Computerhardware: BIOS: TPM

Seit dem Jahr 2014 werden immer mehr Computer mit einen „TPM-Chip“ bestückt. TPM kann auch in Mobiltelefone, Smartphones und Unterhaltungselektronik eingebaut werden. TPM steckt in Android- und Apple-Smartphones, um kontaktlose Bezahlvorgänge abzusichern. MacBooks und iMacs haben einen Sicherheitschip „T2“. Chromebooks haben einen Sicherheitschip „Titan C“. Der Trusted Platform Module Chip ermöglicht es, Daten zuverlässig zu verschlüsseln und zu signieren.

Beispielsweise können Daten der eigenen Festplatte, aber auch USB-Speichersticks und externe Festplatten so verschlüsselt werden, dass sie nur auf einem einzigen PC (dem eigenen) geöffnet werden können. Der Besitzer ist davor geschützt, dass Diebe die Daten von seiner Festplatte auslesen − es gelingt weder mit einer Live-CD (eine Live-CD ist eine startfähige CD mit Betriebssystem, mit der man den PC benutzen kann, ohne auf die Festplatte zugreifen zu müssen) noch durch Anstecken der Festplatte an einen fremden PC.

Allerdings: kein Licht ohne Schatten. Wenn die Hauptplatine mit dem TPM-Chip kaputt ist, kann auch der Eigentümer seine Daten nicht mehr retten. Und wenn das Notebook verloren geht, sind die Daten auf verschlüsselten USB-Sticks verloren. Es sei denn, man hat rechtzeitig vorher einen Wiederherstellungs-Schlüssel erzeugt.

Ein Gerät mit TPM, angepasstem Betriebssystem und Software bildet zusammen eine „Trusted Computing Plattform“. Der Hersteller kann für seine „vertrauenswürdige Plattform“ Beschränkungen festlegen.

Im Zusammenwirken mit Secure Boot kann der Hersteller das Booten von jeglicher Live-CD verhindern. Von den vielen im Internet zu findenden nützlichen CDs, zum Beispiel für Windows-Reparaturen, Virensuche und Datenrettung, kann man nur von denen booten, die eine gültige Signatur besitzen. Oder man benutzt das alte „Legacy BIOS“, das Festplatten nur bis 2,2 TB zulässt. Wobei beginnend etwa seit 2021 bei immer mehr Hauptplatinen die Möglichkeit fehlt, zum alten BIOS zu wechseln.

Um Windows 11 installieren zu können, muss TPM 2.0 im BIOS aktiviert sein. Etwa seit Sommer 2021 wurden Computer und Hauptplatinen in der Regel mit deaktiviertem TPM ausgeliefert, außer bei Business-Notebooks. Dann müssen Sie TPM im UEFI-BIOS einschalten.

So prüfen Sie, ob TPM 2.0 bereits aktiviert ist:

Tippen Sie tpm.msc ins Suchfeld oder an der Eingabeaufforderung ein. Unter „Status“ sehen Sie, ob TPM aktiv ist. Wenn nicht, hat der PC keinen TPM 2.0 Chip oder er ist nur nicht aktiviert.

Gehen Sie ins BIOS und versuchen Sie, TPM einzuschalten.

Hier müssen Sie den passenden Eintrag zum TPM finden. Die Einstellung unterscheidet sich je nach Hersteller und Mainboard.

Das erste Bild zeigt das BIOS einer ASUS-Hauptplatine mit Intel-CPU. Das TPM-Modul wird hier mit „Intel Platform Trust Technology“ (Intel PTT) bezeichnet und ist unter „Advanced“ → „PC-Host Firmware Configuration“ zu finden.
Im zweiten Bild ist das BIOS einer ASUS-Hauptplatine mit AMD-CPU gezeigt. Hier heißt der Eintrag „fTPM“. Hat man die TPM-Einstellung gefun-den, muss diese aktiviert werden („Enabled“).

Beenden Sie die UEFI-Einstellungen (im Allgemeinen mit Taste „F10“). Überprüfen Sie nach dem Neustart mit tpm.msc, ob TPM jetzt aktiv ist.