Die FCC-Entscheidung zur Verschiebung steht stellvertretend für einen wachsenden Konflikt zwischen nationalen Sicherheitsbedenken und praktischen IT-Anforderungen. Das Büro für Ingenieurwesen und Technologie (OET) der FCC begründete die Verzögerung explizit mit dem “öffentlichen Interesse”. Dies signalisiert ein Umdenken bei der Behörde, die ursprünglich von nationalen Sicherheitserwägungen geleitet wurde.
Die Drohnen-Deadline wurde ebenfalls verschoben – von Januar 2027 auf Januar 2029. Beide Fristen galten ursprünglich nur für zukünftige Importe, nicht für bereits im Land befindliche Geräte. Dennoch hätte ein Verbot von Sicherheits-Patches für Millionen von Routern und Drohnen erhebliche Folgen gehabt.
Die Consumer Technology Association, Nordamerikas größter Technologie-Branchenverband, hatte die FCC aktiv zum Nachdenken bewogen. Nach Gesprächen mit FCC-Mitarbeitern reichte der Verband einen Brief ein, der die Notwendigkeit einer Fristverlängerung argumentierte. Die FCC räumte ein, dass regelmäßige Updates notwendig sind, um “die kontinuierliche Funktionalität von Geräten sicherzustellen, einschließlich solcher, die Sicherheitslücken beheben und die Kompatibilität mit verschiedenen Betriebssystemen gewährleisten”.
Besonders bedeutsam ist eine weitere Entwicklung: Die FCC signalisierte, dass sie einen Regelungsprozess in Erwägung zieht, um diese Waivers zu formalisieren. Das bedeutet, dass die Fristen über 2029 hinaus verlängert oder das ursprüngliche Verbot sogar ganz aufgehoben werden könnte.
Für deutsche Unternehmen und das Bundesamt für Sicherheit in der Informationstechnik (BSI) dürfte diese Entwicklung lehrreich sein. Sie zeigt, dass selbst strengere regulatorische Ansätze zur IT-Sicherheit an den Realitäten der globalen Lieferketten scheitern können. Ein pauschales Verbot von Sicherheitsupdates hätte letztendlich mehr Risiken geschaffen, nicht weniger – ein Dilemma, das auch bei europäischen Cybersicherheits-Regulierungen berücksichtigt werden sollte.