SchwachstellenCyberkriminalitätCloud-Sicherheit

FCC-Routerverbot: Sicherheitsmaßnahme oder Sicherheitsrisiko?

FCC-Routerverbot: Sicherheitsmaßnahme oder Sicherheitsrisiko?
Zusammenfassung

Die US-amerikanische Bundesnetzagentur FCC hat Ende März eine kontroverse Entscheidung getroffen: Neue Router ausländischer Hersteller sollen nicht mehr in den USA importiert werden dürfen. Begründet wird dies mit nationalen Sicherheitsbedenken, da solche Geräte potenziell als Einfallstore für Cyberattacken, Massenüberwachung und Datendiebstahl dienen könnten. Auch bei bekannten Angriffen wie Salt Typhoon sollen kompromittierte ausländische Router eine Rolle gespielt haben. Die Regelung betrifft insbesondere kleine Büros und Privatnutzer, da nahezu alle in Amerika verwendeten SOHO-Router von Unternehmen außerhalb der USA hergestellt werden. Allerdings wird das Verbot auch kritisch gesehen: Experten warnen, dass es Nutzer und Unternehmen dazu zwingen könnte, veraltete und weniger sichere Geräte länger zu betreiben, da es kaum amerikanische Alternativen gibt. Auch für deutsche Unternehmen und Nutzer könnte dies indirekt relevant werden, falls sich ähnliche protektionistische Maßnahmen ausbreiten. Die grundlegende Frage bleibt umstritten, ob die Herkunft eines Routers oder eher operative Sicherheitsmängel wie ungeänderte Standardpasswörter das größere Risiko darstellen.

Das US-Verbot klingt zunächst nach einer klaren Sicherheitsmaßnahme: Keine neuen Routermodelle ausländischer Herkunft mehr auf dem amerikanischen Markt. Geräte, die bereits zugelassen sind, dürfen weiterhin verkauft und betrieben werden — nur neue Modelle werden blockiert. Die FCC begründet dies mit dem Schutz der nationalen Sicherheit und verweist auf die erfolgreiche Ausnutzung von Sicherheitslücken durch Cyberkriminelle.

Doch Sicherheitsexperten warnen vor unbeabsichtigten Konsequenzen. Das zentrale Argument: Ein Herkunftsverbot adressiert nicht das eigentliche Problem. “Threat-Akteure exploitieren diese Schwachstellen auf In- und Auslandshardware gleichermaßen”, erklärt Jason Soroko von Sectigo. Die tatsächlichen Risiken entstünden durch operative Mängel — Standard-Passwörter, fehlende Security-Patches und offengelegte Management-Interfaces. “Das Verbot verwechselt Supply-Chain-Herkunft mit dem viel verbreiteteren Problem administrativer Nachlässigkeit”, kritisiert Soroko.

Ein weiteres gravierendes Problem: Es gibt praktisch keine inländischen Alternativen. Der Sicherheitsforscher Pieter Arntz von Malwarebytes fand in der betroffenen Router-Kategorie nur einen einzigen US-amerikanischen Hersteller — Starlink. Das bedeutet: Wenn Unternehmen ihre veralteten Geräte austauschen müssen, werden sie mit einem massiv verengten Markt, höheren Kosten und längeren Beschaffungszyklen konfrontiert.

Rebecca Krauthamer von QuSecure sieht dennoch Sinn in der Maßnahme — allerdings eher aus geopolitischer denn aus technischer Perspektive. Das Verbot ziele auf Souveränität und weniger Abhängigkeit von ausländischen Komponenten ab. Wenn sensible Daten über Infrastruktur-Komponenten laufen, spiele die Herkunft tatsächlich eine Rolle.

Aber die Nebenwirkungen sind erheblich. Unternehmen, die ihre Router seit einem Jahrzehnt betreiben, werden gezwungen, diese länger zu nutzen — und damit älter, weniger sichere Geräte im Einsatz zu halten. “Die Politik zwingt nicht zur sofortigen Ersetzung, aber erhöht die Einsätze beim Austausch massiv”, sagt Krauthamer.

Die Europäische Union hat einen anderen Weg gewählt: Die Cyber Resilience Act verpflichtet Hersteller aller Herkunftsländer zu Mindeststandards — sichere Voreinstellungen, Schwachstellen-Offenlegung, fortlaufende Updates. Ein Ansatz, der die Symptome statt Symptomträger bekämpft.

Die zentrale Frage bleibt offen: Wird das FCC-Verbot zu Investitionen in US-Fertigung führen oder nur eine neue massive Sicherheitslücke schaffen? Das hängt stark davon ab, wie kulant die FCC bei Ausnahmegenehmigungen wird.

Ähnliche Artikel