Die US-amerikanische Federal Communications Commission (FCC) hat ihre Covered List deutlich ausgeweitet und erstmals einen ganzen Gerätesektor erfasst: nahezu alle Consumer-Router, die ganz oder teilweise im Ausland entwickelt oder produziert werden. Damit werden Heimrouter offiziell als potenzielles Risiko für die nationale Sicherheit eingestuft – mit weitreichenden Folgen für Hersteller, Unternehmen und Privatanwender.
Neue FCC-Vorgaben: Von der Covered List zum Conditional Approval
Anders als frühere Versionen der Covered List, die sich vor allem auf konkrete Hersteller und Modelle fokussierten, nimmt die aktualisierte Regelung nun einen gesamten Gerätetyp ins Visier. Betroffen sind Router, die außerhalb der USA entworfen, montiert oder gefertigt werden – auch wenn sie unter einer US-Marke verkauft werden. In der Praxis trifft dies den überwiegenden Teil des Marktes, da die Produktion von Netzwerktechnik stark in Asien konzentriert ist.
Bereits für den US-Markt zugelassene Modelle werden nicht sofort verboten. Für sie gilt ein Übergangszeitraum bis zum 1. März 2027. Bis dahin dürfen Hersteller Sicherheitsupdates, Firmware-Patches und technischen Support bereitstellen. Danach dürfen neue, im Ausland produzierte Router nur noch eingeführt oder verkauft werden, wenn sie ein „Conditional Approval“ des US-Verteidigungsministeriums (DoD) oder des Heimatschutzministeriums (DHS) erhalten.
Für dieses Conditional Approval müssen Unternehmen nachweisen, warum eine kurzfristige Verlagerung der Fertigung in die USA nicht möglich ist, und zugleich einen glaubwürdigen Plan zur mittelfristigen Lokalisierung der Produktion vorlegen. Damit wird Supply-Chain-Security von einer freiwilligen Best Practice zu einer regulatorisch durchsetzbaren Anforderung.
Warum Heimrouter als Risiko für die nationale Sicherheit gelten
Router sind der zentrale Verkehrsknotenpunkt jeder IP-basierten Kommunikation. Wer die Router-Firmware kompromittiert, kontrolliert faktisch den Datenstrom: Angreifer können Traffic mitschneiden, manipulieren, persistente Backdoors einbauen, Geräte in Botnetze einbinden oder als verdeckte Sprungbrettsysteme für weitere Angriffe nutzen.
US-Behörden verweisen insbesondere auf Cyberkampagnen wie Volt Typhoon, Flax Typhoon und Salt Typhoon. Diese Gruppen, die westliche Nachrichtendienste chinesischen Akteuren zuordnen, sollen gezielt Router im Unternehmens- und Infrastrukturbereich übernommen haben, um langfristige, schwer erkennbare Zugänge zu Netzen der Energieversorgung, Telekommunikation und des Transportwesens aufzubauen. Consumer- und SOHO-Router fungierten dabei als scheinbar harmlose „Trittsteine“ in sensiblere Netzwerksegmente.
Die FCC betont darüber hinaus das übergeordnete Problem der Vertrauenswürdigkeit globaler Lieferketten. Jeder Schritt – vom Chipdesign über das PCB-Layout bis zur Endmontage – kann theoretisch zur Einschleusung manipulierter Komponenten genutzt werden, insbesondere wenn Fertigung und Zulieferer in Staaten mit abweichenden rechtlichen und sicherheitspolitischen Standards sitzen.
Ausnahmen, Marktfolgen und drohende Innovationsbremse
Nach Berichten aus Branchenkreisen fallen praktisch alle gängigen Heimrouter in den USA unter die neuen Regeln. Ein auffälliges Ausnahmebeispiel ist derzeit der Starlink-Wi‑Fi-Router, der laut Anbieter vollständig in Texas produziert wird. Dies verdeutlicht das zentrale Ziel der Politik: die Reduzierung der Abhängigkeit von ausländischer Fertigung und der Aufbau inländischer Kapazitäten.
Analysten warnen vor einem möglichen „Einfrieren“ des Consumer-Router-Marktes. Da der Übergangszeitraum bis 2027 läuft, ist zu erwarten, dass viele Hersteller ihre bestehenden Hardwareplattformen möglichst lange strecken. Der Aufbau neuer Fertigungen in den USA erfordert mehrere Jahre, hohe CAPEX-Investitionen und einen tiefen Umbau der Lieferketten. Kurz- bis mittelfristig könnten weniger Modellvielfalt, langsamere Innovation und höhere Endpreise die Folge sein.
Gleichzeitig könnte sich der Markt konsolidieren: Große Netzwerkanbieter, die über die finanziellen und organisatorischen Ressourcen verfügen, Fertigungskapazitäten in den USA aufzubauen oder zuzukaufen, erhalten einen strukturellen Vorteil. Kleinere und mittlere Hersteller riskieren, den Zugang zu einem der wichtigsten Absatzmärkte der Welt zu verlieren.
Reaktionen der Industrie und geopolitischer Kontext
Hersteller wie TP-Link und Netgear reagieren bislang betont konstruktiv. TP-Link spricht von der Unterstützung „einheitlicher Regeln für alle Marktteilnehmer“ und kündigt Planungen für US-Standorte an. Netgear verweist auf bestehende Investitionen in Sicherheit und Transparenz der Lieferkette und signalisiert Bereitschaft, die neuen Vorgaben umzusetzen.
Beobachter erinnern zugleich an einen besonderen Kontext: Bereits 2014 wurde bekannt, dass US-Geheimdienste Lieferungen von Netzwerktechnik – etwa von Cisco – abfingen und mit eigener Spionagesoftware versahen. Heute begründet Washington die Einschränkung ausländischer Hardware mit genau der Gefahr, dass staatliche Akteure Backdoors in der Lieferkette platzieren. Die aktuelle FCC-Politik ist damit auch Ausdruck eines breiteren Trends zur technologischen Souveränität, wie er in der US-Sicherheitsstrategie verankert ist.
Konsequenzen für Unternehmen und Anwender: Router-Sicherheit aktiv managen
Für Organisationen und Endnutzer macht die Entscheidung der FCC deutlich, dass physische Netzwerkhardware ein sicherheitskritischer Faktor ist – nicht nur Software, Passwörter und Policies. Selbst gut gehärtete Systeme bleiben verwundbar, wenn die Transportebene unterhalb der Anwendung kompromittiert werden kann.
Praktisch empfiehlt es sich, bereits jetzt:
1. Bestandsaufnahme durchzuführen: Welche Router-Modelle sind im Einsatz, wie alt sind sie, wo wurden sie gefertigt, welche Firmwarestände laufen?
2. Firmware- und Supportstrategie zu prüfen: Sind zeitnahe Sicherheitsupdates verfügbar, werden CVEs transparent kommuniziert, existieren EOL-Roadmaps?
3. Lieferketten-Transparenz einzufordern: Unternehmen sollten von Herstellern Informationen zu Fertigungsstandorten, Code-Audits, Secure-Boot-Konzepten und Signaturprüfungen von Firmware verlangen.
4. Beschaffungsrichtlinien anzupassen: Neue Router-Projekte – insbesondere in kritischen Infrastrukturen – sollten Trusted-Supply-Chain-Kriterien, signierte Firmware-Updates und langfristigen Support vertraglich festschreiben.
Die verschärften FCC-Regeln sind ein deutliches Signal: Router-Sicherheit ist kein Randthema mehr, sondern Teil der nationalen und unternehmerischen Resilienzstrategie. Wer frühzeitig Inventur macht, Sicherheitsstandards erhöht und Lieferketten kritisch hinterfragt, reduziert nicht nur regulatorische Risiken, sondern stärkt auch nachhaltig die eigene Cyberabwehr.
