FCC verbietet Import ausländischer Consumer-Router: Sicherheitsmaßnahme oder doch nur Industriepolitik?

Die FCC hat den Import neuer ausländischer Consumer-Router verboten – offiziell aus Sicherheitsgründen. Doch wer genauer hinschaut, erkennt: Die Maßnahme bekämpft das falsche Problem. Und für IoT-Nutzer ändert sich vorerst wenig – bis der nächste Router fällig wird.

Keine FCC-Zulassung mehr für ausländische Router

Am 23. März 2026 hat die Federal Communications Commission (FCC) – die US-Regulierungsbehörde für Telekommunikation – ihre sogenannte „Covered List“ aktualisiert. Diese Liste erfasst Geräte und Dienste, die als inakzeptables Sicherheitsrisiko für die nationale Infrastruktur gelten. Neu darauf: alle Consumer-Router ausländischer Produktion. Neue Modelle erhalten damit keine FCC-Zulassung mehr und dürfen weder importiert noch in den USA verkauft werden.

Bestehende Geräte sind vom Verbot ausgenommen – wer einen Router bereits besitzt, darf ihn weiter nutzen. Auch bereits zugelassene Modelle können Händler noch verkaufen, solange der Vorrat reicht. Das Verbot trifft ausschließlich neue Gerätezulassungen ab dem Stichtag.

Entscheidend ist dabei, wie die FCC „Produktion“ definiert: Laut den offiziellen FAQ der Behörde zählt jede wesentliche Produktionsstufe – also nicht nur die Montage, sondern auch Design und Entwicklung. Das bedeutet: Auch amerikanische Marken wie Netgear, Google Nest oder Amazon Eero fallen unter das Verbot, wenn Kernschritte ihrer Produktion im Ausland stattfinden. Consumer-Router sind dabei besonders relevant, weil sie als Gateway, also als Zugangs- und Vermittlungspunkt, für alle Geräte im Heimnetz fungieren. Wer den Router kontrolliert, kontrolliert potenziell das gesamte Netzwerk dahinter: von Smartphones über Smart-Home-Geräte bis zu vernetzten Haushaltsgeräten.

Die offizielle Begründung

Die FCC stützt sich auf eine Einschätzung einer behördenübergreifenden Arbeitsgruppe des Weißen Hauses. Ausländisch produzierte Router stellten eine Lieferkettenschwachstelle dar und seien ein Angriffsziel für staatlich gesteuerte Hackergruppen. Namentlich genannt werden die chinesischen Gruppen Volt, Salt und Flax Typhoon, die in den vergangenen Jahren Router-Schwachstellen für Angriffe auf US-Infrastruktur genutzt haben sollen. China kontrolliert laut Reuters rund 60 Prozent des Consumer-Router-Markts – der implizite Adressat der Maßnahme ist damit klar, auch wenn die Regel formal alle Auslandsproduktion trifft.

Besonders im Blickfeld steht TP-Link, einer der weltgrößten Router-Hersteller. Das Unternehmen wurde in China gegründet, hat seinen Hauptsitz inzwischen nach Irvine, Kalifornien, verlegt und produziert heute überwiegend in Vietnam. Gegen TP-Link laufen bereits seit 2024 Untersuchungen der US-Regierung wegen möglicher Verbindungen zu chinesischen Behörden.

Der Starlink-Widerspruch

Als einziger Anbieter ist Starlink, der Satelliten-Internetdienst von SpaceX, faktisch von der Regel ausgenommen, weil seine Router in Bastrop, Texas, montiert werden. Doch dieser Ausnahme liegt ein grundlegender Widerspruch zugrunde: Starlink bezieht seine Chips unter anderem von STMicroelectronics, einem europäisch-amerikanischen Halbleiterhersteller, sowie Komponenten aus Taiwan und Vietnam. Die Montage findet in den USA statt, die Lieferkette ist international.

Laut den FCC-FAQ ist für die Ausnahme ausreichend, dass die Montage in den USA erfolgt und der Hersteller „ausreichende Nachweise“ dafür erbringt. Wer jedoch Lieferkettensicherheit als eigentliches Ziel benennt, kann schwerlich die Montage als alleiniges Kriterium akzeptieren – während Chips, Platinen und Bauteile weiterhin aus denselben Ländern stammen dürfen, die man andernorts als Sicherheitsrisiko eingestuft hat.

Was Sicherheitsexperten sagen

Die Skepsis unter Fachleuten ist groß. Jason Soroko, Senior Fellow beim Zertifizierungsspezialisten Sectigo, bringt das Kernproblem auf den Punkt: Router-Kompromittierungen hätten selten mit dem Herstellungsort zu tun. Die eigentlichen Risiken seien operativer Natur – Standard-Zugangsdaten, fehlende Firmware-Updates, exponierte Management-Schnittstellen. Diese Schwachstellen träfen auf Geräte unabhängig davon, wo sie produziert wurden.

Das bestätigt ein konkretes Beispiel: Salt Typhoon, eine der von der FCC namentlich zitierten chinesischen Hackergruppen, nutzte bei ihren Angriffen auf US-Infrastruktur nachweislich Schwachstellen in Routern von Cisco – einem US-amerikanischen Hersteller.

Noch anschaulicher zeigt es das Botnet KadNap, über das WeSpeakIoT ebenfalls berichtete: Über 14.000 Router wurden gekapert – überwiegend Geräte des taiwanischen Herstellers Asus. Der Angriff nutzte dabei nicht den Herstellungsort als Einfallstor, sondern ungepatchte Schwachstellen in der AiCloud-Fernzugriffsfunktion sowie aktivierte Remote-Management-Schnittstellen, die Nutzer schlicht nicht deaktiviert hatten. Der Herstellungsort war irrelevant. Entscheidend war, dass niemand die Firmware aktualisiert hatte.

Symptomatisch ist auch, was das FCC-Genehmigungsverfahren für Ausnahmen verlangt: Hersteller müssen einen detaillierten Plan zur US-Produktion vorlegen, nicht aber einen Plan zur Verbesserung der Gerätesicherheit.

Markt und praktische Folgen

Die Reaktionen der Hersteller fallen erwartbar unterschiedlich aus. Netgear, mit Hauptsitz in den USA, begrüßt das Verbot und betont seine Tradition sicherheitsorientierter Entwicklung. TP-Link gibt sich pragmatisch: Da nun alle Hersteller gleichermaßen betroffen seien, werde die gesamte Branche unter die Lupe genommen – was das Unternehmen als positiven Schritt wertet. Asus erklärt, das bestehende Produktportfolio sei nicht betroffen.

Praktisch bedeutet das für Verbraucher: Wer jetzt noch einen zugelassenen Router kaufen möchte, sollte nicht zu lange warten. Sobald die Lagerbestände aufgebraucht sind, dürfte das Angebot knapper und teurer werden. Orientiert man sich am vergleichbaren Drohnen-Verbot vom Dezember 2025, ist mit einer Wartezeit von rund drei Monaten zu rechnen, bevor erste Hersteller eine Conditional Approval – also eine behördliche Ausnahmegenehmigung – erhalten. Zum jetzigen Zeitpunkt hat noch kein Router-Hersteller eine solche Genehmigung.

Fazit

Der Router ist das Herzstück jedes vernetzten Heims, und tatsächlich ein lohnendes Angriffsziel. Insofern ist das Anliegen der FCC nachvollziehbar. Doch die gewählte Maßnahme adressiert das falsche Problem. Weder Salt Typhoon noch KadNap haben Geräte angegriffen, weil sie in China oder Taiwan gefertigt wurden. Sie haben Geräte angegriffen, die niemand gepflegt hat.

Was tatsächlich helfen würde: verpflichtende Sicherheitsstandards für alle Router unabhängig ihrer Herkunft, automatische Firmware-Updates als Standardfunktion, und ein Ende der Praxis, Geräte ohne Updateversorgung auf den Markt zu bringen. Stattdessen verlangt das FCC-Genehmigungsverfahren einen Produktionsplan für US-Fabriken – aber keinen Sicherheitsplan.

Am Ende könnte die Maßnahme sogar kontraproduktiv sein: Weniger Wettbewerb, höhere Preise und ein eingefrorener Markt sind kein fruchtbarer Boden für bessere Sicherheit. Das Herkunftsland eines Routers schützt niemanden vor einem Angreifer, der eine ungepatchte Schwachstelle ausnutzt.