TPM (Trusted Platform Module): Hardwarebasierte Sicherheit für Unternehmen
Dedizierter Sicherheitschip auf dem Mainboard, der kryptographische Schlüssel sicher speichert, die Systemintegrität beim Boot prüft und als Hardware-Vertrau...
Inhaltsverzeichnis (6 Abschnitte)
Kurzerklärung: Dedizierter Sicherheitschip auf dem Mainboard, der kryptographische Schlüssel sicher speichert, die Systemintegrität beim Boot prüft und als Hardware-Vertrauensanker für BitLocker, Windows Hello und weitere Sicherheitsfunktionen dient.
Das Trusted Platform Module (TPM) ist ein dedizierter Hardware-Sicherheitschip, der auf dem Mainboard von PCs, Laptops und Servern integriert ist. Er bietet eine sichere, manipulationsgeschützte Umgebung für kryptographische Operationen und Schlüsselspeicherung.
Was macht ein TPM?
Sichere Schlüsselspeicherung: TPM speichert kryptographische Schlüssel sicher - im Chip selbst, nicht auf der Festplatte. Diese Schlüssel können nicht ohne physischen Zugang zum Chip extrahiert werden.
Systemintegritätsprüfung (Measured Boot): Beim Bootvorgang messen Platform Configuration Registers (PCRs) im TPM jeden Schritt des Boot-Prozesses:
UEFI Firmware → Bootloader → Betriebssystem-Kernel → Treiber
↓ ↓ ↓ ↓
PCR[0] PCR[4] PCR[8] PCR[10]Wird eine Komponente manipuliert, ändert sich der PCR-Wert - und das System erkennt die Kompromittierung.
Remote Attestation: Das TPM kann einem anderen System (z.B. einem Corporate-Server) kryptographisch beweisen, dass das lokale System integer ist und keine Manipulation stattgefunden hat.
Zufallszahlengenerator (RNG): Hardware-basierter True Random Number Generator für kryptographische Anwendungen.
TPM-Versionen
TPM 1.2: Ältere Version, unterstützt SHA-1 und RSA-1024. Noch in vielen Altsystemen vorhanden.
TPM 2.0: Aktueller Standard (seit 2014). Unterstützt SHA-256, ECC, AES und weitere moderne Algorithmen. Windows 11 Mindestanforderung.
fTPM (Firmware TPM): Implementierung des TPM in CPU-Firmware (AMD, Intel) - physisch kein separater Chip, aber gleiche Funktionalität.
Discrete TPM: Eigener physischer Chip auf dem Mainboard - höchste Sicherheit, da von CPU getrennt.
Praktische Anwendungen
BitLocker (Windows): BitLocker verwendet das TPM um den Volume Master Key (VMK) zu sichern. Der Schlüssel ist an die gemessene Systemkonfiguration gebunden - Festplatte in anderem System → kein Zugriff.
Windows Hello: Biometrische Daten (Fingerabdruck, Gesichtserkennung) werden mit TPM-Schlüsseln verknüpft - Credentials verlassen nie das Gerät.
Secure Boot: UEFI Secure Boot verwendet TPM-basierte Schlüssel um nur signierte Betriebssysteme zu booten - verhindert Bootkit-Malware.
VPN-Zertifikate und Client-Authentifizierung: Unternehmens-VPN-Zertifikate können im TPM gespeichert werden - nicht extrahierbar, nicht auf USB-Sticks kopierbar.
FIDO2 / Passkeys: FIDO2-Hardware-Authenticatoren (wie YubiKey) nutzen ähnliche Prinzipien; Windows Hello for Business integriert FIDO2 mit TPM.
TPM und Unternehmenssicherheit
Warum TPM für Unternehmen wichtig ist:
- Schutz bei Gerätediebstahl: Festplatte aus gestohlenem Laptop → keine Daten lesbar (BitLocker mit TPM)
- Geräte-Compliance-Nachweis: Conditional Access (Zero Trust) kann TPM-Attestierung für Gerätevertrauen verlangen
- Credential-Schutz: Windows Credential Guard nutzt TPM für sichere Credential-Isolierung
- Endpoint-Sicherheit: EDR-Lösungen nutzen TPM für tamper-proof Logging
NIS2 und KRITIS: Für regulierte Einrichtungen bietet TPM-basiertes Device-Trust einen nachweisbaren Hardware-Sicherheitsanker.
TPM-Schwachstellen
Trotz seiner Sicherheitsarchitektur ist das TPM nicht unfehlbar:
TPM-Sniffing: Bei bestimmten diskreten TPM-Chips mit LPC-Bus kann die Kommunikation zwischen CPU und TPM mit physischem Zugang abgehört werden (CVE-2021-3895, ähnliche). Firmwaretpm mitigiert dies (da alles in der CPU verbleibt).
Fault Injection: Anspruchsvolle physische Angriffe mit Spannungsmanipulation.
BitLocker-Schwachstellen: Unter bestimmten Umständen kann BitLocker ohne PIN (TPM-only) durch Cold-Boot-Attacks oder Bus-Sniffing kompromittiert werden. Empfehlung: TPM + Pre-Boot-PIN für sensitives Schutzniveau.
TPM und Zero Trust
In modernen Zero-Trust-Architekturen ist TPM ein Hardware-Root-of-Trust:
- Geräte-Identität: Zertifikate im TPM können gerätespezifische Identität beweisen
- Integritätsmessung: Remote Attestation als Vertrauenssignal für Conditional Access
- Compliance-Nachweis: "Nur verwaltete, integre Geräte erhalten Zugriff auf sensitive Ressourcen"
Fragen zu diesem Thema?
Unsere Experten beraten Sie kostenlos und unverbindlich.
Über den Autor
Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.
10 Publikationen
- Einsatz von elektronischer Verschlüsselung - Hemmnisse für die Wirtschaft (2018)
- Kompass IT-Verschlüsselung - Orientierungshilfen für KMU (2018)
- IT Security Day 2025 - Live Hacking: KI in der Cybersicherheit (2025)
- Live Hacking - Credential Stuffing: Finanzrisiken jenseits Ransomware (2025)
- Keynote: Live Hacking Show - Ein Blick in die Welt der Cyberkriminalität (2025)
- Analyse von Angriffsflächen bei Shared-Hosting-Anbietern (2024)
- Gänsehaut garantiert: Die schaurigsten Funde aus dem Leben eines Pentesters (2022)
- IT Security Zertifizierungen - CISSP, T.I.S.P. & Co (Live-Webinar) (2023)
- Sicherheitsforum Online-Banking - Live Hacking (2021)
- Nipster im Netz und das Ende der Kreidezeit (2017)
