Trusted Platform Module 2.0 (TPM 2.0)

Trusted Platform Module steht für Sicherheitschips, die auf der Hauptplatine eines Laptops oder Computers integriert werden. Durch grundlegende Sicherheitsfunktionen schafft TPM eine sichere Umgebung zur Prüfung der Systemintegrität, authentifiziert Nutzerinnen und Nutzern oder speichert kryptografische Schlüssel und Passwörter. Mit der 2018 veröffentlichten Version TPM 2.0 kommen neue Funktionen hinzu, u. a. die Anwendung verschiedener Hash-Algorithmen, persönliche Identifikationsnummern sowie eine benutzerdefinierte Schlüsselverwaltung.

Gängige Schutzmechanismen gegen Schadsoftware, Rootkits oder Ransomware sind den meisten Nutzerinnen und Nutzern bekannt. Dazu zählen neben Firewalls auch Antivirenprogramme oder eine Zwei-Faktor-Authentifizierung. Beim Trusted Platform Module handelt es sich in diesem Zusammenhang um Sicherheitschips, die einem System eine weitere Sicherheitsebene hinzufügen.

Der in Laptops und Computer physisch integrierte TPM-Chip dient zur Geräte- und Nutzerauthentifizierung sowie zur Überprüfung der Systemintegrität oder von Software-Lizenzen. Eine weitere wichtige Funktion umfasst das Speichern kryptografischer Schlüssel, Kennwörter und Zertifikate. Indem TPM eine sichere, vor Manipulationen geschützte Umgebung schafft, lassen sich Komponenten der Software und Hardware beim Startvorgang nacheinander auf ihre Sicherheit hin überprüfen. Werden durch den Vergleich mit gespeicherten Metriken Manipulationen festgestellt, schlägt TPM Alarm. Kamen TPMs früher in der Regel als separate Sicherheitschips zum Einsatz, verfügen neue Computer und Laptops oftmals von Werk aus über integrierte TPM-Funktionalitäten.

TPM wurde vom Computer-Konsortium TCG (Trusted Computing Group) entwickelt und 2009 von der International Organisation for Standardization (ISO) sowie von der International Electrotechnical Commission (IEC) als ISO/IEC 11889:2009 standardisiert. Das erste definitive TPM wurde am dritten März 2011 als TPM Version 1.2 veröffentlicht. Mit TPM 2.0 kam im Jahr 2019 der neue TPM-Standard als ISO/IEC 11889:2015 mit neuen Sicherheitsfunktionen heraus. Optimierungen wurden u. a. an der TPM-Architektur und -Struktur sowie an den TPM-Befehlen und Support-Routinen vorgenommen.

Da TPM-2.0-Chips als dedizierte Prozessoren fungieren, werden diese direkt auf der Hauptplatine eines Laptops oder Computers integriert. In der Regel verfügen die meisten neuen PCs und Laptops über werkseitig integrierte TPMs und TPM-Kompatibilität. Zudem erhalten Sie noch Motherboards, die keine vorinstallierten TPM-2.0-Chips bieten, jedoch einen Steckplatz für einen zusätzlichen Chip enthalten. Somit lässt sich ein TPM-Sicherheitschip unabhängig von der CPU integrieren. Grundsätzlich wird bei der Anschaffung separater TPM-Chips empfohlen, Chips zu nutzen, die vom selben Motherboard- bzw. Hauptplatinen-Hersteller sowie aus demselben Jahrgang stammen.

Mit der Veröffentlichung von Windows 11 wurde TPM 2.0 zur Hardware-Voraussetzung für das Windows-11-Betriebssystem. Dass TPM 2.0 überhaupt existiert, fiel einigen Nutzerinnen und Nutzern von Windows unter Umständen erst beim Windows-11-Upgrade auf. Verfügt der Computer über kein TPM bzw. ist die TPM-Funktion deaktiviert, erhalten Sie den Hinweis, dass TPM nicht gefunden wurde bzw. nicht kompatibel ist. Zudem ist ein UEFI (Unified Extensible Firmware Interface) mit Secure-Boot-Funktion erforderlich.

TPM 2.0 wird in Windows u. a. für folgende Funktionen verwendet:

• Windows Hello: Biometrische Zugriffskontrolle und Identifizierung durch Fingerabdruck und/oder Iris-Scan, Gesichtserkennung mittels Endorsement Key (EK) und Attestation Identity Key (AIK)
• BitLocker-Laufwerkverschlüsselung: Zur Verschlüsselung von logischen Volumes und somit ganzen Laufwerken
• Virtuelle Smartcards: Ähnlich wie physische Smartcards dient eine VS zur Zugriffskontrolle gegenüber externen Systemen und Ressourcen.
• TPM-Startmessung: Mittels TPM-Metriken zum Windows-Startzustand lässt sich die Integrität von Systemkomponenten und Windows-Konfigurationen durch eine Messung der Startsequenzen überprüfen.
• AIK-Zertifikate: In TPM gespeicherte AIK-Zertifikate vergleichen gemessene Startdaten mit Metriken des vorgesehen Gerätezustands.
• Abwehr von Wörterbuchangriffen: Schützt vor Brute-Force-Angriffen, die Passwortschutz durch automatisiertes Abfragen von Wörterbuch-Listen zu umgehen versuchen
• Credential Guard: Isoliert Anmelde- und Nutzerdaten und schützt gespeicherte Schlüssel durch eine auf Virtualisierung gestützte Sicherheitsüberprüfung

Die TPM-2.0-Funktionen bieten folgende Vorteile:

• Generieren und Speichern von kryptografischen Schlüsseln, Passwörtern und Zertifikaten für mehrfach gesicherte Verschlüsselungsverfahren
• Erkennung von Manipulationen am BIOS-Code über einen Prüfwert im Platform Configuration Register (PCR) 17
• TPM 2.0 bietet neue Algorithmus-Austauschfunktion zur parallelen Verwendung verschiedener Algorithmen.
• Verifizierungssignaturen unterstützen persönliche Identifikationsnummern sowie Positionsbestimmungsdaten auf Basis von biometrischen oder globalen Zugriffskontrollen.
• Schlüsselverwaltung in TPM 2.0 ermöglicht die limitierte oder bedingte Verwendung von kryptografischen Schlüsseln.
• TPM 2.0 ist flexibler und kann auch in Geräten mit geringeren Ressourcen zum Einsatz kommen.
• Überprüfung von Software-Lizenzen durch Digital Rights Management (DRM)
• Sicherstellung der Plattformintegrität durch Konfigurations-Metriken, die Startsequenzen auf ihre Sicherheit und auf Änderungen hin überprüfen
• Authentifizierung von Hardware des Betriebssystems durch RSA-Kryptosysteme
• Endorsement Keys (EK) und Attestation Keys (AIK) nutzen Hashing, um die Integrität und Sicherheit des Systems zu prüfen.
• In Kombination mit sicheren Firewalls, Smartcards, Biometrik-Zugriffsschutz sowie Antivirenprogrammen lässt sich der Schutz vor Malware, Ransomware, Brute-Force-Angriffen und Phishing optimieren.

Sie möchten wissen, ob Ihr Windows-Gerät bereits TPM 2.0 an Bord hat? Dann nutzen Sie folgende Methoden, um das Vorhandensein und den Status zu überprüfen. Beachten Sie jedoch, dass auch werkseitig integrierte TPM-2.0-Chips nicht immer automatisch aktiviert sind.

Schritt 1: Tragen Sie „tpm.msc“ in die Windows-Suchzeile ein. Mit diesem Befehl öffnen Sie das integrierte TPM-Management-Werkzeug.

Schritt 2: Falls Ihr PC oder Laptop einen dedizierten TPM-2.0-Chip besitzt, erhalten Sie im angezeigten Menüfenster Informationen zur TPM-Version. Liegt kein TPM 2.0 vor, informiert Sie Windows darüber, dass keine kompatiblen TPM-Komponenten vorliegen.

Schritt 1: Mit dem Windows-Shortcut [Windows] + [X] rufen Sie das „Administrative Menü“ auf. Gehen Sie darin auf „Geräte-Manager“.

Schritt 2: Navigieren Sie links im Menü auf „Sicherheitsgeräte“ und klicken Sie darauf. Falls vorhanden, sehen Sie dort „Trusted Platform Module 2.0“.

Schritt 1: Nutzen Sie den Shortcut [Windows] + [R], um den „Ausführen“-Dialog zu öffnen. Geben Sie darin „cmd“ ein und betätigen Sie den Shortcut [Windows] + [Umschalt] + [Enter]. Auf diesem Weg starten Sie die Eingabeaufforderung mit Administrator-Rechten.

Schritt 2: Nutzen Sie nun folgenden Befehl und drücken Sie anschließend [Enter]:

Falls TPM 2.0 vorliegt, finden Sie in der letzten Zeile „SpecVersion=“ Informationen zur TPM-Version.

Der Status von TPM 2.0 hängt davon ab, wie alt Ihr Laptop bzw. PC ist. Neuere PCs verfügen in der Regel über vorintegrierte TPMs, die standardmäßig aktiviert sein können. Allerdings lässt sich nicht pauschal sagen, ob die Funktionalität tatsächlich standardmäßig aktiviert ist. In einigen Fällen kann hierzu ein Update für Ihr BIOS bzw. Ihr UEFI nötig sein.

Falls erforderlich, gibt es zur Aktivierung und Deaktivierung von TPM 2.0 folgende Möglichkeiten:

Schritt 1: Führen Sie einen Neustart aus und rufen Sie Ihr BIOS auf. Je nach Betriebssystem oder Gerät nutzen Sie hierzu die Taste [F2], [F12] oder [Entf], während das System startet. Beachten Sie, dass Sie stets ein System-Backup sowie ein Backup für wichtige Schlüssel, Kennwörter und Zertifikate anlegen sollten, bevor Sie Änderungen im BIOS vornehmen.

Schritt 2: Gehen Sie im BIOS auf „Security“ und navigieren Sie zu „Trusted Computing“.

Schritt 3: Aktivieren Sie nun den Punkt „Security Device Support“.

Schritt 4: Navigieren Sie unter „TPM 2.0-Device“ zu „PTT“ und aktivieren Sie diesen Punkt.

Schritt 5: Nach dem Speichern der Änderungen müssen Sie einen Neustart durchführen. Zur Deaktivierung machen Sie die Änderungen einfach rückgängig.

Schritt 1: Geben Sie in die Windows-Suchzeile den Befehl „tpm.msc“ und drücken Sie [Enter].

Schritt 2: Navigieren Sie im TPM-Management-Tool auf „Aktionsbereich > TPM 2.0 aktivieren“. Auf der Seite „TPM 2.0-Sicherheitshardware aktivieren“ erhalten Sie nun ausführliche Informationen zu den nächsten Schritten.

Schritt 3: Klicken Sie auf „Herunterfahren“ bzw. „Neu starten“. Im Folgenden halten Sie sich an die angegebenen UEFI-Schrittfolgen.

Schritt 4: Beim Startvorgang stimmen Sie nun der TPM-2.0-Neukonfiguration zu. So stellt Ihr System sicher, dass nur authentifizierte Nutzerinnen bzw. Nutzer Änderungen vornehmen. Sie haben nun TPM 2.0 unter Windows aktiviert.

Schritt 6: Um TPM zu deaktivieren, gehen Sie im TPM-Management-Tool auf „Aktionsbereich > TPM 2.0 deaktivieren“. Wählen Sie im angezeigten Dialog „TPM 2.0-Sicherheitshardware deaktivieren“ und legen Sie fest, ob Sie das Besitzerkennwort mittels Wechselmedium einfügen möchten, ob die Eingabe manuell erfolgen soll oder ob Sie die Deaktivierung ohne Kennworteingabe vornehmen.

Ob zur Problembehandlung, zur Neuinstallation oder zum Upgrade – das Löschen bzw. Deaktivieren von TPM 2.0 kann unter Umständen ungewollten Datenverlust verursachen. Zu gefährdeten Daten gehören in TPM 2.0 gespeicherte kryptografische Schlüssel, Zertifikate und Passwörter. Beachten Sie vorbeugend folgende Sicherheitsmaßnahmen:

• Legen Sie ein Backup bzw. eine Wiederherstellungsmethode der über TPM 2.0 gespeicherten Daten fest
• Das Löschen bzw. Deaktivieren von TPM 2.0 sollte nur auf eigenen Geräten bzw. mit Erlaubnis zuständiger IT-Administratoren erfolgen.
• Beachten Sie Angaben im Herstellerhandbuch bzw. auf der Website des Herstellers zu TPM.
• Deaktivieren Sie TPM 2.0 möglichst über das TPM-Managementtool oder legen Sie andernfalls ein Backup des Systems an, bevor Sie Änderungen im BIOS vornehmen.

Je nach Implementierung lässt sich zwischen folgenden TPM-2.0-Arten unterscheiden:

• Diskretes TPM 2.0: Das diskrete TPM 2.0 bietet als dedizierter Sicherheitschip Unterstützung für verschiedene Verschlüsselungsalgorithmen, Manipulationsschutz sowie geringe Fehleranfälligkeit.
• Physisch-basiertes TPM 2.0: In CPUs integrierte TPMs bieten physische Sicherheitsfunktionen zum Schutz vor Manipulationen und Malware.
• Firmwarebasiertes TPM 2.0: Vergleichbar mit physisch-basiertem TPM 2.0 nutzt firmwarebasiertes TPM 2.0 eine sichere CPU-Umgebung, um Manipulationen und nicht authentifizierten Änderungen vorzubeugen.
• Virtuelles TPM 2.0: Hypervisoren können für Sie ein virtuelles TPM 2.0 erzeugen, das unabhängig von virtuellen Maschinen zur Generierung Ihrer Sicherheitsschlüssel dient.
• Softwarebasiertes TPM 2.0: Durch wenige Sicherheitsvorteile und erhöhte Fehler-/Malware-Anfälligkeit sind softwarebasierte TPM 2.0s eher nicht zu empfehlen.