TPM-Fallen und OEM-Sperren

Fall 9: Wenn das TPM nicht gut genug ist

Auch bei den Trusted Platform Modules (TPM) kommt es in der Praxis zu Problemen, und zwar besonders dann, wenn externe Nachrüstmodule oder günstige No-Name-Varianten eingesetzt werden. Viele Mainboards bieten zwar eigene TPM-Header, aber nicht jedes Modul wird als vertrauenswürdiger Teil der Sicherheitskette akzeptiert. Entscheidend ist, dass das TPM den Standard 2.0 vollständig unterstützt und vom BIOS korrekt initialisiert wird. Aktuelle Anti-Cheat-Systeme und Sicherheitsmechanismen setzen explizit auf TPM 2.0, entweder als Firmware-Lösung direkt in der CPU (fTPM bei AMD, PTT bei Intel) oder als dediziertes Modul mit vollständiger Hardware-Integration. Nur diese Varianten gelten als Teil der sogenannten Hardware Root of Trust und werden von Windows und modernen Spielen akzeptiert.

Eine Nachrüstung kann funktionieren, wenn das Mainboard den passenden TPM-Header nutzt, die Firmware aktuell ist und keine parallele fTPM/PTT-Funktion aktiv bleibt. Inkompatible Module, fehlerhafte BIOS-Versionen oder doppelte TPM-Einträge führen dagegen häufig dazu, dass Windows den Sicherheitschip zwar erkennt, ihn aber nicht als gültig akzeptiert.

Fall 10: Wenn das BIOS nicht mehr mitreden lässt

Ein Sonderfall betrifft OEM-Systeme, bei denen das BIOS stark eingeschränkt ist. Gerade bei Komplett-PCs oder Laptops großer Hersteller lässt sich Secure Boot dort weder vollständig deaktivieren noch manuell konfigurieren. Die Option ist zwar sichtbar, aber oft nur zum Teil funktionsfähig oder fest mit dem Windows-Key im BIOS verknüpft.

Quelle: PCGH Im BIOS lassen sich Secure-Boot-Parameter zwar anzeigen, bei OEM-Systemen aber oft nicht vollständig anpassen.

Das hat praktische Folgen: Fremde Betriebssysteme, alternative Bootloader oder modifizierte Installationsmedien werden einfach blockiert. In manchen Fällen bricht der Startvorgang direkt nach der Prüfung mit "Verification failed" ab. Auch das manuelle Einspielen eigener Schlüssel ist meist nicht vorgesehen, da die Firmware auf ein festes, vom Hersteller signiertes Profil zurückgreift. Wer an solchen Systemen Secure Boot- oder TPM-Parameter verändert, riskiert zudem, dass Bitlocker beim nächsten Start den Wiederherstellungsschlüssel anfordert. Hintergrund: Änderungen im Firmware-Trust-Path führen dazu, dass die TPM-Messwerte nicht mehr mit den gespeicherten übereinstimmen. Das System hält die Festplatte dann für "fremd".

Kurz: OEM-Firmware mag stabil und sicher wirken, ist in der Praxis aber oft unflexibel. Wer dort am Secure-Boot-Profil schraubt, sollte wissen, dass das BIOS mitunter mehr Kontrolle ausübt, als man selbst hat. Damit sind die häufigsten Ursachen abgedeckt, doch es gibt noch einige Sonderfälle.

Artikel teilen

Battlefield 6 und Co.: 11 Probleme mit TPM 2.0 und Secure Boot Schon kleine Änderungen an Secure Boot oder der Firmware reichen, um den Schutzmechanismus auszulösen.

Per E-Mail versenden

31

1. Seite 1 Übersicht und was zu unterlassen ist
2. Seite 2 Secure Boot, CSM und GPT richtig reparieren
3. Seite 3 Wenn Secure Boot mehr blockiert als schützt
4. Seite 4 TPM und BIOS-Fallen: Funktionierende Systeme können scheitern
5. Seite 5 TPM-Fallen und OEM-Sperren
6. Seite 6 Bitlocker-Alarm nach BIOS-Update