TPM: Was es ist und was es bringt

Windows 11 setzt einen Sicherheits-Chip, das Trusted Platform Module voraus. Wie findet man heraus, ob im eigenen PC ein solches Modul eingebaut ist? Falls nein: Kann man es nachrüsten? Und schliesslich: Bringt das TPM auch tatsächlich mehr Sicherheit?

Microsoft hat mit Windows 11 – über das ich mich im Beitrag Microsoft hat die Technologieführerschaft verloren nicht sehr wohlwollend geäussert habe – ein Thema aufs Tapet gebracht, mit dem sich viele PC-Anwenderinnen bislang wohl nicht beschäftigt haben. Es handelt sich um das Trusted Platform Module.

Das TPM, wie es in Kurzform genannt wird, ist ein Instrument, das der Sicherheit des Rechners dient, indem es beispielsweise die Schlüssel für die Verschlüsselung der Festplatte zur Verfügung stellt oder das Login mittels biometrischer Funktionen absichert. Was sich Microsoft davon verspricht, beschreibt Heise in diesem Beitrag, der wiederum auf diesem Blogpost von Microsofts Sicherheitschef David Weston basiert.

Demnach verfolgt Microsoft vier Absichten:

  • Die Sicherheits-Anforderungen werden angezogen, um mit den Gefahren Schritt zu halten.
  • Passwörter sollen verschwinden, zum Beispiel bei der Anmeldung mittels Windows Hello.
  • Trotz der erhöhten Sicherheit soll die Leistung gewährt bleiben.
  • «Umfassende Sicherheit und Konformität im Zusammenhang mit Microsoft Azure»: Das heisst, dass bei der Nutzung der Cloud bestimmte Sicherheitsmerkmale vorausgesetzt werden können.

Zurück zum TPM. Das kann als separater Chip realisiert sein, doch wie Heise hier schreibt, gibt es das Modul auch in Softwareform:

Ein TPM 2.0 muss nicht als separater physischer Chip auf dem Mainboard vorhanden sein. Das ist üblicherweise nur bei Business-Notebooks und Bürocomputern mit AMD Ryzen Pro oder Intel vPro der Fall. Bei den allermeisten Systemen mit TPM 2.0 handelt es sich um ein sogenanntes Firmware-TPM (fTPM 2.0). Dabei handelt es sich um Firmware, die auf einem separaten Mikrocontroller-Kern läuft, der im Prozessor, Chipsatz oder System-on-Chip integriert ist.

TPM 2.0, wie es für Windows 11 empfohlen wird, ist bei Computern ab ungefähr 2015 vorhanden. Es kann aber sein, dass die Funktion im Bios bzw. Uefi abgeschaltet ist und erst aktiviert werden muss. Wenn man sich interessiert, ob ein Rechner damit ausgestattet ist, sollte man daher erst in den Einstellungen der Firmware nachsehen, ob es eine entsprechende Option gibt und ob sie aktiviert ist.

Viele Wege führen ins Bios (aber erst muss man einen finden)

Leider kann ich an dieser Stelle keine allgemeingültige Anleitung liefern, wie man das Bios/Uefi aufruft: Das ist von Computerhersteller zu Computerhersteller verschieden, und auch die Konfiguration kann einen Einfluss darauf haben, wie man es anstellt. Wenn es nicht bei den ersten paar Versuchen klappt, empfehle ich, den Supportseiten des Herstellers einen Besuch abzustatten und dort nachzusehen. Typischerweise muss man direkt nach dem Einschalten eine Taste drücken, meistens typischerweise F1, F10 oder Delete. Eine Übersicht für die gängigen PC-Hersteller finden sich bei tomshardware.com.

Hier ist auch die zweite Methode beschrieben, die universell klappen sollte: Bei der öffnet man die Einstellungen und dort Update und Sicherheit und anschliessend die Rubrik Wiederherstellung. Hier findet sich in der Rubrik Erweiterter Start die Option Jetzt neu starten.

Mit den erweiterten Startoptionen führt Windows ins Bios.

Wenn man sie ausführt, erscheinen die in weisser Schrift auf blauem Grund angezeigten Windows-Startoptionen. Hier betätigt man Problembehandlung (Troubleshoot), dann Erweiterte Optionen (Advanced Options) und schliesslich ​UEFI-Firmwareeinstellungen​. Achtung: Die Navigation im Bios/Uefi funktioniert nur mit einer Kabeltastatur, nicht mit Bluetooth-Eingabegeräten!

Wenn es im Bios bzw. Uefi eine Option zum Einschalten des TPM gibt, die mutmasslich irgendwie mit Security oder Security Chip beschriftet ist und die eingeschaltet werden konnte, gibt es in Windows zwei Möglichkeiten zu überprüfen, ob das Betriebssystem bereit ist, dieses Modul auch zu nutzen.

Der Gerätemanager weiss Bescheid

Die erste führt über den Gerätemanager: Ihn startet man mithilfe der Windows-Taste und r, indem man ins Ausführen-Feld devmgmt.msc eingibt. Das TPM ist, falls vorhanden, unter Sicherheitsgeräte ersichtlich.

Die zweite Methode klappt nur bei Windows 10 Pro, denn sie bedient sich Gruppenrichtlinie von Windows 10, zu der man wiederum an schnellsten über den mit Windows-Taste und r zu öffnenden Ausführen-Dialog gelangt, in den man tpm.msc eingibt.

Falls sich an dieser Stelle die Anzeichen verdichten, dass kein TPM vorhanden ist, muss man sich damit abfinden, dass ein Umstieg auf Windows 11 nicht infrage kommen wird und Windows 10 mutmasslich das Ende der Fahnenstange sein wird – es sei denn, dass Microsoft sich noch umentscheidet und TPM als Hardwarevoraussetzung für Windows 11 streicht. Damit würde ich aber nicht rechnen.

TMP nachrüsten?

Oder könnte man das TPM nachrüsten? «PC Mag» ist in einem Artikel dieser Frage nachgegangen und findet, dass Leute, die selbst PCs assemblieren, das wahrscheinlich schaffen:

Viele Motherboards werden mit einer Gruppe von Header-Pins geliefert, die eindeutig mit «TPM» beschriftet sind. Und, wie ExtremeTech anmerkt, können Sie ein TPM-Modul für einige Motherboard-Modelle für weniger als 50 Dollar erwerben.

Allerdings reicht es nicht, den Chip einzustecken; er will im Bios auch richtig konfiguriert sein, was wiederum knifflig sein kann. Darum würde ich die Finger davon lassen – wenn mein PC nicht eh so alt wäre, dass ich es erst gar nicht probieren muss.

Und: Lohnt sich dieser Aufwand denn überhaupt?

Bleibt die abschliessende Frage: Ist das TPM den ganzen Ärger überhaupt wert? Wenn man dem Artikel For Security, How Bad are TPMs and How Good is the Apple T2 Chip? glauben darf, dann lautet die Antwort nein.

Der Autor, Bill Buchanan, vergleicht das Trusted Platform Module der PC-Welt mit dem T2-Chip von Apple, der den Start des Mac absichert, einen geschützten Speicherbereich aufweist und mit der Secure Enclave ein Subsystem bereithält, das vom normalen Prozessor isoliert und damit auch viel weniger angreifbar ist. Dieses System scheint den Ansprüchen gerecht zu werden, während das TPM in der Vergangenheit ausgetrickst werden konnte. Ein Problem ist als ROCA-Vulnerability im Februar 2017 bekannt geworden.

Buchanan kommt schliesslich zu folgendem Schluss:

Apple hat generell gezeigt, wie man einen sicheren Computer baut. Bei Windows hat man immer das Gefühl, dass dieses System noch immer versucht, mit allen Computern aus der Vergangenheit kompatibel zu sein. Apple tut das nicht und betrachtet Sicherheit und Vertrauen als eine Kernfunktion der Systeme. Auch wenn sie in letzter Zeit etwas abgerutscht sind, ist ihr T2-Chip ein Kunstwerk im Vergleich zum vereloren wirkenden  TPM-Chip.

Was die Sache besonders bitter macht: Denn Windows 11 ist nun nicht mehr rückwärts kompatibel, aber ohne dass Windows deswegen eine vorwärts gewandtes Sicherheitskonzept erhalten würde. Zu schade!

Beitragsbild: Hier irgendwo sollte dieser vermaledeite Chip sein (Johannes Plenio, Pexels-Lizenz).

2 Kommentare zu «TPM: Was es ist und was es bringt»

  1. So pessimistisch würde ich das nicht sehen. Bei einem Desktop-Rechner bringt TPM aktuell wirklich nicht viel, aber bei Notebooks finde ich es praktisch. Es kann den Bitlocker-Key speichern, so dass man die gesamte SSD verschlüsseln kann, aber beim Start trotzdem nur das Windows-Passwort eingeben muss.

Kommentar verfassen