17

Trusted Computing ist ab 2015 Pflicht für neue PCs mit Windows 8.1

Lange Zeit gab es keine neuen Meldungen zu Trusted Computing – nun taucht das Thema wieder auf: Laut einer Meldung des ZDNets wird ein Trusted Plattform Module (TPM) in der Version 2.0 ab dem Jahr 2015 Teil der Hardware-Spezifikationen von Windows 8.1 für zertifizierte Systeme sein – sprich, wer als PC-Hersteller ein Windows-Logo auf seine Geräte kleben will, muß diese Spezifikationen haargenau erfüllen. Mit der Pflicht zum TPM dürfte natürlich nicht nur dessen reine Existenz gemeint sein, sondern daß jenes dann auch aktiv und benutzbar ist. Für die PC-Hersteller ist das Windows-Logo so etwas wie ein "Heiliger Gral" und es gibt kaum Geräte ohne Logo – obwohl jenes zur Funktionalität und Performance natürlich gar nichts aussagt.

Das Thema Trusted Computing inklusive der Vorgänger-Bezeichnung "TCPA" köchelt dabei seit über 10 Jahren vor sich hin und scheint nunmehr dort zu landen, wo es die Hersteller schon von Anfang an hinhaben wollten – per default in alle Komplett-PCs, Notebooks und Tablets (sofern Windows-basiert). Verschont bleiben erst einmal nur selbst zusammengestellte PC-Systeme – aber über die Komplett-Systeme hat man über kurz oder lang die Masse der Anwender an der Angel, welche sich damit nichtsahnend das TPM-Modul angelacht haben. In ein paar Jahren von 2015 ausgehend kann man unter Windows 8.1 und Nachfolgern dann also Anwendungen schreiben, welche das TPM-Modul zwingend voraussetzen – dabei darauf vertrauend, daß die Masse der Anwender jenes TPM-Modul bereits im Rechner hat.

Dabei lassen sich mittels Trusted Computing durchaus nutzvolle Dinge erreichen, gerade im Sicherheitsbereich. Leider zeigt die Erfahrung und natürlich auch die Intention von Microsoft im konkreten Fall, daß es bei Trusted Computing unter Windows nicht um Sicherheitsfragen geht, sondern allein um eine bessere Nutzerkontrolle. Davon abgesehen ist im Zuge des aktuellen Überwachungsskandals eine maßgeblich von US-Unternehmen hergestellte Technologie zur vom Nutzer abgeschotteten Kontrolle des PCs sowieso unter besonderen Vorbehalt zu stellen. Gerade die aktuellen Ereignisse sollten die Entwicklung eher in Richtung quelloffener Systeme neu ausrichten, deren Funktionalität nicht unter dem Damoklesschwert einer (geheimen) Einmischung von US-Regierungsstellen liegt.

Nachtrag vom 21. August 2013

Die Zeit berichtet über eine klare Warnung vor Windows 8.1 samt TPM 2.0 im Behördeneinsatz ab dem Jahr 2015: Ab diesem Zeitpunkt werden die Windows-Hardwareanforderungen ein TPM-Modul der Stufe 2.0 für "zertifizierte Windows-Systeme" vorschreiben, welches augenscheinlich auch bedeutet, daß jenes von Haus aus aktiviert ist. Da jene Technologie aber bisher immer noch nicht so ausgelegt wird, daß der Nutzer darüber die Kontrolle hat und da der Betriebssystem-Hersteller zudem mit Microsoft ein US-Unternehmen ist, sieht das Bundesamt für Sicherheit in der Informationstechnik (BSI) hierbei ein hohes Gefährdungspotential für behördlich genutzte Computer – nicht im Sinne von Viren & Trojanern, sondern im Sinne von Späh- und Manipulationsversuchen seitens ausländischer Mächte. Für die Allgemeinheit ist dies natürlich nur eine eher theoretische Gefahr, aber für behördlich genutzte Computer durchaus real – ab einer gewissen Stufe benötigt man da schlicht Systeme, bei denen keine Spionagegefahr schon mit ab Werk geliefert wird.

In der bisherigen Berichterstattung zu TPM 2.0 war noch nicht ganz klar, ob jenes TPM 2.0 bei Computern des Baujahrs 2015 und später per default aktiviert ist – dies scheint nun zuzutreffen. Der Punkt, ob es nicht eventuell manuell deaktivierbar ist, bleibt allerdings offen, da es eher unwahrscheinlich ist, daß Microsoft dem PC-Käufer die bittere Medizin mit einem einzigen großen Schluck geben will – die bisher angesetzte Salami-Taktik hat sich in dieser Frage absolut bewährt. Alternativ steht natürlich immer noch die Möglichkeit zur Verfügung, Computer ohne Windows-Logo zu erwerben: Und wenn die Do-It-Yourself-Methode auf Basis einfacher Retail-Komponenten für die Bundesregierung zu sehr nach "klein-klein" aussieht, dann kann man immer noch mit einer Ausschreibung an die PC-Hersteller herantreten und den Punkt "ohne TPM 2.0" dabei klar definieren. Wer wirklich will, wird auch im Jahr 2015 noch Computer ohne TPM erwerben können – wobei der Hinweis des BSI trotzdem nützlich ist, ansonsten würde dies an den meisten Computerkäufern leider glatt vorbeigehen.

Nachtrag vo 22. August 2013

Im Fall der Warnung des BSI vor Windows 8.1 samt TPM 2.0 sah man sich seitens des BSI wohl zu einer weitgehenden Entschärfung dieser Warnung genötigt, weil in der Mainstream-Presse jene oftmals fälschlich als generelle Warnung vor Windows 8 beschrieben wurde. Nur die wenigsten haben den Sachverhalt richtig wiedergegeben, daß sich die Warnung maßgeblich auf Computer im behördlichen Einsatz bezieht und weniger denn auf den Normalanwender. Daneben kann der Heise Newsticker bei seiner Berichterstattung des Falls noch ein paar Detail-Fragen klären: So sieht die TPM 2.0 Spezifikation ein per default aktiviertes TPM vor – dies war zwar anzunehmen, jedoch bisher nicht explizit bestätigt. Die Möglichkeit zur Deaktivierung des TPMs wird in dieser Spezifikation zudem nicht ausgeschlossen, bleibt also dem Gerätehersteller überlassen. Vermutlich dürften die meisten Mainboard-Hersteller automatisch eine entsprechende BIOS-Option anbieten, so lange die Spezifikation nichts anderes aussagt.