Die FCC stützt ihr Verbot auf eine National Security Determination (NSD) vom 20. März. Darin kommt ein behördenübergreifender Ausschuss zu dem Schluss, dass die Abhängigkeit amerikanischer Verbraucher von ausländisch gefertigten Routern Schwachstellen in der Lieferkette schafft. Diese könnten die US-Wirtschaft, kritische Infrastrukturen und die Verteidigungsfähigkeit gefährden und zugleich ein „schweres Cybersicherheitsrisiko" darstellen.
Kompromittierte Router ermöglichen laut FCC Netzwerküberwachung, das Abfließen von Daten, Botnetz-Angriffe und unbefugten Netzzugriff. In der NSD heißt es, unsichere und im Ausland produzierte Router seien „bevorzugte Ziele für Angreifer" und in mehreren jüngeren Cyberangriffen genutzt worden, um in Netzwerke einzudringen und von dort kritische Infrastrukturen zu kompromittieren. Sie ermöglichten es Angreifern, große Netzwerke aufzubauen, die für Password-Spraying, unbefugten Zugriff und als Proxys für Spionage eingesetzt würden.
Staatlich unterstützte Angreifer hinter den Salt-Typhoon-Attacken hätten kompromittierte, im Ausland gefertigte Router genutzt, um sich dauerhaften Zugang zu bestimmten Netzwerken zu verschaffen und je nach Ziel auf weitere überzugreifen. Die NSD verweist zudem auf die Cybersecurity and Infrastructure Security Agency (CISA), die Router als „bevorzugten Angriffsvektor" bezeichnet und dies in einer Warnung vom September 2025 ausgeführt habe.
Weitere Belege führt die FCC an: Im September 2024 veröffentlichten das FBI, die Cyber National Mission Force und die National Security Agency eine gemeinsame Bewertung, wonach Angreifer ausländische Router zum Aufbau von Botnetzen für schädliche Aktivitäten einschließlich DDoS-Angriffen genutzt hätten. Microsoft hatte im Oktober 2024 mitgeteilt, dass kompromittierte ausländische Router für Password-Spray-Angriffe gegen seine Kunden eingesetzt worden seien.
Ein Sprecher von TP-Link – einem in China gegründeten und inzwischen in Kalifornien ansässigen Unternehmen – erklärte, „praktisch alle Router" würden außerhalb der USA hergestellt, auch jene von US-Firmen wie TP-Link, das seine Produkte in Vietnam fertige. Die gesamte Router-Branche werde von der FCC-Ankündigung zu neuen, bislang nicht zugelassenen Geräten betroffen sein. „TP-Link ist von der Sicherheit unserer Lieferkette überzeugt und begrüßt diese Bewertung der gesamten Branche", so das Unternehmen. Im Februar hatte Texas TP-Link Systems verklagt – mit dem Vorwurf, Hacks von Verbrauchergeräten durch die Kommunistische Partei Chinas begünstigt zu haben, obwohl sich das Unternehmen mit starkem Sicherheits- und Datenschutz vermarktet habe.
Auch in den USA gefertigte Router erwiesen sich als angreifbar: Das Justizministerium teilte im Januar 2024 mit, dass nicht mehr mit Sicherheitsupdates versorgte Router von Cisco und NetGear von den Volt-Typhoon-Angreifern genutzt worden seien.
