Windows 11: Was ist TPM 2.0 und wofür braucht ihr es?

Windows 11 setzt zwingend TPM 2.0 voraus. Wir erklären, was es damit auf sich hat.

Als Microsoft das neue Betriebssystem Windows 11 offiziell der Öffentlichkeit vorstellte, sorgte eine Aussage unter PC-Nutzern für Irritationen: Der Nachfolger von Windows 10 wird nämlich TPM 2.0 voraussetzen - eine Technologie, die bei älteren PCs nur selten verbaut ist.

Aber was genau ist dieses TPM 2.0 eigentlich? Und wie finde ich heraus, ob mein PC die Technik unterstützt? Wir liefern Antworten auf diese Fragen in unserem Guide zum Thema TPM 2.0. Was es sonst noch für Sicherheitsfunktionen in Windows 11 gibt und warum sie der Grund für die hohen Systemanforderungen sind, erfahrt ihr im folgenden Artikel:

TPM 2.0: Was es ist und was es macht

Was ist ein TPM? Die Abkürzung TPM steht für Trusted Platform Module und bezeichnet ein kleines physisches Modul in Form eines Chips, das sich auf dem Mainboard befindet. Das TPM funktioniert unabhängig vom Prozessor, dem Arbeitsspeicher und dem Betriebssystem eures Rechners.

Welche Funktion erfüllt ein TPM? Das TPM fungiert in eurem PC als zusätzlicher Sicherheitsmechanismus. Das TPM kann digitale Zertifikate signieren und weitere Sicherheitsschlüssel generieren, die es dann in einem separaten Bereich abspeichert.

Die konkrete Aufgabe des TPMs besteht in der Praxis aus folgenden Punkten:

Kryptographische Schlüssel speichern
Daten über den (Sicherheits-)Zustand des PCs sammeln
Unterstützung des Betriebssystems bei kryptographischen Funktionen (wie Verschlüsseln von Festplatten mit Software wie BitLocker)
Schutz des PCs vor unerwünschter Manipulation
erhöhte Sicherheit beim Zugriff auf verschlüsselte Daten

Das TPM ähnelt der Funktionsweise nach einer Smartcard, ist dabei aber nicht an einen bestimmten Nutzer, sondern an die zugehörige Hardware des PCs gebunden. Die zusätzliche Sicherheit, die ein TPM bietet, geht aber auf Kosten des Datenschutzes, weil sich ein PC über das TPM eindeutig identifizieren lässt.

Alle Informationen zu Windows 11 kompakt zusammengefasst, könnt ihr im folgenden Artikel nachlesen:

Besitzt mein PC ein TPM 2.0?

Wie erkenne ich, ob mein PC ein TPM 2.0 besitzt? Ein TPM kann in einem PC sowohl als gesonderter Chip direkt auf dem Mainboard verlötet oder über einen Steckplatz integriert sein als auch in Form eines Firmware-TPMs (fTPM) im Prozessor, SoC oder Mainboard-Chip sitzen. Windows 11 unterstützt beides.

Ihr könnt TPM 2.0 - sofern vorhanden - im BIOS eures Mainboards aktivieren.

AMD-Prozessoren besitzen üblicherweise seit dem Jahr 2014 ein TPM 2.0, bei Intel gibt es das Modul großflächig in Desktop-CPUs seit 2015. Um herauszufinden, ob TPM 2.0 auf eurem PC bereits aktiviert ist, habt ihr drei Möglichkeiten:

Sucht im Geräte-Manager von Windows 10 nach dem Reiter Sicherheitsgeräte. Dort findet ihr eine entsprechende Angabe, ob euer Rechner über ein aktiviertes TPM 1.2 oder TPM 2.0 verfügt.
Ruft in den Einstellungen das Menü Gerätesicherheit auf. Steht dort die Anmerkung Ihr Gerät erfüllt die Anforderungen für standardmäßige Hardwaresicherheit, findet ihr dort auch Informationen zu einem TPM 2.0 unter der Überschrift Details zum Sicherheitschip.
Ladet das kostenlose Tool WhyNotWin11 herunter, um damit zu überprüfen, ob euer PC die Hardwareanforderungen für Windows 11 erfüllt.

Wie aktiviere ich TPM 2.0?

Wenn euer PC über TPM 2.0 verfügt, das passende Modul aber noch nicht aktiviert ist, geht ihr folgendermaßen vor:

Ruft beim Hochfahren eures PCs über die Taste DEL/ENTF oder eine der F-Tasten (oftmals F2 oder F11) das BIOS/UEFI eures Mainboards auf.
Sucht im BIOS/UEFI nach einem Menü mit der Überschrift Security, Platform Security oder Security Chip (variiert je nach Mainboard-Hersteller).
Wenn euer PC über ein TPM verfügt, listet das BIOS es in diesem Menü auf. Ihr könnt es dann aktivieren, indem ihr die entsprechende Einstellung auf Enabled setzt.

TPM 2.0 nachrüsten: Lohnt sich das?

Was bringt TPM 2.0 unter Windows 11? Microsofts Betriebssystem nutzt TPM 2.0 für verschiedene Sicherheitsfunktionen, darunter:

Festplattenverschlüsselung via BitLocker und Automatic Device Encryption mit PCR 7
Biometrische Authentifizierung durch Windows Hello for Buisiness
Schutz vor Firmware-Manipulation durch BIOS-Rootkits
Übermittlung des Systemzustands beim Zugriff auf Cloud-Dienste

Bisher kam TPM 2.0 bei Microsoft-Anwendungen vor allem im Business-Bereich von Windows zum Einsatz. Dass Windows 11 ein TPM 2.0 jetzt zwingend voraussetzt, deutet darauf hin, dass Microsoft den Gebrauch entsprechender Software und Dienste auch auf Privatnutzer ausweiten will.

Kann ich TPM 2.0 auf meinem Mainboard nachrüsten? Wenn euer PC nicht über TPM 2.0 verfügt, habt ihr unter Umständen die Möglichkeit, das Modul nachzurüsten. Euer Mainboard muss dafür aber einen entsprechenden TPM-Header besitzen, in den ihr einen TPM-Chip einsetzen könnt. Der TPM-Chip muss zu eurem Mainboard passen.

Außerdem muss das BIOS des Mainboards die Aktivierung des TPMs zulassen. Wenn ihr euch unsicher seid, ob euer Mainboard mit einer TPM-Steckkarte kompatibel ist, wendet ihr euch am besten direkt an den Hersteller eurer Hardware.

Ihr könnt ein TPM 2.0 auf manchen Mainboards per TPM-Steckplatz nachrüsten.

Kann ich Windows 11 auch ohne TPM 2.0 installieren? Wenn euer PC kein TPM 2.0 besitzt, könnt ihr Windows 11 über Umwege trotzdem installieren. Findige Entwickler haben mit WinPass11 eine Opensource-Software veröffentlicht, mit dem ihr den obligatorischen Hardware-Check von Windows 11 umgehen könnt.

Um die aktuelle Insider-Testversion von Windows 11 auch ohne TPM 2.0 installieren zu können, führt ihr WinPass11 als Administrator aus und folgt den Anweisungen. Das Tool nimmt ein paar Änderungen an der Registry vor, wodurch der Check auf TPM und Secure Boot übersprungen wird.

Der Haken an der Sache: Es ist gut möglich, dass dieser Trick mit der Release-Version von Windows 11 nicht mehr funktioniert: