Beim so­ge­nann­ten Trusted Platform Module handelt es sich um einen spe­zi­el­len, in Laptops oder Computern in­te­grier­ten Chip. Dieser bietet wichtige Si­cher­heits­funk­tio­nen, um die In­te­gri­tät und die Si­cher­heit von Systemen und Software in einer ge­schütz­ten Umgebung zu über­prü­fen. Un­ter­stützt ein Be­triebs­sys­tem TPM, lässt sich dieses über die BIOS-Funk­tio­nen ak­ti­vie­ren oder bei Bedarf de­ak­ti­vie­ren.

Was bedeutet Trusted Platform Module?

Si­cher­heits­me­cha­nis­men zum Sys­tem­schutz sowie zur Abwehr von Schad­soft­ware oder Ran­som­wa­re spielen für Nut­ze­rin­nen und Nutzer sowie für Un­ter­neh­men eine ent­schei­den­de Rolle. Hierzu kommen nicht nur Firewalls und An­ti­vi­ren­pro­gram­me, sondern auch Tools wie ein Trusted Platform Module zum Einsatz. Beim TPM handelt es sich um in Laptops und Computer in­te­grier­te Chips, die zu­sätz­li­che Si­cher­heits­funk­tio­nen für Hardware und Software bieten. Zu diesen Funk­tio­nen zählen die Au­then­ti­fi­zie­rung eines Geräts, die Iden­ti­fi­zie­rung von Nut­ze­rin­nen oder Nutzern oder auch die Über­prü­fung von Software-Lizenzen und das Speichern von Schlüs­seln, Pass­wör­tern oder Zer­ti­fi­ka­ten.

Ein TPM fungiert als Si­cher­heits-Safe und somit als isolierte Umgebung, die vor Ma­ni­pu­la­tio­nen und Malware geschützt ist. So aktiviert das TPM beim Boot­pro­zess Software- und Hardware-Kom­po­nen­ten und überprüft diese auf ihre In­te­gri­tät. Damit lässt sich si­cher­stel­len, dass ein Be­triebs­sys­tem nicht kom­pro­mit­tiert und der Start­vor­gang un­ge­fähr­lich ist. Auch wenn TPM-Chips früher als Stan­da­lo­ne-Chips für Fir­men­rech­ner zum Einsatz kamen, verfügen die meisten modernen AMD- und Intel-CPUs über TPM-Funk­tio­na­li­tä­ten. Dennoch gibt es Mo­ther­boards, die einen zu­sätz­li­chen TPM-Chip erfordern. Lang­fris­tig wird Hardware jedoch stan­dard­mä­ßig über in­te­grier­te TPMs verfügen, da allein das Windows-11-Be­triebs­sys­tem TPM 2.0 vor­aus­setzt.

Wo befindet sich ein TPM?

Ein TPM-Chip fungiert als de­di­zier­ter Prozessor und findet sich auf der Haupt­pla­ti­ne des Geräts. Mo­ther­boards ohne vor­in­stal­lier­ten TPM-Chip bieten einen TPM-Steck­platz für einen op­tio­na­len Chip. Über diesen Steck­platz lässt sich ein TPM un­ab­hän­gig von der CPU des Computers in­stal­lie­ren. Wenn Sie einen Stan­da­lo­ne-Chip für TPM-Funk­tio­na­li­tät benötigen, ist es ratsam, nur kom­pa­ti­ble Module desselben Jahrgangs und vom selben Her­stel­ler des Mo­ther­boards bzw. der Haupt­pla­ti­ne zu verwenden.

Welche Vorteile bietet ein Trusted Platform Module?

Die TPM-Funk­tio­nen bieten folgende Vorteile:

  • Erzeugung und Spei­che­rung von Pass­wör­tern, Zer­ti­fi­ka­ten oder kryp­to­gra­fi­schen Schlüs­seln für zu­sätz­lich ge­si­cher­te Ver­schlüs­se­lungs­ver­fah­ren
  • Über­prü­fung/Über­wa­chung der Platt­form­in­te­gri­tät mittels Metriken und Ver­gleichs­pro­zes­sen, um beim Start­vor­gang Ma­ni­pu­la­tio­nen zu erkennen
  • Hardware-Au­then­ti­fi­zie­rung des Be­triebs­sys­tems durch RSA-Kryp­to­sys­te­me
  • Schutz des Systems vor bös­ar­ti­gen Än­de­run­gen an Software oder Firmware mittels At­te­sta­ti­on Key (AIK), der per Hashing die In­te­gri­tät von Kom­po­nen­ten prüft
  • In Ver­bin­dung mit Firewalls, Smart­cards, Biometrik-Tests oder An­ti­vi­ren­pro­gram­men op­ti­mier­te Abwehr von Malware, Ran­som­wa­re, Wör­ter­buch-Attacken und Phishing
  • Über­prü­fung von Software-Lizenzen durch Digital Rights Ma­nage­ment (DRM)
My­De­fen­der
Cyber Security aus Deutsch­land
  • Geplante Viren-Scans
  • Au­to­ma­ti­sche Backups, einfache Wie­der­her­stel­lung

Wie lässt sich das TPM auf dem eigenen Gerät über­prü­fen?

Da TPM 2.0 u. a. eine Hardware-Vor­aus­set­zung für Windows 11 ist, stellen sich Nut­ze­rin­nen und Nutzer die Frage, ob ihr Gerät über TPM verfügt. Für die Über­prü­fung von TPM im eigenen System bieten sich zwei einfache Methoden an. Hierbei gilt es zu beachten, dass selbst in­te­grier­te TPM-Chips nicht immer stan­dard­mä­ßig aktiviert sind.

Gehen Sie in Windows wie folgt vor, um das Vor­han­den­sein eines TPM-Chips sowie die TPM-Version fest­zu­stel­len:

TPM-Ma­nage­ment aufrufen

Schritt 1: Geben Sie in die Windows-Suchzeile den Befehl „tpm.msc“ ein, um das in­te­grier­te Tool TPM-Ma­nage­ment auf­zu­ru­fen.

Schritt 2: Wenn der PC oder Laptop über keinen de­di­zier­ten TPM-Chip verfügt, finden Sie eine dem­entspre­chen­de Meldung im an­ge­zeig­ten Fenster. Falls sich ein TPM-Chip auf der Haupt­pla­ti­ne befindet, wird Ihnen im Fenster ein Hinweis zur Art und Version des TPM-Chips ein­ge­blen­det.

Geräte-Manager aufrufen

Schritt 1: Drücken Sie den Windows-Shortcut [Windows] + [X] und gehen Sie auf „Geräte-Manager“.

Schritt 2: Na­vi­gie­ren Sie im linken Sei­ten­me­nü zu „Si­cher­heits­ge­rä­te“ und öffnen Sie das Drop-down-Menü. Falls TPM vorhanden ist, sehen Sie dort die aktuelle TPM-Version.

Mit Ein­ga­be­auf­for­de­rung über­prü­fen

Schritt 1: Öffnen Sie den „Ausführen“-Dialog mit dem Shortcut [Windows] + [R], geben Sie den Befehl „cmd“ ein und drücken Sie an­schlie­ßend den Shortcut [Windows] + [Umschalt] + [Enter]. Auf diese Weise öffnen Sie die Ein­ga­be­auf­for­de­rung als Ad­mi­nis­tra­tor.

Schritt 2: Um zu über­prü­fen, ob ein TPM-Chip vorliegt, geben Sie folgenden Befehl ein:

wmic /namespace:\\root\cimv2\security\microsofttpm path win32_tpm get /value

Liegt TPM vor, erkennen Sie in der Zeile „Spec­Ver­si­on=“ anhand der an­ge­zeig­ten Zahl, um welche Version es sich handelt.

Lässt sich das TPM ei­gen­stän­dig ak­ti­vie­ren und de­ak­ti­vie­ren?

Ob ein TPM stan­dard­mä­ßig aktiviert ist, hängt vom Alter, der Version und der Art des genutzten Laptops oder Computers ab. Selbst bei in­te­grier­ten TPM-Chips lässt sich nicht pauschal sagen, ob die TPM-Funk­tio­na­li­tät stan­dard­mä­ßig aktiviert ist. Bei einigen Firmware-TPMs kann hierzu mög­li­cher­wei­se ein Update für das BIOS oder das UEFI er­for­der­lich sein. Sollte das TPM nicht stan­dard­mä­ßig aktiviert sein, gibt es für die Ak­ti­vie­rung bzw. De­ak­ti­vie­rung ver­schie­de­ne Mög­lich­kei­ten.

Gehen Sie wie folgt vor:

TPM im BIOS ak­ti­vie­ren bzw. de­ak­ti­vie­ren

Schritt 1: Starten Sie Ihr System und rufen Sie das BIOS auf (je nach System durch Betätigen der Taste [F2], [F12] oder [Entf] während des Start­vor­gangs).

Schritt 2: Gehen Sie in das Menü „Security“ und auf „Trusted Computing“.

Schritt 3: Ak­ti­vie­ren Sie den Punkt „Security Device Support“.

Schritt 4: Ak­ti­vie­ren Sie „PTT“ unter „TPM-Device“.

Schritt 5: Speichern Sie die Än­de­run­gen und führen Sie einen Neustart durch. Gehen Sie zur De­ak­ti­vie­rung genau ent­ge­gen­ge­setzt vor.

TPM über TPM-Ma­nage­ment-Tool ak­ti­vie­ren bzw. de­ak­ti­vie­ren

Schritt 1: Starten Sie das TPM-Tool, indem Sie in die Windows-Suchzeile „tpm.msc“ eingeben und [Enter] drücken.

Schritt 2: Na­vi­gie­ren Sie zu „Ak­ti­ons­be­reich****TPM ak­ti­vie­ren“. Lesen Sie die an­ge­zeig­te Seite „TPM-Si­cher­heits­hard­ware ak­ti­vie­ren“ genau durch.

Schritt 3: Gehen Sie auf „Her­un­ter­fah­ren“ bzw. „Neu starten“ und halten Sie sich an die je­wei­li­gen UEFI-Schritte.

Schritt 4: Ak­zep­tie­ren Sie beim Start­vor­gang die TPM-Neu­kon­fi­gu­ra­ti­on. So stellt das System sicher, dass nur au­then­ti­fi­zier­te Nutzer bzw. Nut­ze­rin­nen Än­de­run­gen vornehmen.

Schritt 5: TPM wird nun unter Windows aktiviert.

Schritt 6: Die De­ak­ti­vie­rung nehmen Sie im TPM-Ma­nage­ment-Tool unter „Ak­ti­ons­be­reich****TPM de­ak­ti­vie­ren“ vor. Im Dialog „TPM-Si­cher­heits­hard­ware de­ak­ti­vie­ren“ wählen Sie aus, ob Sie Ihr TPM-Be­sit­zer­kenn­wort über ein Wech­sel­me­di­um einfügen, es manuell eingeben oder ohne Kenn­wort­ein­ga­be de­ak­ti­vie­ren möchten.

Was bewirkt die De­ak­ti­vie­rung eines TPM?

Das Löschen oder De­ak­ti­vie­ren des TPM, z. B. zur Pro­blem­be­hand­lung oder zur Neu­in­stal­la­ti­on des Systems, kann unter Umständen zu Da­ten­ver­lust führen. Dies gilt u. a. für ge­spei­cher­te Schlüssel, Kenn­wör­ter, Zer­ti­fi­ka­te, virtuelle Smart­cards oder Anmelde-PINs. Aus diesem Grund sind wichtige Vor­sichts­maß­nah­men zu beachten:

  • Erstellen Sie eine Wie­der­her­stel­lungs­me­tho­de bzw. ein Backup der im TPM ge­spei­cher­ten Daten.
  • Löschen/De­ak­ti­vie­ren Sie nur TPMs auf eigenen Geräten bzw. mit der Ge­neh­mi­gung des zu­stän­di­gen IT-Ad­mi­nis­tra­tors.
  • Über­prü­fen Sie die Angaben zum TPM im Her­stel­ler­hand­buch bzw. auf der Fir­men­sei­te des Her­stel­lers.
  • Nehmen Sie die De­ak­ti­vie­rung nach Mög­lich­keit über das TPM-Ma­nage­ment­tool vor bzw. legen Sie ein System-Backup an, bevor Sie Än­de­run­gen im BIOS und UEFI-Modus vornehmen.

Welche Arten von TPMs gibt es?

Je nach Art der Im­ple­men­tie­rung wird zwischen folgenden TPM-Arten un­ter­schie­den:

  • Diskretes TPM: Ein diskretes Trusted Platform Module ist ein de­di­zier­ter Chip und gilt in der Regel als optimale TPM-Variante. Es bietet Un­ter­stüt­zung für mehr Ver­schlüs­se­lungs­al­go­rith­men, schützt vor Ma­ni­pu­la­ti­on und ist kaum feh­ler­an­fäl­lig. Al­ler­dings wird mehr Platz für das TPM benötigt.
  • Physisch-basiertes TPM: Direkt in die CPU in­te­griert bietet es physische Si­cher­heits­funk­tio­nen, die vor Ma­ni­pu­la­tio­nen und Malware schützen.
  • Firm­ware­ba­sier­tes TPM: Ähnlich wie die physisch-basierte Variante arbeitet es in einer sicheren CPU-Aus­füh­rungs­um­ge­bung und beugt Ma­ni­pu­la­tio­nen und bös­ar­ti­gen Än­de­run­gen vor.
  • Vir­tu­el­les TPM: Durch einen Hy­per­vi­sor lässt sich ein vir­tu­el­les TPM erzeugen, das un­ab­hän­gig von einer vir­tu­el­len Maschine Si­cher­heits­schlüs­sel generiert.
  • Soft­ware­ba­sier­tes TPM: Da sie nur wenige Si­cher­heits­vor­tei­le bieten und über eine höhere Fehler- und Malware-An­fäl­lig­keit verfügen, sind soft­ware­ba­sier­te TPMs weniger zu empfehlen.
Zum Hauptmenü