In einer öffentlichen Mitteilung vom 8. Mai verschob die FCC die ursprüngliche Frist von März 2027 auf mindestens Januar 2029 und weitete zugleich den zulässigen Umfang der Aktualisierungen aus. Künftig dürfen ausländische Hersteller nicht nur kleinere Sicherheitskorrekturen, sondern auch umfangreichere Software- und Firmware-Updates ausliefern, die die Funktionsweise der Router betreffen können. Solche Updates hatten zuvor eine zusätzliche Prüfung durch die FCC erfordert. Die Behörde erklärt, die Anpassungen sollten die fortlaufende Sicherheit der bereits in den USA installierten ausländischen Consumer-Router gewährleisten.

Sicherheitsfachleute hatten kritisiert, dass das Verbot die Nutzer faktisch dazu zwinge, alternde und nicht mehr unterstützte Geräte auf absehbare Zeit weiterzuverwenden – was sie paradoxerweise anfälliger für Angriffe mache statt sicherer. Viele wiesen zudem darauf hin, dass die eigentlichen Probleme der Router-Sicherheit weniger mit dem Herkunftsland der Geräte zu tun hätten als mit betrieblichen Risiken: etwa Standardpasswörter und -konfigurationen sowie versäumte Sicherheits-Updates.

“Die FCC hat diese Überarbeitung wahrscheinlich als Reaktion auf die betrieblichen Realitäten der Netzwerksicherheit und das langsame Tempo beim Austausch von Geräten vorgenommen”, sagt Jason Soroko, Senior Fellow bei Sectigo. Millionen eingebetteter Geräte in der nationalen Infrastruktur zu ersetzen, erfordere enorm viel Zeit und Kapital; bestehende Systeme komplett ungepatcht zurückzulassen, würde eine unmittelbare Schwachstelle schaffen. Ein ungepatchter Router stelle eine dringlichere Bedrohung dar als die allgemeineren Risiken, die mit der Herkunft der Hardware verbunden seien.

Die Verlängerung bis 2029 ändere zwar für sich genommen nichts am grundsätzlichen Importverbot für ausländische Consumer-Router, verschaffe den Nutzern aber Luft. “Diese Ausnahmegenehmigung mildert die drängendsten Befürchtungen im Zusammenhang mit dem ursprünglichen Verbot erheblich, indem sie ein plötzliches und gefährliches Sicherheitsvakuum verhindert”, so Soroko.

Shane Barney, Chief Information Security Officer bei Keeper Security, mahnt zur richtigen Einordnung. Ein striktes Update-Verbot hätte bereits installierte Geräte ohne jeden Weg zu Sicherheits-Patches oder Fehlerkorrekturen zurückgelassen und Hersteller wie Endnutzer in eine unhaltbare Lage gebracht. Vor diesem Hintergrund sei die Verlängerung der Ausnahme bis Januar 2029 “die besser vertretbare Entscheidung”.

Organisationen sollten sich jedoch über die Grenzen der Entscheidung im Klaren sein, betont Barney. Sie entkräfte die Sorge, dass bereits installierte ausländische Router ohne kritische Updates blieben – das grundlegende Problem ausländisch gefertigter Hardware in sensiblen Netzwerkumgebungen löse sie aber nicht. “Das sollte Unternehmen nicht in der falschen Annahme wiegen, die übergeordnete Risikobewertung habe sich geändert. Die Bedrohungsfläche, die diese Geräte darstellen, bleibt bestehen”, sagt er. Die richtige Antwort sei dieselbe wie zuvor: Zero-Trust-Prinzipien durchsetzen, starke Identitätsprüfung verlangen, Zugriff nach dem Prinzip der minimalen Rechte gewähren und jede Verbindung als potenziell feindlich behandeln – unabhängig von der Hardware, von der sie ausgeht.