Trusted Platform Module

Was ist ein TPM?

01.09.2022 von Gordon  Mah Ung
Ein Trusted Platform Module kann das Security-Niveau erhöhen. Das sollten Sie über TPMs wissen.
Das Trusted Platform Module ist spätestens seit der Ankündigung von Windows 11 ziemlich gefragt. Das müssen Sie über TPM wissen.
Foto: Lipowski Milan - shutterstock.com

Sehr wahrscheinlich haben Sie lange gar nicht darüber nachgedacht, ob Ihr PC über ein Trusted Platform Module (TPM) verfügt - bis Microsoft die Systemanforderungen für Windows 11 veröffentlicht hat. Lesen Sie, was ein TPM ist, wie Sie herausfinden, ob Ihr System eines an Bord hat und wie Sie es aktivieren.

Trusted Platform Module - Definition

Ein Trusted Platform Module ist ein Sicherheitschip, der in Laptops und die meisten Desktop-PCs integriert werden kann. Er ist im Grunde ein Schlüssel-Safe und ein Verschlüsselungs-Device, das dem Sicherheitsniveau zuträglich sein kann.

Am Beispiel eines PCs veranschaulicht: Wenn Sie den Rechner hochfahren, erwacht das TPM und veranlasst die anderen Komponenten, aktiv zu werden. Ist die gesamte Hardware bereit, wird das Betriebssystem geladen. In einer sicheren Umgebung stellt der PC zunächst sicher, dass das Betriebssystem sicher ist. Möglicherweise vertraut er auch nicht der umgebenden Hardware, dann überprüft er auch diese. Ohne einen Bezugspunkt kann der Rechner jedoch nicht "wissen", ob Teile des Systems manipuliert wurden. Ist ein Trusted Platform Module an Bord, können die Informationen mit denen im gesperrten Bereich abgeglichen werden. Stimmen die Daten überein, läuft der Startvorgang normal ab. Tun sie das nicht, schrillen die Alarmglocken.

TPM - Standalone oder Firmware-basiert

TPMs waren ursprünglich als Standalone-Chips erhältlich und wurden vorwiegend in Firmenrechnern eingesetzt. Der Grund: Hauptsächlich B2B-Kunden waren bereit, den Aufpreis für das Trusted Platform Module zu bezahlen. Seit einiger Zeit integrieren jedoch sowohl AMD als auch Intel Firmware-basierte TPMs in ihre CPUs, wodurch TPM-Support nun auf wesentlich breiterer Basis verfügbar ist: So gut wie jede Intel-CPU ab dem Jahr 2013 (etwa Haswell), die für Windows 8.1 gefertigt wurde, verfügt über ein Firmware-basiertes TPM.

Wichtig ist dabei: Selbst, wenn Firmware-TPM in der CPU vorhanden ist, bedeutet das nicht, dass jeder PC sofort darauf zugreifen kann. Möglicherweise ist dazu ein BIOS- oder UEFI-Update nötig. Während die meisten PCs großer Hersteller in der Regel über diese Funktion verfügen, ist sie bei vielen im Handel erhältlichen Motherboards oft nicht im BIOS enthalten oder nicht standardmäßig aktiviert.

Im Desktop-Bereich verfügen viele Motherboards über eine unbestückte TPM-Steckplatzoption. Wenn Sie ein diskretes, von der CPU unabhängig arbeitendes Trusted Platform Module aktivieren möchten, können Sie dieses hier installieren. Im Regelfall enthält Consumer Hardware kein TPM, da es einen zusätzlichen Kostenfaktor darstellt. Wenn Ihr Motherboard keine Firmware-TPM-Unterstützung implementiert hat und das der Installation von Windows 11 im Weg steht, könnte es sich lohnen, nach einem kompatiblen Modul zu suchen. Dabei ist zu empfehlen, ein Modul desselben Motherboard-Herstellers und desselben Jahrgangs zu wählen: Obwohl TPM-Chips von der Stange sein können, sind die tatsächlichen physischen Verbindungen und die Art und Weise, wie das BIOS/UEFI mit ihnen kommuniziert, einzigartig.

Trusted Platform Module - Status-Check

Um herauszufinden, ob Ihr PC ein Trusted Platform Module enthält, tippen Sie "tpm.msc" in die Suchleiste Ihres Windows-10-PCs ein. In der App "Trusted Platform Module Management" scrollen Sie nach unten zu den TPM-Herstellerinformationen, um zu überprüfen, ob ein TPM installiert und zertifiziert ist. Darüber hinaus steht Ihnen auch eine Open-Source-Software zur Verfügung, um Ihr System auf Windows-11-Kompatibilität zu testen.

TPM Management unter Windows 10.
Foto: Mark Hachman / IDG

Man unterscheidet zwischen diskreten und integrierten (Firmware-basierten) TPMs. Gemeinhin gilt ein diskretes Trusted Platform Module als besser, da es mehr Verschlüsselungsalgorithmen unterstützt. Dafür benötigt es aber auch mehr Platz und kostet mehr.

TPM - nicht auffindbar?

TPM-Support wird auf vielen älteren Geräten in Zusammenhang mit Windows 11 für Probleme sorgen. Aber auch neuere Rechner sind nicht davor gefeit und können Warnmeldungen in Microsofts Windows-11-Anforderungsprüfung aufwerfen, wenn kein Trusted Platform Module der Version 2.0 installiert ist. Das hat zur Folge, dass Sie entweder ein entsprechendes TPM kaufen oder das in neuere CPUs integrierte Firmware-TPM aktivieren müssen. Die Konfiguration muss also von einem diskreten TPM auf die Firmware-Variante geändert werden. Je nach Motherboard und Gerätehersteller kann diese Einstellung variieren. Bei manchen Motherboards heißt es einfach "TPM", bei anderen Intel Platform Trusted Technology und im Fall von AMD-Motherboards auch "fTPM".

Um die Option zu aktivieren, müssen Sie im UEFI Ihres PCs herumwühlen. Das wiederum sollten Sie nicht an einem funktionierenden PC zu tun, ohne vorher ein Backup zu erstellen. Erfolg ist bei dieser Mission ebenfalls nicht garantiert: Während einige Nutzer von Erfolg berichten, kämpfen andere mit sporadischen Bluescreens, die auch nach der Deaktivierung der TPM-Firmware im UEFI nicht verschwunden sind. Sehr wahrscheinlich werden die Motherboard-Hersteller neue UEFIs herausbringen. Damit werden sie vermutlich warten wollen, bis ein neueres UEFI/BIOS und Windows 11 selbst verfügbar ist.

Ein Trusted Platform Module ist nur eines von vielen Dingen, die Sie für die Installation von Windows 11 benötigen: Sie müssen auch Secure Boot und den UEFI-Modus aktivieren. Das sollte bei den meisten Computern, die in den letzten drei oder vier Jahren hergestellt wurden, reibungslos funktionieren. Bei älterer Hardware wird es spannend. (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation PC World.