erklären wir hier.
Was ist SHA-256?
SHA-256 steht für „Secure Hash Algorithm 256-bit" und gehört zur SHA-2-Familie, die 2001 von der US-amerikanischen National Security Agency (NSA) entwickelt und vom National Institute of Standards and Technology (NIST) als Standard veröffentlicht wurde.
Ein Hash-Algorithmus nimmt eine beliebige Eingabe (z. B. ein PDF-Dokument) und berechnet daraus eine einzigartige Zeichenkette fester Länge – den sogenannten Hash-Wert oder digitalen Fingerabdruck.
Beispiel
Ein ganzes PDF-Dokument mit 50 Seiten erzeugt einen Hash wie:
a7ffc6f8bf1ed76651c14756a061d662f580ff4de43b49fa82d80a4b80f8434a
Ändert man auch nur ein einziges Zeichen im Dokument – z. B. ein Komma – entsteht ein komplett anderer Hash:
3f2c9e8d1a5b7c4e6d8f0a2b4c6e8f0a1b3d5e7f9a2c4e6b8d0f2a4c6e8b0d
Diese Eigenschaft macht SHA-256 perfekt für die Dokumentensicherheit.
Die 4 Eigenschaften von SHA-256
1. Deterministisch
Dieselbe Eingabe erzeugt immer denselben Hash. Ein unverändertes Dokument liefert bei jeder Berechnung exakt denselben Fingerabdruck.
2. Einwegfunktion
Aus dem Hash-Wert lässt sich das Originaldokument nicht rekonstruieren. Selbst mit unbegrenzter Rechenleistung ist es unmöglich, vom Hash auf den Inhalt zurückzuschließen.
3. Kollisionsresistent
Es ist praktisch unmöglich, zwei verschiedene Dokumente zu finden, die denselben Hash erzeugen. Die Wahrscheinlichkeit einer zufälligen Kollision bei SHA-256 liegt bei 1 zu 2^128 – eine Zahl mit 39 Stellen.
4. Lawineneffekt
Kleinste Änderungen an der Eingabe verändern den Hash-Wert vollständig. Es gibt keinen erkennbaren Zusammenhang zwischen ähnlichen Eingaben und ihren Hash-Werten.
Warum ist SHA-256 für die Dokumentensicherheit wichtig?
Das Problem: Nachträgliche Manipulation
Stell dir vor: Ein Mitarbeiter unterschreibt seinen Dienstwagenüberlassungsvertrag digital. Zwei Monate später gibt es einen Streit über die vereinbarte Privatnutzungsregelung. Der Mitarbeiter behauptet, im Vertrag stünde etwas anderes als das, was er unterschrieben hat. Oder der Arbeitgeber modifiziert das Dokument nachträglich.
Ohne Integritätsschutz steht Aussage gegen Aussage.
Die Lösung: Hash vor Signatur
Mit SHA-256 wird vor der Signatur ein Hash des Dokuments berechnet und zusammen mit der Signatur gespeichert. Bei jedem späteren Zugriff kann der Hash neu berechnet und verglichen werden:
- Hash stimmt überein: Dokument ist unverändert – Integrität bewiesen
- Hash stimmt nicht überein: Dokument wurde manipuliert – Alarm
Dieses Prinzip ist so fundamental, dass es in der eIDAS-Verordnung (Art. 26 lit. d) als Anforderung für fortgeschrittene elektronische Signaturen verankert ist.
Hashing vs. Verschlüsselung: Der Unterschied
Ein häufiges Missverständnis: Hashing und Verschlüsselung sind nicht dasselbe.
| Eigenschaft | Hashing (SHA-256) | Verschlüsselung (z. B. AES-256) | |---|---|---| | Zweck | Integrität prüfen | Vertraulichkeit sichern | | Umkehrbar | Nein (Einwegfunktion) | Ja (mit Schlüssel) | | Ausgabelänge | Immer 256 Bit | Variabel (wie Eingabe) | | Schlüssel benötigt | Nein | Ja | | Anwendung | Dokumenten-Fingerabdruck | Datenverschlüsselung |
Für die Dokumentensicherheit brauchst du beides:
- Hashing beweist, dass das Dokument nicht verändert wurde (Integrität)
- Verschlüsselung schützt das Dokument vor unbefugtem Lesen (Vertraulichkeit)
Wie Polazy SHA-256 für signierte Dokumente einsetzt
Polazy implementiert SHA-256 Hashing als integralen Bestandteil des Signaturprozesses. Der technische Ablauf:
Schritt 1: Dokument erstellen
Der Fuhrparkmanager erstellt einen Dienstwagenüberlassungsvertrag aus der Car Policy. Das System generiert ein Dokument mit allen vereinbarten Konditionen.
Schritt 2: Hash berechnen (vor Signatur)
Bevor das Dokument an den Fahrer gesendet wird, berechnet das System den SHA-256 Hash des vollständigen Dokumentinhalts. Dieser Hash wird als document_hash in der Datenbank gespeichert.
Schritt 3: Fahrer signiert
Der Fahrer öffnet den Signatur-Link, prüft das Dokument und bestätigt per SMS-OTP. Das System speichert den Hash erneut in der Signatur-Tabelle.
Schritt 4: PDF generieren und hashen
Nach der Signatur wird ein PDF generiert. Auch dieses PDF erhält einen eigenen Hash (pdf_hash), der separat gespeichert wird.
Schritt 5: Verifizierung jederzeit möglich
Bei jedem späteren Zugriff auf das signierte Dokument wird der Hash neu berechnet und mit dem gespeicherten Wert verglichen. Jede Abweichung wird sofort erkannt und protokolliert.
Doppelte Sicherheit
Durch die Speicherung von zwei Hash-Werten – document_hash (Vertragsinhalte vor Signatur) und pdf_hash (finales PDF nach Signatur) – entsteht eine lückenlose Integritätskette.
SHA-256 in der Praxis: Zahlen und Fakten
- SHA-256 erzeugt einen 64 Zeichen langen hexadezimalen Hash-Wert
- Die Berechnung dauert typischerweise unter 1 Millisekunde für ein mehrseitiges PDF
- Es gibt 2^256 mögliche Hash-Werte – das sind mehr als die geschätzte Anzahl von Atomen im beobachtbaren Universum
- SHA-256 wird auch in Bitcoin und TLS/SSL (HTTPS) verwendet
- Seit Veröffentlichung 2001 wurde keine einzige Kollision bei SHA-256 gefunden
- SHA-256 ist vom BSI (Bundesamt für Sicherheit in der Informationstechnik) als sicher eingestuft und für den Einsatz in der öffentlichen Verwaltung empfohlen
Compliance-Vorteile von SHA-256 Hashing
eIDAS-Konformität
Die eIDAS-Verordnung fordert für fortgeschrittene und qualifizierte Signaturen die Erkennbarkeit nachträglicher Änderungen. SHA-256 Hashing erfüllt diese Anforderung technisch robust.
GoBD-Konformität
Die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern (GoBD) fordern die unveränderbare Aufbewahrung von geschäftsrelevanten Dokumenten. Der gespeicherte Hash-Wert beweist die Unveränderlichkeit.
Revisionssicherheit
Wirtschaftsprüfer und Revisoren können anhand der Hash-Werte die Integrität aller archivierten Dokumente maschinell prüfen – ohne jedes einzelne Dokument manuell kontrollieren zu müssen.
DSGVO-Datenintegrität
Art. 5 Abs. 1 lit. f DSGVO fordert die „Integrität und Vertraulichkeit" personenbezogener Daten. SHA-256 Hashing adressiert die Integritätsanforderung direkt.
Häufig gestellte Fragen (FAQ)
Ist SHA-256 noch sicher?
Ja. SHA-256 gilt Stand 2026 als kryptographisch sicher. Das BSI empfiehlt SHA-256 für den Einsatz bis mindestens 2030. Auch NIST sieht keinen Handlungsbedarf für einen Wechsel.
Was ist der Unterschied zwischen SHA-256 und SHA-3?
SHA-3 (Keccak) ist ein neuerer Algorithmus mit anderem internem Aufbau. Beide bieten vergleichbare Sicherheit bei 256 Bit. SHA-256 ist weiter verbreitet und hat sich als Industriestandard etabliert.
Kann ein Quantencomputer SHA-256 brechen?
Theoretisch könnte ein Quantencomputer mit dem Grover-Algorithmus die Sicherheit von SHA-256 auf 128 Bit halbieren – das wäre immer noch extrem sicher. Praktisch existieren solche Quantencomputer noch nicht und werden es voraussichtlich auch in den nächsten 10–15 Jahren nicht.
Muss ich als Fuhrparkmanager SHA-256 verstehen?
Du musst nicht die Mathematik verstehen, aber du solltest wissen, dass dein Signatur-Tool SHA-256 Hashing einsetzt. Es ist ein Qualitätsmerkmal, das bei Audits und vor Gericht den Unterschied macht.
Fazit
SHA-256 Hashing ist der unsichtbare Wächter deiner digital signierten Dokumente. Es stellt sicher, dass ein Vertrag nach der Unterschrift nicht verändert werden kann – und liefert den kryptographischen Beweis dafür. Für Fuhrparkmanager, die Dienstwagenverträge und Car Policies digital signieren lassen, ist SHA-256 kein technisches Detail, sondern ein wesentlicher Compliance- und Sicherheitsbaustein. Polazy setzt SHA-256 Hashing automatisch bei jeder Signatur ein – ohne Konfiguration, ohne Zusatzkosten, ohne Kompromisse. Alle Funktionen entdecken oder jetzt kostenlos testen.