Trusted Platform Module (TPM)

Beim sogenannten Trusted Platform Module handelt es sich um einen speziellen, in Laptops oder Computern integrierten Chip. Dieser bietet wichtige Sicherheitsfunktionen, um die Integrität und die Sicherheit von Systemen und Software in einer geschützten Umgebung zu überprüfen. Unterstützt ein Betriebssystem TPM, lässt sich dieses über die BIOS-Funktionen aktivieren oder bei Bedarf deaktivieren.

Sicherheitsmechanismen zum Systemschutz sowie zur Abwehr von Schadsoftware oder Ransomware spielen für Nutzerinnen und Nutzer sowie für Unternehmen eine entscheidende Rolle. Hierzu kommen nicht nur Firewalls und Antivirenprogramme, sondern auch Tools wie ein Trusted Platform Module zum Einsatz. Beim TPM handelt es sich um in Laptops und Computer integrierte Chips, die zusätzliche Sicherheitsfunktionen für Hardware und Software bieten. Zu diesen Funktionen zählen die Authentifizierung eines Geräts, die Identifizierung von Nutzerinnen oder Nutzern oder auch die Überprüfung von Software-Lizenzen und das Speichern von Schlüsseln, Passwörtern oder Zertifikaten.

Ein TPM fungiert als Sicherheits-Safe und somit als isolierte Umgebung, die vor Manipulationen und Malware geschützt ist. So aktiviert das TPM beim Bootprozess Software- und Hardware-Komponenten und überprüft diese auf ihre Integrität. Damit lässt sich sicherstellen, dass ein Betriebssystem nicht kompromittiert und der Startvorgang ungefährlich ist. Auch wenn TPM-Chips früher als Standalone-Chips für Firmenrechner zum Einsatz kamen, verfügen die meisten modernen AMD- und Intel-CPUs über TPM-Funktionalitäten. Dennoch gibt es Motherboards, die einen zusätzlichen TPM-Chip erfordern. Langfristig wird Hardware jedoch standardmäßig über integrierte TPMs verfügen, da allein das Windows-11-Betriebssystem TPM 2.0 voraussetzt.

Ein TPM-Chip fungiert als dedizierter Prozessor und findet sich auf der Hauptplatine des Geräts. Motherboards ohne vorinstallierten TPM-Chip bieten einen TPM-Steckplatz für einen optionalen Chip. Über diesen Steckplatz lässt sich ein TPM unabhängig von der CPU des Computers installieren. Wenn Sie einen Standalone-Chip für TPM-Funktionalität benötigen, ist es ratsam, nur kompatible Module desselben Jahrgangs und vom selben Hersteller des Motherboards bzw. der Hauptplatine zu verwenden.

Die TPM-Funktionen bieten folgende Vorteile:

• Erzeugung und Speicherung von Passwörtern, Zertifikaten oder kryptografischen Schlüsseln für zusätzlich gesicherte Verschlüsselungsverfahren
• Überprüfung/Überwachung der Plattformintegrität mittels Metriken und Vergleichsprozessen, um beim Startvorgang Manipulationen zu erkennen
• Hardware-Authentifizierung des Betriebssystems durch RSA-Kryptosysteme
• Schutz des Systems vor bösartigen Änderungen an Software oder Firmware mittels Attestation Key (AIK), der per Hashing die Integrität von Komponenten prüft
• In Verbindung mit Firewalls, Smartcards, Biometrik-Tests oder Antivirenprogrammen optimierte Abwehr von Malware, Ransomware, Wörterbuch-Attacken und Phishing
• Überprüfung von Software-Lizenzen durch Digital Rights Management (DRM)

Da TPM 2.0 u. a. eine Hardware-Voraussetzung für Windows 11 ist, stellen sich Nutzerinnen und Nutzer die Frage, ob ihr Gerät über TPM verfügt. Für die Überprüfung von TPM im eigenen System bieten sich zwei einfache Methoden an. Hierbei gilt es zu beachten, dass selbst integrierte TPM-Chips nicht immer standardmäßig aktiviert sind.

Gehen Sie in Windows wie folgt vor, um das Vorhandensein eines TPM-Chips sowie die TPM-Version festzustellen:

Schritt 1: Geben Sie in die Windows-Suchzeile den Befehl „tpm.msc“ ein, um das integrierte Tool TPM-Management aufzurufen.

Schritt 2: Wenn der PC oder Laptop über keinen dedizierten TPM-Chip verfügt, finden Sie eine dementsprechende Meldung im angezeigten Fenster. Falls sich ein TPM-Chip auf der Hauptplatine befindet, wird Ihnen im Fenster ein Hinweis zur Art und Version des TPM-Chips eingeblendet.

Schritt 1: Drücken Sie den Windows-Shortcut [Windows] + [X] und gehen Sie auf „Geräte-Manager“.

Schritt 2: Navigieren Sie im linken Seitenmenü zu „Sicherheitsgeräte“ und öffnen Sie das Drop-down-Menü. Falls TPM vorhanden ist, sehen Sie dort die aktuelle TPM-Version.

Schritt 1: Öffnen Sie den „Ausführen“-Dialog mit dem Shortcut [Windows] + [R], geben Sie den Befehl „cmd“ ein und drücken Sie anschließend den Shortcut [Windows] + [Umschalt] + [Enter]. Auf diese Weise öffnen Sie die Eingabeaufforderung als Administrator.

Schritt 2: Um zu überprüfen, ob ein TPM-Chip vorliegt, geben Sie folgenden Befehl ein:

Liegt TPM vor, erkennen Sie in der Zeile „SpecVersion=“ anhand der angezeigten Zahl, um welche Version es sich handelt.

Ob ein TPM standardmäßig aktiviert ist, hängt vom Alter, der Version und der Art des genutzten Laptops oder Computers ab. Selbst bei integrierten TPM-Chips lässt sich nicht pauschal sagen, ob die TPM-Funktionalität standardmäßig aktiviert ist. Bei einigen Firmware-TPMs kann hierzu möglicherweise ein Update für das BIOS oder das UEFI erforderlich sein. Sollte das TPM nicht standardmäßig aktiviert sein, gibt es für die Aktivierung bzw. Deaktivierung verschiedene Möglichkeiten.

Gehen Sie wie folgt vor:

Schritt 1: Starten Sie Ihr System und rufen Sie das BIOS auf (je nach System durch Betätigen der Taste [F2], [F12] oder [Entf] während des Startvorgangs).

Schritt 2: Gehen Sie in das Menü „Security“ und auf „Trusted Computing“.

Schritt 3: Aktivieren Sie den Punkt „Security Device Support“.

Schritt 4: Aktivieren Sie „PTT“ unter „TPM-Device“.

Schritt 5: Speichern Sie die Änderungen und führen Sie einen Neustart durch. Gehen Sie zur Deaktivierung genau entgegengesetzt vor.

Schritt 1: Starten Sie das TPM-Tool, indem Sie in die Windows-Suchzeile „tpm.msc“ eingeben und [Enter] drücken.

Schritt 2: Navigieren Sie zu „Aktionsbereich****TPM aktivieren“. Lesen Sie die angezeigte Seite „TPM-Sicherheitshardware aktivieren“ genau durch.

Schritt 3: Gehen Sie auf „Herunterfahren“ bzw. „Neu starten“ und halten Sie sich an die jeweiligen UEFI-Schritte.

Schritt 4: Akzeptieren Sie beim Startvorgang die TPM-Neukonfiguration. So stellt das System sicher, dass nur authentifizierte Nutzer bzw. Nutzerinnen Änderungen vornehmen.

Schritt 5: TPM wird nun unter Windows aktiviert.

Schritt 6: Die Deaktivierung nehmen Sie im TPM-Management-Tool unter „Aktionsbereich****TPM deaktivieren“ vor. Im Dialog „TPM-Sicherheitshardware deaktivieren“ wählen Sie aus, ob Sie Ihr TPM-Besitzerkennwort über ein Wechselmedium einfügen, es manuell eingeben oder ohne Kennworteingabe deaktivieren möchten.

Das Löschen oder Deaktivieren des TPM, z. B. zur Problembehandlung oder zur Neuinstallation des Systems, kann unter Umständen zu Datenverlust führen. Dies gilt u. a. für gespeicherte Schlüssel, Kennwörter, Zertifikate, virtuelle Smartcards oder Anmelde-PINs. Aus diesem Grund sind wichtige Vorsichtsmaßnahmen zu beachten:

• Erstellen Sie eine Wiederherstellungsmethode bzw. ein Backup der im TPM gespeicherten Daten.
• Löschen/Deaktivieren Sie nur TPMs auf eigenen Geräten bzw. mit der Genehmigung des zuständigen IT-Administrators.
• Überprüfen Sie die Angaben zum TPM im Herstellerhandbuch bzw. auf der Firmenseite des Herstellers.
• Nehmen Sie die Deaktivierung nach Möglichkeit über das TPM-Managementtool vor bzw. legen Sie ein System-Backup an, bevor Sie Änderungen im BIOS und UEFI-Modus vornehmen.

Je nach Art der Implementierung wird zwischen folgenden TPM-Arten unterschieden:

• Diskretes TPM: Ein diskretes Trusted Platform Module ist ein dedizierter Chip und gilt in der Regel als optimale TPM-Variante. Es bietet Unterstützung für mehr Verschlüsselungsalgorithmen, schützt vor Manipulation und ist kaum fehleranfällig. Allerdings wird mehr Platz für das TPM benötigt.
• Physisch-basiertes TPM: Direkt in die CPU integriert bietet es physische Sicherheitsfunktionen, die vor Manipulationen und Malware schützen.
• Firmwarebasiertes TPM: Ähnlich wie die physisch-basierte Variante arbeitet es in einer sicheren CPU-Ausführungsumgebung und beugt Manipulationen und bösartigen Änderungen vor.
• Virtuelles TPM: Durch einen Hypervisor lässt sich ein virtuelles TPM erzeugen, das unabhängig von einer virtuellen Maschine Sicherheitsschlüssel generiert.
• Softwarebasiertes TPM: Da sie nur wenige Sicherheitsvorteile bieten und über eine höhere Fehler- und Malware-Anfälligkeit verfügen, sind softwarebasierte TPMs weniger zu empfehlen.