Was ist ein TPM-Chip?
Ein TPM-Chip (Trusted Platform Module) ist ein dedizierter Sicherheitsprozessor, der auf dem Mainboard eines PCs verbaut ist und kryptografische Operationen übernimmt: Verschlüsselungsschlüssel erzeugen und speichern, digitale Signaturen prüfen und die Integrität des Boot-Vorgangs attestieren. TPM 2.0 ist eine Pflichtanforderung für Windows 11 und bildet die Grundlage für zentrale Betriebssystem-Sicherheitsfunktionen wie Secure Boot und BitLocker-Laufwerkverschlüsselung. Indem sensibles kryptografisches Material innerhalb einer manipulationsresistenten Hardware-Grenze verbleibt, stellt ein TPM sicher, dass selbst bei physischem Diebstahl eines Laptops die verschlüsselten Daten unzugänglich bleiben.
Im Detail
Wie ein TPM-Chip funktioniert
Der TPM speichert Verschlüsselungsschlüssel in einem manipulationsresistenten Bereich, der gegen physische Sondierung und Seitenkanalangriffe ausgelegt ist. Im TPM erzeugte Schlüssel verlassen den Chip niemals im Klartext. Beim Systemstart misst der TPM die Integrität der UEFI-Firmware, des Bootloaders und des OS-Kernels und erstellt so eine Vertrauenskette. Wurde eine Komponente manipuliert, kann der TPM die Herausgabe der Entschlüsselungsschlüssel verweigern und so verhindern, dass das kompromittierte System auf geschützte Daten zugreift.
TPM 1.2 vs. TPM 2.0
TPM 1.2, 2011 standardisiert, unterstützt nur den SHA-1-Hash-Algorithmus und RSA-basierte Kryptografie. TPM 2.0, 2014 finalisiert, ergänzt SHA-256, ECC (Elliptische-Kurven-Kryptografie) und zusätzliche Algorithmusflexibilität, die es gegen zukünftige Bedrohungen absichert. Windows 11 setzt TPM 2.0 voraus – weshalb viele ältere PCs kein Upgrade durchführen können. Die meisten seit 2016 hergestellten PCs unterstützen TPM 2.0 in irgendeiner Form.
Diskretes TPM vs. Firmware-TPM
TPMs gibt es in zwei Ausführungen. Ein diskretes TPM ist ein eigenständiger Chip, der auf das Mainboard gelötet wird und die höchste physische Isolation und Sicherheit bietet. Ein Firmware-TPM (fTPM) ist in Software implementiert, die innerhalb der CPU oder des Chipsatzes läuft – Intels PTT (Platform Trust Technology) und AMDs fTPM sind die häufigsten Beispiele. Beide erfüllen die TPM-2.0-Spezifikation und genügen der Windows-11-Anforderung. Diskrete TPMs werden in sicherheitskritischen Unternehmensumgebungen bevorzugt; fTPMs sind auf Consumer-PCs Standard und erfordern lediglich eine UEFI/BIOS-Einstellung zur Aktivierung.
So wählst du richtig
1. TPM-Status des eigenen PCs prüfen
Unter Windows: Win + R drücken, tpm.msc eingeben und Enter drücken. Die TPM-Verwaltungskonsole zeigt TPM-Version und -Status an. Erscheint die Meldung „Kompatibles TPM kann nicht gefunden werden", ist das TPM möglicherweise einfach in den UEFI-Einstellungen deaktiviert. Das Aktivieren des fTPM im BIOS löst das Problem oft.
2. TPM bei einem neuen PC-Kauf prüfen
Nahezu jeder seit 2016 hergestellte PC bietet TPM-2.0-Unterstützung, die bei einigen Desktop-Mainboards jedoch standardmäßig deaktiviert sein kann. Beim Kauf eines neuen PCs oder beim Selbstbau: fTPM- oder diskretes TPM-Support in den Mainboard-Spezifikationen bestätigen und in der UEFI-Konfiguration aktivieren.
3. BitLocker für Vollverschlüsselung aktivieren
Mit aktivem TPM 2.0 können Windows-Pro- und -Enterprise-Editionen BitLocker-Laufwerkverschlüsselung mit wenigen Klicks einschalten. Der TPM verwaltet die Verschlüsselungsschlüssel transparent und entsperrt das Laufwerk beim Start automatisch – ohne separates Passwort. Das ist besonders wertvoll für Laptops, die außer Haus mitgenommen werden.
Fazit
Der TPM-Chip ist ein grundlegender Sicherheitsbaustein, der unbemerkt die Verschlüsselungsschlüssel des PCs schützt, die Boot-Integrität prüft und Funktionen wie BitLocker und Windows Hello ermöglicht. Ob diskreter Chip oder Firmware-Implementierung: Sicherstellen, dass TPM 2.0 aktiviert ist, ist unverzichtbar für den Betrieb von Windows 11 und den Schutz der eigenen Daten. TPM-Status jetzt prüfen, bei Bedarf aktivieren und BitLocker einschalten – damit die Sicherheitshardware die Dateien aktiv schützt.