Die von der FCC genannten Risiken reichen vom Einbau von Backdoors über die Kompromittierung von Routern für Massenüberwachung und Datendiebstahl bis hin zum Einsatz in Botnet-Angriffen und unbefugtem Zugriff auf sensible Netzwerke. “Böswillige Akteure haben Sicherheitslücken in im Ausland gefertigten Routern ausgenutzt, um amerikanische Haushalte anzugreifen, Netzwerke zu stören, Spionage zu ermöglichen und Diebstahl geistigen Eigentums zu erleichtern”, erklärte die Behörde. Im Ausland gefertigte Router seien zudem an den Cyberangriffen Volt, Flax und Salt Typhoon beteiligt gewesen, die auf kritische US-Infrastruktur zielten.
Dass das Risiko in der Lieferkette real ist – besonders auf der Ebene der nationalen Sicherheit –, bestätigt Rebecca Krauthamer, CEO und Mitgründerin von QuSecure. Der Schritt der FCC ziele darauf, geopolitische Abhängigkeit von fremdkontrollierten Komponenten zu verringern, und nicht allein auf technische Schwachstellen einzelner Geräte. “Wir beobachten einen breiteren Wandel hin zu souveränen und vertrauenswürdigen Technologie-Stacks in Umgebungen mit höheren Sicherheitsanforderungen”, sagt sie.
Gleichwirft die starke Abhängigkeit der USA von importierten Routern die Frage auf, ob das Verbot Nutzer länger an älteren, unsichereren Geräten festhalten lässt. Die Vorschrift erzwinge keinen sofortigen Austausch, erhöhe aber den Druck, den Ersatz später richtig zu wählen, so Krauthamer. Viele Unternehmen betrieben Router, die seit einem Jahrzehnt oder länger im Einsatz und direkt im kritischen Pfad des Netzwerkverkehrs sind. Beim Austausch drohe ein eingeschränkterer und potenziell teurerer Markt mit weniger zugelassenen Optionen und längeren Beschaffungszyklen.
Ähnlich argumentiert Jim Needham, Senior Managing Director bei FTI Consulting: Das Verbot könnte Unternehmen zwingen, veraltete Geräte weit über den üblichen Austauschzyklus hinaus zu betreiben, was die Sicherheit schwächen könne. Da die Regelung den Austausch bestehender Geräte derzeit nicht vorschreibe, sei die Sorge momentan jedoch vor allem zukunftsgerichtet.
Einige Sicherheitsexperten halten den Ansatz für grundsätzlich verfehlt, weil Router-Kompromittierungen selten mit dem Herstellungsort zu tun hätten. Meist seien die Risiken operativer Natur und an Probleme wie Standard-Zugangsdaten, versäumte Patches und exponierte Verwaltungsschnittstellen gebunden. “Bedrohungsakteure nutzen diese Schwachstellen bei inländischer wie internationaler Hardware gleichermaßen aus”, sagt Jason Soroko, Senior Fellow bei Sectigo. Durch die Fixierung auf die Herkunft der Chips statt auf die Sorgfalt bei der Wartung drohe die Anordnung, “die Krankheit falsch zu diagnostizieren”.
Die EU verfolgt mit ihrem Cyber Resilience Act einen anderen Weg: Hersteller vernetzter Geräte müssen unabhängig von der Herkunft verbindliche Sicherheitsanforderungen erfüllen, darunter sichere Voreinstellungen, Schwachstellenmeldung und fortlaufende Softwareunterstützung.
Wie wenig inländische Alternativen es gibt, zeigt eine Beobachtung von Pieter Arntz, Forscher bei Malwarebytes: Er fand in der von der FCC verbotenen Kategorie nur einen einzigen in den USA gefertigten Router – Starlink. Ob das nahezu vollständige Fehlen heimischer Alternativen Investitionen in US-Fertigung anstößt oder eine neue Schwachstelle schafft, hänge davon ab, wie großzügig die FCC mit Ausnahmen umgehe. “Derzeit gibt es keine unmittelbaren Auswirkungen, aber wir befürchten, dass es Netzwerke langfristig unsicherer machen wird”, sagt Arntz.
