Windows 11 erfordert einen PC mit TPM 2.0. Verfügt Ihr PC also über TPM 2.0, TPM 1.2 oder keines von beidem? Wurde Ihr PC mit deaktiviertem TPM im BIOS geliefert? Müssen Sie ein TPM-Hardwaremodul kaufen? Und warum braucht Windows überhaupt ein TPM?
Was ist ein TPM?
TPM steht für „Trusted Platform Module“. Es ist eine Technologie, die sicherheitsrelevante Funktionen auf der Hardware-Ebene bereitstellt. Es generiert und speichert Verschlüsselungsschlüssel und führt Funktionen in einer manipulationssicheren Weise aus. Es bietet zusätzlichen Schutz gegen Malware und andere Arten von Angriffen.
In einem Blog-Beitrag erklärt Microsoft, dass alle Windows-11-Systeme über ein „Hardware-Root-of-Trust“ verfügen werden. Das TPM ist ein manipulationssicheres Element im Kern des Computers, das für Sicherheitsfunktionen wie Festplattenverschlüsselung und sichere biometrische Anmeldungen mit Windows Hello verwendet werden kann.
Die TPM-„Beglaubigung“ kann zur Fernauthentifizierung von Hardware und Software verwendet werden. Das TPM hat einen eindeutigen Bestätigungsschlüssel (EK), der in die Hardware eingebrannt ist. Unternehmen können aus der Ferne prüfen und verifizieren, dass ein Gerät das ist, was es vorgibt zu sein, und dass die Hardware und Software nicht manipuliert wurden. Dies kann zum Beispiel für ein Unternehmen, das eine Flotte von Arbeits-Laptops verwaltet, besonders nützlich sein.
Das TPM enthält einen Hardware-Zufallszahlengenerator, auf den sich das System ebenfalls verlassen kann. Moderne Smartphones haben Sicherheitschips, die spezielle Funktionen ausführen, warum also nicht auch Computer?
Warum braucht Windows 11 TPM 2.0?
Hier ist ein Beispiel: Die BitLocker-Verschlüsselung kann Verschlüsselungsschlüssel im TPM speichern, um Ihre Dateien zu schützen. Wenn Ihr Computer hochfährt, wird der im TPM gespeicherte Schlüssel verwendet, um Ihr Laufwerk zu entsperren. Wenn ein Angreifer Ihr Systemlaufwerk entwendet und in einen anderen Computer einbaut, kann der Angreifer es nicht entschlüsseln und ohne die im TPM gespeicherten Schlüssel auf Ihre Dateien zugreifen. Das TPM ist manipulationssicher, so dass ein Angreifer es nicht einfach in einen anderen Computer einstecken oder den Entschlüsselungsschlüssel leicht daraus extrahieren kann.
Selbst unter Windows 10 funktioniert BitLocker normalerweise nicht ohne ein TPM. Wenn alle Windows 11-PCs über ein TPM verfügen, dann können alle Windows 11-PCs die Geräteverschlüsselung nativ unterstützen. Das ist viel besser als die Situation, dass einige Windows 10-PCs mit Festplattenverschlüsselung ausgestattet sind, während andere keine Verschlüsselung enthalten.
Ein TPM gibt jedem Windows 11-System eine Basis an Hardware-Sicherheit, auf der Microsoft aufbauen kann. Windows 11 kann immer davon ausgehen, dass es diese Basis an Hardwaresicherheit hat. Microsoft wird keine softwarebasierten Hacks auf Windows 11 aufbauen müssen oder wichtige Funktionen wie die Festplattenverschlüsselung auf vielen PCs deaktiviert lassen.
Warum ist TPM 1.2 nicht gut genug für Windows 11?
Microsofts Mitteilungen waren in den Tagen nach der Ankündigung von Windows 11 sehr uneinheitlich. Zunächst hieß es auf der Kompatibilitätsseite von Microsoft für Windows 11, dass einige Systeme mit TPM 1.2 ein Upgrade durchführen könnten. Später bearbeitete Microsoft diese Seite und sagte, dass TPM 2.0 erforderlich sei.
Eine Microsoft-Webseite aus dem Jahr 2018 weist auf eine Reihe von Sicherheitsvorteilen hin, die TPM 2.0 gegenüber TPM 1.2 hat, darunter die Unterstützung modernerer kryptografischer Algorithmen. Da TPM 2.0 diese Vorteile hat und bereits seit einigen Jahren verbreitet ist, ist Microsoft offensichtlich der Meinung, dass es Sinn macht, TPM 2.0 zu verlangen.
Verfügt Ihr PC über ein TPM? Ist es deaktiviert?
Wenn Sie einen PC gekauft haben, der mit Windows 10 im Jahr 2016 oder später ausgeliefert wurde, ist die Wahrscheinlichkeit groß, dass das TPM 2.0 bereits aktiviert ist – es sei denn, das Modell wurde vor dem Stichtag hergestellt.
Wenn Ihr PC älter ist, kann es sein, dass er das für Windows 11 erforderliche TPM nicht hat. Viele PCs haben von Windows 7 auf Windows 10 aktualisiert, und diese PCs werden wahrscheinlich von dieser Anforderung zurückgelassen.
Leute, die ihren eigenen PC gebaut haben – eine Gruppe, zu der viele PC-Spieler gehören – könnten jedoch in einer seltsamen Situation sein. Wenn Sie Ihren PC selbst gebaut haben (oder ihn von einer Firma gekauft haben, die ihn für Sie gebaut hat), kann es sein, dass Ihr PC über TPM 2.0 verfügt oder nicht. Selbst wenn Windows sagt, dass TPM 2.0 nicht vorhanden ist, kann es sein, dass es einfach standardmäßig deaktiviert ist und Sie es im BIOS Ihres Computers aktivieren müssen.
Um das herauszufinden, müssen Sie möglicherweise das BIOS Ihres Computers besuchen (technisch gesehen jetzt ein UEFI-Firmware-Einstellungsbildschirm auf modernen Computern, aber oft immer noch als BIOS bezeichnet) und nach einer Option namens „TPM“ oder etwas Ähnlichem suchen, die diese Funktion aktiviert.
Einige Computer verfügen über ein Firmware-basiertes TPM. Intel nennt diese Funktion iPPT (Intel Platform Protection Technology), während AMD sie fTPM (Firmware Trusted Platform Module) nennt. Möglicherweise müssen Sie in Ihrem BIOS/UEFI-Einstellungsbildschirm eine Option finden, die so heißt. Sie könnte auch anders heißen – konsultieren Sie das Handbuch Ihres Motherboards für weitere Informationen.
Die Chancen stehen gut, dass viele Leute mit neueren PCs in der Lage sein werden, TPM 2.0 im BIOS zu aktivieren, ohne ein separates TPM-Hardwaremodul kaufen zu müssen – eine Komponente, die bereits von Händlern aufgekauft wird. Allerdings haben einige Gaming-Motherboards diese Funktion nicht integriert und es könnte sein, dass sie nicht verfügbar ist. Vor Microsofts Ankündigung war dies für Windows 11 erforderlich, aber es wurde nicht unbedingt als ein Must-Have-Feature für Leute angesehen, die ihre eigenen PCs bauen.
