US-FCC verbietet den Import neuer Modelle von im Ausland produzierten Consumer-Routern umfassend

Die US-Bundeskommunikationsbehörde FCC hat unter Berufung auf die nationale Sicherheit den Import und Verkauf neuer Modelle von im Ausland produzierten Consumer-Routern faktisch umfassend verboten. Anlass für die Maßnahme ist die Einschätzung eines vom Weißen Haus geführten ressortübergreifenden Gremiums der Exekutive, dass im Ausland produzierte Router ein inakzeptables Risiko für die nationale Sicherheit und die Sicherheit der Bevölkerung der USA darstellen.

Die FCC argumentiert, dass im Ausland hergestellte Router Schwachstellen in der Lieferkette schaffen, dadurch kritische Infrastruktur und die Landesverteidigung bedrohen und von böswilligen Hackern ausgenutzt wurden, um US-Haushalte anzugreifen, Netzwerke zu stören sowie Cyberkriminalität und Überwachung zu ermöglichen. Als Belege nennt sie Fälle, in denen im Ausland produzierte Router bei Cyberangriffen der von der chinesischen Regierung unterstützten Hackergruppen Volt Typhoon, Salt Typhoon und Flax Typhoon eingesetzt wurden.

Die meisten großen Router-Marken wie Netgear, Linksys, Asus, D-Link und TP-Link produzieren ihre Hardware im Ausland; bedeutende Consumer-Router, die derzeit in den USA hergestellt werden, gibt es faktisch nicht. Die FCC legt die Definition von Produktion weit aus und bezieht nicht nur den Ort der physischen Montage ein, sondern auch den Ort, an dem Design und Entwicklung stattfinden. Dadurch können selbst US-Unternehmen unter das Verbot fallen, wenn zentrale Prozesse im Ausland erfolgen.

Allerdings gilt das Verbot nicht für Modelle, die bereits eine FCC-Zertifizierung erhalten haben, und auch die weitere Nutzung bereits gekaufter Router ist unproblematisch. Für neue Modelle können Ausnahmen gewährt werden, wenn sie eine bedingte Genehmigung (Conditional Approval) vom Verteidigungsministerium DoD oder vom Heimatschutzministerium DHS erhalten.

Unterdessen gibt es auch Kritik. Obwohl Salt Typhoon eine chinesischstämmige Gruppe ist, gibt es Fälle, in denen Schwachstellen in Routern des US-Unternehmens Cisco ausgenutzt wurden; zudem wird darauf hingewiesen, dass die FCC keine Belege dafür vorgelegt hat, dass in den USA produzierte Router sicherer seien als im Ausland hergestellte. Kritiker sagen auch, eine wirksame Sicherheitspolitik müsse unabhängig vom Herkunftsland Software-Audits und eine verpflichtende Patch-Zertifizierung für alle Geräte verlangen.

Das Unternehmen, das durch diese Maßnahme am meisten im Fokus steht, ist TP-Link, das in China gegründet wurde, heute seinen Hauptsitz in Irvine, Kalifornien, hat und bereits einer Untersuchung der Trump-Regierung zur nationalen Sicherheit unterliegt. Netgear hingegen verzeichnete nach Bekanntgabe des Verbots im nachbörslichen Handel zeitweise einen Kurssprung von bis zu 16,7 Prozent.