Als Microsoft diesen Sommer Windows 11 vorstellte und die Systemanforderungen für das Update veröffentlichte, erregte vor allem eine Anforderung große Aufmerksamkeit: das Trusted Platform Module (TPM) Version 2.0. TPM 2.0 ist für Windows 11 erforderlich und ein wichtiger Baustein für sicherheitsrelevante Funktionen. Dieser Schritt ist Teil von Microsofts umfassenderen Bemühungen um „Security by Design“, einem Konzept, das in mehreren Datenschutzgesetzen, wie der Datenschutzverordnung der EU (DSGVO), eine zentrale Rolle spielt. Das übergeordnete Ziel des Unternehmens ist es, „Zero Trust“ zwischen Chip und Cloud von Anfang an zu schaffen.
TPM, auch bekannt als ISO/IEC 11889-1, ist eine internationale Norm für sichere Kryptoprozessoren, d. h. spezielle Mikrocontroller zur Sicherung von Hardware durch integrierte kryptografische Schlüssel. Ein TPM-Chip ist ein Chip, der dieser Norm entspricht und entweder in die Hauptplatine eines Computers integriert oder separat in die CPU eingebaut werden kann. Laut David Weston, Direktor für Unternehmens- und Betriebssystemsicherheit bei Microsoft, hilft er, Verschlüsselungsschlüssel, Benutzeranmeldeinformationen und andere sensible Daten hinter einer Hardwarebarriere zu schützen, so dass Malware und Angreifer nicht auf diese Daten zugreifen oder sie manipulieren können.
TPM-Chips gibt es schon seit einiger Zeit, aber sie wurden bisher nur in von der IT-Abteilung verwalteten Unternehmens-Laptops und -Desktops eingesetzt. Auch für Windows ist es keine besonders neue Funktion: Es wurde zwar auch für Windows 10 zur Voraussetzung gemacht, aber nicht so durchgesetzt wie für Windows 11. Sowohl Windows 10 als auch Windows 7 unterstützten jedoch TPM und nutzten es für eine Vielzahl von Funktionen.
Warum braucht Windows ein TPM?
Windows ist das am weitesten verbreitete Betriebssystem der Welt. Obwohl es in den letzten Jahren durch macOS, Linux und Chrome OS etwas Konkurrenz bekommen hat, dominiert es immer noch den globalen Markt und läuft auf nicht weniger als 75 % aller PCs, die derzeit im Einsatz sind. Als solches ist es auch das Hauptziel für Cyberangriffe, wobei einige der weltweit größten Ransomware- und Malware-Angriffe auf Windows-Geräte abzielen.
Mit der Durchsetzung des TPM, aber auch mit neuen Funktionen wie Secure Boot und Virtualisierungs-basierter Sicherheit (VBS), verfolgt Microsoft einen proaktiven Sicherheitsansatz und versucht, den Nutzern von Anfang an ein Höchstmaß an Sicherheit zu bieten.
Sicherheitsupgrades können sowohl auf der Software- als auch auf der Hardwareebene durchgeführt werden. Sicherheitssoftware kann zwar ein wirksamer Schutz gegen Hackerangriffe sein, ist aber auch anfälliger für Eingriffe von außen. Eine ungepatchte Sicherheitslücke oder ein neuartiger Exploit kann von einem erfahrenen Hacker ausgenutzt werden, um die Sicherheitssoftware zu umgehen oder zu kompromittieren und Zugang zu den Systemen und den darauf gespeicherten sensiblen Daten zu erhalten. Die Hardwaresicherheit ist inzwischen fest kodiert, d. h. die kryptografischen Schlüssel können nicht geändert werden, es sei denn, ein Eindringling kennt sie im Voraus.
TPM 2.0 hebt den Windows-Standard für Hardwaresicherheit an, indem es ein eingebautes Root-of-Trust erfordert, das ein wirksames Schutzinstrument gegen häufige und ausgeklügelte Angriffe wie Ransomware ist. Es wird unter anderem beim Verschlüsseln von Festplatten mit BitLocker und zum Schutz der Identität bei der Verwendung von Windows Hello eingesetzt.
Organisationen wie die Trusted Computing Group (TCG), eine Nichtregierungsorganisation, die gegründet wurde, um offene, herstellerneutrale, globale Industriespezifikationen und -standards wie TPM zu entwickeln, zu definieren und zu fördern, haben sich für den Einsatz von TPM ausgesprochen.
„Die Anwendung von TPM als hardwarebasierte Vertrauensbasis wird eine entscheidende Rolle bei der Bestimmung des Betriebszustands, der Vertrauenswürdigkeit und der Authentizität von Windows-Systemen spielen“, sagt Jörg Borchert, Präsident der Trusted Computing Group. „Windows 11 wird davon profitieren, dass es viel sicherer ist und den Weg für die weitere Verbreitung von Sicherheit in der gesamten Branche ebnen wird. Die Einführung von TPM-Hardware-basierter Sicherheit und die Implementierung von Zero Trust Architecture-Elementen stärkt die Gesamtsicherheit des Betriebssystems“.
Die Auswirkungen der TPM-Anforderung auf ältere PCs
Wie groß sind die Unannehmlichkeiten, die die TPM-Pflicht für Unternehmen mit Windows-Computern mit sich bringen wird? Das hängt ganz davon ab, wie alt die Rechner sind. Die meisten Computer, die in den letzten fünf Jahren ausgeliefert wurden, können mit TPM 2.0 betrieben werden. Das bedeutet, dass die meisten CPUs bereits eine Firmware-Version von TPM 2.0 enthalten. Administratoren müssen lediglich sicherstellen, dass es aktiviert ist, bevor sie mit der Installation von Windows 11 beginnen.
Ältere Hardware, die nicht über TPM 2.0 verfügt, ist vom Windows 11-Update ausgeschlossen. Microsoft bestätigte in einer Frage- und Antwortrunde, dass es bei der Durchsetzung des TPM einen strikten Ansatz verfolgt, da es als eine Notwendigkeit für ein sichereres Windows-Erlebnis in der Zukunft angesehen wird. Obwohl das TPM separat in die CPU eingebaut werden kann, laufen ältere Computer immer noch Gefahr, von zukünftigen Updates ausgeschlossen zu werden, da Microsoft im August erklärte, dass nicht unterstützte PCs, auf denen Windows 11 läuft, nicht berechtigt sind, Updates zu erhalten.
Unternehmen müssen daher prüfen, ob sie die Anforderungen von Microsoft für Windows 11 erfüllen, das TPM aktivieren, falls es deaktiviert ist, und ein Upgrade älterer Rechner in Betracht ziehen. Die Kopplung eines physischen TPM-Moduls mit älteren CPUs kann sich als problematisch erweisen und bietet Unternehmen letztlich nur eine kurzfristige Lösung.
Zero-Day-Unterstützung für Windows 11
TPM ist nicht das einzige Problem, um das sich Unternehmen kümmern müssen. Vor dem Upgrade auf Windows 11 sollten sie auch prüfen, ob ihre bestehende Sicherheitssoftware mit der neuen Version des Betriebssystems kompatibel ist. Eine Unterbrechung der Sicherheitsrichtlinien kann für Unternehmen eine Katastrophe bedeuten, daher ist es wichtig, dass ihre Sicherheitsprodukte ununterbrochene Dienste leisten.
Unsere eigene Data Loss Prevention (DLP)-Lösung, Endpoint Protector, bietet Zero-Day-Support für Windows 11. Dadurch können Unternehmen die Betriebssystemmigration ohne Verzögerung oder Unterbrechung der bestehenden Datenschutzrichtlinien durchführen und sicherstellen, dass sensible Informationen kontinuierlich überwacht und kontrolliert werden.