Microsoft hat gestern angekündigt, dass Windows 11 TPM-Chips (Trusted Platform Module) auf bestehenden und neuen Geräten erfordern wird. Es handelt sich um eine bedeutende Hardware-Änderung, die seit Jahren vorbereitet wurde, aber Microsofts unübersichtliche Art, dies zu kommunizieren, hat viele verwirrt, ob ihre Hardware kompatibel ist. Was ist ein TPM, und warum braucht man überhaupt eines für Windows 11?
„Das Trusted Platform Module (TPM) ist ein Chip, der entweder in die Hauptplatine Ihres PCs integriert ist oder separat in die CPU eingebaut wird“, erklärt David Weston, Director of Enterprise and OS Security bei Microsoft. „Sein Zweck ist es, Verschlüsselungsschlüssel, Benutzeranmeldeinformationen und andere sensible Daten hinter einer Hardwarebarriere zu schützen, so dass Malware und Angreifer nicht auf diese Daten zugreifen oder sie manipulieren können.“
Es geht also nur um Sicherheit. TPMs funktionieren, indem sie Schutz auf Hardware-Ebene bieten, statt nur Software. Sie können verwendet werden, um Festplatten mit Windows-Funktionen wie BitLocker zu verschlüsseln oder um Wörterbuchangriffe auf Passwörter zu verhindern. TPM 1.2-Chips gibt es seit 2011, aber sie wurden bisher nur in IT-verwalteten Business-Laptops und -Desktops eingesetzt. Microsoft möchte das gleiche Maß an Schutz für alle Nutzer von Windows bieten, auch wenn es nicht immer perfekt ist.
Microsoft warnt schon seit Monaten, dass Firmware-Angriffe auf dem Vormarsch sind. „Unser eigener Security Signals Report hat herausgefunden, dass 83 Prozent der Unternehmen einen Firmware-Angriff erlebt haben und nur 29 Prozent Ressourcen für den Schutz dieser kritischen Schicht bereitstellen“, sagt Weston.
Die Zahl von 83 Prozent scheint riesig zu sein, aber wenn man die verschiedenen Phishing-, Ransomware-, Lieferketten- und IoT-Schwachstellen berücksichtigt, wird das breite Spektrum der Angriffe viel deutlicher. Ransomware-Angriffe sorgen wöchentlich für Schlagzeilen, und Ransomware finanziert weitere Ransomware, so dass es ein schwer zu lösendes Problem ist. TPMs werden sicherlich bei bestimmten Angriffen helfen, aber Microsoft setzt auf eine Kombination aus modernen CPUs, Secure Boot und seiner Reihe von Virtualisierungsschutzmaßnahmen, um Ransomware wirklich zu bekämpfen.
Microsoft versucht, seinen Teil dazu beizutragen, zumal Windows die Plattform ist, die am häufigsten von diesen Angriffen betroffen ist. Es wird von vielen Unternehmen weltweit eingesetzt, und es sind heute mehr als 1,3 Milliarden Windows 10-Rechner in Gebrauch. Microsoft-Software stand im Mittelpunkt verheerender Angriffe, die weltweit für Schlagzeilen sorgten, wie der mit Russland in Verbindung stehende SolarWinds-Hack und die Hafnium-Hacks auf Microsoft Exchange Server. Und obwohl das Unternehmen nicht dafür verantwortlich ist, seine Kunden dazu zu zwingen, ihre Software mit Patches zu versorgen, versucht es, proaktiver mit dem Schutz umzugehen.
Microsoft hat die Angewohnheit, Windows sowohl bei der Hardware als auch bei der Software in die Zukunft zu führen, und diese spezielle Änderung ist nicht gut erklärt worden. Während Microsoft von OEMs verlangt hat, Geräte mit Unterstützung für TPM-Chips seit Windows 10 auszuliefern, hat das Unternehmen die Nutzer oder seine vielen Gerätepartner nicht gezwungen, diese zu aktivieren, damit Windows funktioniert. Das ist es, was sich mit Windows 11 wirklich ändert, und in Kombination mit Microsofts Windows-11-Upgrade-Checker hat es zu einer Menge verständlicher Verwirrung geführt.
Microsofts Windows-11-Website listet die minimalen Systemanforderungen auf, mit einem Link zu kompatiblen CPUs und einem klaren Hinweis, dass mindestens ein TPM 2.0 erforderlich ist. Die App „PC Health Check“, die Microsoft zum Herunterladen und Überprüfen der Lauffähigkeit von Windows 11 auffordert, zeigt Systeme an, auf denen Secure Boot oder TPM-Unterstützung nicht aktiviert ist, oder Geräte mit CPUs, die nicht offiziell unterstützt werden (alles, was älter als Intel-Chips der 8. Generation ist).
Das hat dazu geführt, dass viele versuchen, herauszufinden, ob ihr Gerät TPM unterstützt oder nicht, Verwirrung bei den BIOS-Einstellungen stiften und sogar Leute dazu bringen, in aller Eile separate TPM-Module zu kaufen, die sie nicht brauchen. Einige verkaufen sogar TPM-2.0-Module auf eBay!
Es hat auch nicht geholfen, dass Microsoft ursprünglich eine zweite Webseite mit widersprüchlichen Informationen hatte, die es ein paar Stunden nach Veröffentlichung dieser Geschichte geändert hat. Laut der ursprünglichen Version der Seite waren die wahren Mindestanforderungen TPM 1.2 und eine 64-Bit-Dual-Core-CPU mit mindestens 1 GHz, aber die neue Seite stellt nun klar, dass es TPM 2.0 und einen Prozessor benötigt, den Microsoft explizit als kompatibel zertifiziert hat – was bedeuten könnte, dass alles vor einem Intel Core 8.
Wir warten immer noch auf eine explizite Bestätigung von Microsoft bezüglich der CPU-Anforderungen, aber ein Vertreter bestätigt, dass TPM 2.0 obligatorisch sein wird und dass die ursprünglichen Informationen auf dieser Seite falsch waren. „Die referenzierte Doku-Seite war ein Fehler, der inzwischen korrigiert wurde“, so ein MS-Vertreter gegenüber The Verge.