TPM 2.0 und Secure Boot tauchen meistens zum ungünstigsten Zeitpunkt auf – wenn eine Windows 11 Bereitstellung an einem Gerät scheitert, das technisch einwandfrei läuft, aber die Anforderungsprüfung nicht besteht. Plötzlich steht man vor einer Wand aus Firmware-Begriffen und kommt nicht weiter.
Beide Funktionen lohnen sich zu verstehen – nicht nur um den unmittelbaren Blocker zu lösen, sondern weil sie erklären, wie das Sicherheitsmodell von Windows 11 aufgebaut ist und warum bestimmte Windows-Versionen bewusst ohne sie auskommen.
Was TPM 2.0 eigentlich ist
TPM steht für Trusted Platform Module. Es handelt sich um einen Chip – entweder direkt auf dem Mainboard oder in den Prozessor integriert – der als gesicherter Tresor für kryptografische Schlüssel fungiert. Er verarbeitet keine Daten und führt keine Software aus. Seine Aufgabe ist es, sensible Informationen so zu speichern, dass sie vom Rest des Systems isoliert sind – einschließlich Malware, die sich bereits im Betriebssystem befindet.
In der Praxis macht das BitLocker zuverlässig statt nur theoretisch nutzbar. Wenn ein Laufwerk mit BitLocker verschlüsselt wird, liegt der Schlüssel im TPM – nicht auf dem Laufwerk, nicht in Windows. Wird das Laufwerk ausgebaut und in ein anderes Gerät eingesetzt, ist der Schlüssel dort nicht vorhanden. Die Daten bleiben gesperrt.
Windows Hello funktioniert nach demselben Prinzip. Biometrische Anmeldedaten werden im TPM gespeichert statt in einer Datenbank, die ausgelesen werden könnte. Auch die Geräteattestation – die Fähigkeit eines PCs, einem Netzwerk zu beweisen, dass er nicht manipuliert wurde – setzt ein aktives TPM voraus.

TPM 1.2 gab es bereits vor all dem, aber es verwendete ältere Verschlüsselungsalgorithmen und unterstützt verschiedene moderne Sicherheitsprotokolle nicht. TPM 2.0, das ab etwa 2016 zum Standard auf den meisten Geräten wurde, brachte breiteren Algorithmus-Support und eine engere Integration mit UEFI-Firmware. Windows 11 setzt konkret Version 2.0 voraus – 1.2 erfüllt die Anforderung nicht.
Was Secure Boot tatsächlich macht
Secure Boot ist eine eigenständige Funktion, die häufig gemeinsam mit TPM genannt wird – aber eine andere Aufgabe erfüllt.
Beim Start eines Geräts durchläuft es eine feste Sequenz: Firmware initialisiert, ein Bootloader startet, dann lädt das Betriebssystem. Secure Boot greift auf Firmware-Ebene ein und prüft digitale Signaturen bei jedem Schritt. Wenn eine Komponente in dieser Kette – der Bootloader, ein Treiber, jede frühe Boot-Software – keine anerkannte Signatur trägt, verhindert Secure Boot deren Ausführung.
Die Bedrohung, gegen die das schützt, ist konkret: Rootkits und Bootkits, die sich vor dem Laden des Betriebssystems installieren und für jede Sicherheitssoftware innerhalb von Windows unsichtbar sind. Bis Windows läuft, ist die Malware bereits aktiv und effektiv verborgen. Secure Boot schließt dieses Fenster, indem es Vertrauen in der frühestmöglichen Phase erzwingt.

Secure Boot setzt UEFI-Firmware voraus – den modernen Nachfolger des klassischen BIOS. Die meisten Computer ab etwa 2012 haben UEFI, aber Geräte, die im Legacy-BIOS-Modus betrieben werden, unterstützen Secure Boot nicht – unabhängig davon, was sonst noch konfiguriert ist.
Warum Windows 11 beides voraussetzt
Das Sicherheitsmodell von Windows 11 wurde unter der Annahme entwickelt, dass TPM 2.0 und Secure Boot vorhanden sind – nicht als optionale Ergänzungen, sondern als Grundlage, von der andere Funktionen abhängen.
Die automatische BitLocker-Geräteverschlüsselung, die Windows 11 auf unterstützter Hardware standardmäßig aktiviert, benötigt beides. Virtualisierungsbasierte Sicherheit (VBS) – die sensible Prozesse in einem geschützten Speicherbereich isoliert – basiert auf denselben Grundlagen. Der Anmeldeschutz von Windows Hello setzt TPM voraus. Ohne diese Funktionen hält das Sicherheitsarchitektur von Windows 11 nicht so zusammen, wie Microsoft es vorsieht.
Das bedeutet nicht, dass ein Gerät ohne TPM 2.0 automatisch unsicher ist. Es bedeutet, dass das spezifische Sicherheitsdesign von Windows 11 auf Hardware ausgelegt wurde, die diese Funktionen mitbringt – und auf Hardware ohne diese Voraussetzungen bestimmte Schutzmaßnahmen schlicht nicht verfügbar sind.

Wie man prüft, ob die Hardware die Anforderungen erfüllt
Viele Geräte haben TPM 2.0 und Secure Boot verfügbar, aber in den Firmware-Einstellungen deaktiviert. Es lohnt sich, das zu prüfen, bevor man davon ausgeht, dass die Hardware Windows 11 nicht unterstützt.
TPM prüfen:
Win + R drücken, tpm.msc eingeben und Enter drücken. Wenn die Konsole „Das TPM ist zur Verwendung bereit“ mit Spezifikationsversion 2.0 anzeigt, ist die Anforderung erfüllt. Wird kein TPM gefunden, ist es möglicherweise im BIOS deaktiviert statt physisch nicht vorhanden.
Secure Boot prüfen:
Win + R drücken, msinfo32 eingeben und Enter drücken. Nach „Sicherer Startzustand“ suchen – er sollte „Aktiviert“ anzeigen. Außerdem „BIOS-Modus“ prüfen – er muss UEFI anzeigen, nicht Legacy.
[SCREENSHOT: Ausführen-Dialog mit eingegebenem tpm.msc – Alt-Text: „TPM 2.0 prüfen Windows 11 Ausführen-Dialog tpm.msc“]
Wenn eines von beiden deaktiviert ist, führt der nächste Schritt in die BIOS/UEFI-Einstellungen. Der Zugang variiert je nach Hersteller – typischerweise F2, F10, Entf oder Esc beim Start. Dort findet sich TPM unter einem Sicherheits-Tab oder Trusted Computing-Bereich, häufig als Intel PTT, AMD fTPM oder Security Device bezeichnet. Secure Boot liegt meist unter den Boot-Einstellungen.
Wer vor etwaigen Änderungen prüfen möchte, welche Windows-Version auf einem bestimmten Gerät läuft, findet in unserem Leitfaden zur Überprüfung der Windows-Version in wenigen Minuten die Antwort.
Was zu tun ist, wenn die Hardware die Anforderungen nicht erfüllt
Wenn TPM oder Secure Boot in der Firmware deaktiviert sind, lässt sich das in den BIOS-Einstellungen in der Regel unkompliziert aktivieren.
Wenn die Hardware TPM 2.0 grundsätzlich nicht unterstützt – typischerweise Geräte von vor 2016 – werden die Optionen enger. Manche Desktop-Mainboards haben einen physischen TPM-Header, an den ein separates Modul angeschlossen werden kann. In den meisten Fällen ist Hardware dieses Alters aber an dem Punkt, wo eine Erneuerung praktisch und wirtschaftlich mehr Sinn ergibt – besonders da der Support für Windows 10 inzwischen ausgelaufen ist.
Eine Windows 11 Professional Lizenz auf aktualisierter Hardware ist der sauberste Weg – von Anfang an korrekt konfiguriert, sofortige Lieferung, keine Firmware-Workarounds, die das System zusammenhalten.

Die Windows-Version, die beides nicht braucht
Die meisten Artikel zu TPM und Secure Boot enden, bevor sie den für Unternehmen mit spezialisierter Hardware relevantesten Punkt erreichen: Es gibt eine Windows-Version, die bewusst ohne beides auskommt.
Windows 11 IoT Enterprise LTSC 2024 hat gelockerte Hardwareanforderungen – es läuft auf Geräten ohne TPM, ohne Secure Boot und in manchen Konfigurationen ohne UEFI-Firmware. Es wurde für Industriehardware, eingebettete Systeme und Geräte mit fester Funktion entwickelt, die häufig auf älterer oder nicht standardisierter Hardware laufen. Fabriksteuerungen, medizinische Bildgebungssysteme, Kiosk-Terminals – diese nutzen nicht immer Standard-Consumer-Hardware, und TPM 2.0 als Voraussetzung würde einen erheblichen Teil der Geräte ausschließen, die ein stabiles, langfristig unterstütztes Betriebssystem brauchen.
Der Kompromiss ist real: Ohne TPM und Secure Boot sind die Funktionen, die davon abhängen – automatische BitLocker-Verschlüsselung, bestimmte VBS-Schutzmaßnahmen – nicht verfügbar. Für ein Gerät auf einem Fabrikgelände, das eine Aufgabe hinter einer Firewall ausführt, ist das in der Regel vertretbar. Für einen Büro-PC, auf dem sensible Unternehmensdaten verarbeitet werden, nicht.

Windows 11 Enterprise LTSC 2024 – die Standard-Business-LTSC-Variante – setzt weiterhin TPM 2.0 und Secure Boot voraus. Nur die IoT-Variante lockert diese Anforderungen, und sie wird über OEM- und Volumenkanäle lizenziert, nicht über den regulären Geschäftseinkauf.
Für Unternehmen, die noch auf älterer Windows 10-Hardware arbeiten und eine schrittweise Erneuerung planen, bleibt Windows 10 Enterprise LTSC 2021 eine Option – mit denselben Hardwareanforderungen wie Windows 10 und ohne die Firmware-Voraussetzungen von Windows 11, mit Support bis Januar 2027.
Was das konkret bedeutet
TPM 2.0 und Secure Boot sind die Hardware-Schicht, die BitLocker, Windows Hello und Geräteattestation zuverlässig statt nur theoretisch funktionieren lässt. Microsoft hat sie für Windows 11 zur Pflicht gemacht, weil Sicherheitsfunktionen auf Hardware aufzubauen, die diese Voraussetzungen möglicherweise nicht erfüllt, das gesamte Sicherheitsmodell untergraben hätte.
Für die meisten Hardware-Generationen der letzten fünf bis sieben Jahre sind beide Funktionen vorhanden und müssen möglicherweise nur aktiviert werden. Für ältere Geräte stellt sich die Frage, ob vorhandene Firmware-Optionen genutzt, eine Hardware-Erneuerung geplant oder – für den richtigen Einsatzzweck – eine LTSC-Version gewählt wird, die die Anforderung von vornherein umgeht.
Zu wissen, welche Situation auf den eigenen Gerätepark zutrifft, ist der größte Teil der Entscheidung. Der Rest ist Konfiguration.


