Das Dilemma, in dem sich die FCC befand, ist schnell erklärt: Ein rigides Einfuhrverbot für ausländische Router hätte Millionen bereits installierter Geräte faktisch zum Sicherheitsrisiko erklärt – nicht trotz, sondern wegen fehlender Patches. Die Behörde musste sich zwischen zwei unbefriedigenden Szenarien entscheiden: entweder die theoretischen Gefahren einer ausländischen Hardware-Herkunft gegen die praktischen Risiken ungestützter Systeme abwägen.
Die neue Regelung räumt ein, dass dieser pragmatische Kompromiss notwendig ist. Experten wie Jason Soroko von Sectigo argumentieren, dass das Kernproblem der Router-Sicherheit weniger in der geografischen Herkunft als in operativen Risiken liegt: Standardpasswörter, veraltete Konfigurationen und fehlende Patch-Management. Das Ersetzen von Millionen eingebetteter Geräte in kritischer Infrastruktur erfordert Zeit und Kapital, die einfach nicht vorhanden sind. Eine abrupte Unterstützungseinstellung hätte sofortige Sicherheitslücken geschaffen.
Allerdings warnt Shane Barney, CISO bei Keeper Security, vor falscher Entwarnung. Die Verlängerung bis 2029 löst nicht das Grundproblem: ausländisch gefertigte Hardware in sensiblen Netzwerkumgebungen. Unternehmen sollten diese Entscheidung nicht als Grünes Licht verstehen, die Sicherheitsmaßnahmen zu lockern. Stattdessen empfiehlt er, weiterhin Zero-Trust-Prinzipien durchzusetzen, starke Identitätsprüfung zu fordern, minimale Zugriffe zu vergeben und jede Fernverbindung als potenziell feindselig zu behandeln – unabhängig von der Hardware-Herkunft.
Deutsche Unternehmen und Behörden sollten diesen Fall beobachten. Das BSI hat ähnliche Sicherheitsbedenken bereits in seinen Cybersecurity-Richtlinien adressiert. Mit der zunehmenden Regulierung von IoT- und Netzwerkgeräten könnten auch hierzulande Debatten entstehen, wie man nationale Sicherheit mit praktischen Realitäten der Technologiebeschaffung vereinbart. Das Beispiel der FCC zeigt: Perfektionistische Sicherheit ohne Rücksicht auf Implementation schafft neue Probleme.