IT-Blog

TPM 2.0 und Windows 11

Mi, 25. August 2021

Früher oder später werden sich immer mehr mit dem kommenden Windows 11 auseinandersetzen. Vor allem bei den künftigen Neugeräten wird sich das neue Betriebssystem, genau wie damals bei Windows 8 oder Windows 10, durchsetzen und rasch verbreiten. Da in vielen Unternehmen und bei ihren IT-Verantwortlichen ein Mischbetrieb mit verschiedensten Betriebssystemversionen nicht gerade erwünscht ist, werden sich einige auch um ein Upgrade für die bereits vorhandenen Geräte bemühen.

Soweit das bisher zu beurteilen und aus den Quellen von Microsoft ersichtlich ist, sind die eigentlichen Hardwareanforderungen im Vergleich zu Windows 10 nicht großartig gestiegen. Am ehesten trifft es wohl ältere mit den damaligen Mindestanforderungen ausgestattete Windows-Tablets, die von Natur aus kaum aufrüstbar sind.
Die Leistung eines Standard-PCs oder Notebooks, wie sie seit Jahren zum Einsatz kommen, würden allemal reichen. Vor allem, falls eh schon ein Windows 10 installiert ist.
Aber im Gegensatz zu den leistungstechnischen Hardwarevoraussetzungen setzt Microsoft zusätzlich ein vorhandenes und aktiviertes TPM (Trusted Platform Module) voraus, bevor es ein Upgrade oder eine Neuinstallation überhaupt zulässt.

TPM – Der Verlust der Kontrolle?

Bevor wir mit der Keule der Stammtischweisheiten und den damit einhergehenden Weltuntergangs-Szenarien schwingen, schauen wir uns doch erstmal an, was so ein TPM eigentlich ist, was es macht und worin nicht wenige die (Verschwörungs-)Problematiken sehen.

TPM – Was ist das?

„Das Trusted Platform Module ist ein Chip nach der TCG-Spezifikation, der einen Computer oder ähnliche Geräte um grundlegende Sicherheitsfunktionen erweitert. Diese Funktionen können beispielsweise den Zielen des Lizenzschutzes oder denen des Datenschutzes dienen, oder auch Zielen der nachrichtendienstlichen Kontrolle von Computersicherheitsmerkmalen.“ (Quelle: Wikipedia)

Ergänzend sei an dieser Stelle erwähnt, dass es sich bei dem Chip entweder um einen „diskreten“ Chip (Intel) handelt oder um ein eigenständiges Modul direkt in der CPU, wie es AMD bei seinen ZEN-Prozessoren integriert. Beides erfüllt die gleichen Funktionen.
Da die TPM-Spezifikation bereits 2014 eingeführt wurde, stehen die Chancen nicht schlecht, dass ein TPM in Ihrem System bereits vorhanden ist. Möglicherweise aber nicht aktiv, denn bei den meisten Geräten sind diese standardmäßig im UEFI (ehemals BIOS) deaktiviert.
Sie können unter Windows aber leicht feststellen, ob TPM aktiviert oder deaktiviert ist. Öffnen Sie dafür einfach mit der Windows-Taste das Startmenü und geben einfach „Sicherheitschip“ ein.


TPM 2.0 Sicherheitschip

 
Wählen Sie nun den Punkt Sicherheitschip aus.


TPM 2.0 Sicherheitschip Details

Sind hier keine Informationen zu den Spezifikationen vorhanden, bedeutet das nur, dass der TPM Chip nicht erkannt wurde und nicht, dass keiner vorhanden ist.
Um TPM im BIOS zu aktivieren, kann man im Handbuch des PCs bzw. des Mainboards nachschlagen. In der Regel findet sich der Eintrag bei Intel-Chipsätzen unter „Settings/Security/Trusted Computing“ (Beispiel aus MSI UEFI Click-Bios). Dort findet man die Einträge für die Aktivierung des TPM Moduls.
Bei AMD Systemen findet man es ebenfalls unter Security, allerdings weicht die Bezeichnung leicht vom allgemeinen Standard ab. TPM wird von AMD als fTPM bezeichnet, ist aber das Gleiche.
Wird TPM so für das System aktiviert, lassen sich wie oben angegeben die Informationen direkt unter Windows auslesen.

TPM – So neu ist das gar nicht?

Nein, TPM ist keine Erfindung von Windows 11 und kommt auch nicht erst im kommenden Betriebssystem zur Anwendung. Auch heute schon ist bei vielen Business-PCs, Notebooks und im Serverbereich der TPM im Einsatz. Seit Windows Vista und den darauf folgenden Betriebssystemen wie Windows 7, 8 und 10 wird der TPM Chip in Verbindung mit Microsofts BitLocker (Verschlüsselung von Datenträgern) genutzt.

Welchen Nutzen hat TPM?

Wie schon vorhin beschrieben, handelt es sich bei dem Trusted Platform Modul um einen Hardware-Chip und nicht um eine installierbare Sicherheitssoftware. Durch die Hard-Codierung in einem Chip ist es nicht möglich, dessen Programmierung auszuhebeln oder umzuschreiben. Mittels TPM Chip kann so zum Beispiel der korrekte und manipulationsfreie Start eines Betriebssystems gewährleistet werden, Datenträger mittels Hardware-Schlüssel verschlüsselt werden oder aber auch Benutzerkennwörter im Chip gespeichert werden. Natürlich auch verschlüsselt und ohne der Möglichkeit eines Fremdzugriffs.
Der Haken derzeit ist einzig und allein der, dass zwar der Chip vorhanden, aber außer der Windows BitLocker-Verschlüsselung gerade in den Windows Betriebssystemen nicht zur Anwendung kommt. Die Sicherheitsfeatures des TPM liegen also größtenteils brach oder der Chip ist, wie in den meisten Fällen, gar nicht aktiviert.

Welche Bedenken gibt es?

Man kann das Kind getrost beim Namen nennen. Ohne Kontrolle gibt es auch keine Sicherheit. Natürlich kann man sich darauf verlassen, dass alle in der Welt nur das Beste von Ihnen wollen und schon gar nicht mutwillig Daten von Ihren Geräten klauen oder gar Daten verschlüsseln möchten. Ja, Sie haben natürlich erkannt, dass diese Aussage in der heutigen Zeit bereits mehrfach widerlegt und damit Quatsch ist.
Die Alternative dafür ist die (totale) Kontrolle darüber, was auf Ihrem (in Zukunft auch privaten) Geräten passieren darf. Also sozusagen mit einer Whitelist und einer Blacklist. Zertifizierte und freigegebene Programme haben Zugriff, andere wiederum werden ausgesperrt und laufen nicht. Im Falle von bösartiger Schadsoftware ist das eine gute Einrichtung. Wenn jemandem dann aber vorgeschrieben wird, welche Software (oder von welchem Hersteller) installiert werden kann, dann wird das nicht jedem schmecken. Denn irgendwer muss ja bestimmen, welche Software auf dem Windows-Betriebssystem laufen darf. Und raten Sie mal, welches Unternehmen das sein wird. Ein Tipp – es wird nicht die „Free Software Foundation“ sein.
Kritiker sind natürlich erbost, wenn es um die Beschneidung der Freiheiten geht und laufen dagegen Sturm. Zumindest sind die meisten gespannt, in welchem Umfang Windows 11 den TPM Chip nutzen wird. Hier wird es die Zeit zeigen.
Übrigens – bei Apple wird schon länger auf einen Sicherheits-Chip gesetzt. Dort nennt man es „Secure Enclave“ und bietet im Grunde ähnliche Features wie TPM, ist allerdings dazu nicht kompatibel. Ein Windows 11 ist deswegen derzeit auf Apple Computern nicht vorgesehen.

Fix ist nix

Da Windows 11 aber noch nicht veröffentlicht wurde und alle Erfahrungen nur aus der Beta-Version stammen, können sich bis zur Veröffentlichung auch die Vorgaben zu TPM noch ändern (Datum steht noch nicht fest, man munkelt aber noch im Oktober 2021).
Wer in seinem Unternehmen auf Nummer Sicher gehen möchte und vorab schon mal alle Rechner im firmeneigenen Netzwerk checken möchte, dem legen wir eine professionelle Inventarisierungs- und Dokumentationssoftware wie Docusnap nahe.