U.S. Cyber Trust Mark: Neue Zertifizierungsaufsicht, alte Fragen – Was IoT-Hersteller jetzt wissen müssen

Die FCC hat mit der ioXt Alliance eine neue Zertifizierungsaufsicht (Lead-Administrator) für das U.S. Cyber Trust Mark ernannt, das IoT-Sicherheitslabel, das ab 2027 für alle Lieferanten von US-Bundesbehörden verpflichtend wird. Der Schritt klingt nach einem Neustart. Doch wer die Vorgeschichte kennt, erkennt ein Muster, das weniger mit Cybersicherheit zu tun hat als mit Washingtons Innenpolitik.

Was ist das U.S. Cyber Trust Mark?

Das U.S. Cyber Trust Mark ist ein freiwilliges Zertifizierungslabel der Federal Communications Commission (FCC) – der US-Bundesbehörde für Kommunikationsregulierung – für drahtlose Consumer-IoT-Produkte. Gemeint sind vernetzte Geräte für den Haushaltsbereich: intelligente Türschlösser, Babymonitore, Fitnesstracker, Smart-Speaker, Überwachungskameras. Wer das Label tragen will, muss sein Produkt durch ein akkreditiertes Testlabor prüfen lassen und nachweisen, dass es die Cybersicherheitskriterien des NIST IR 8425 – eines Leitfadens des US-amerikanischen Normungsinstituts NIST – erfüllt. Dazu gehören eindeutige Gerätekennungen, konfigurierbare Sicherheitseinstellungen, Datenschutz, Zugangskontrolle und die Fähigkeit zu Software-Updates über die gesamte Produktlebensdauer.

Das Label erscheint zusammen mit einem QR-Code auf der Verpackung. Verbraucher können diesen scannen und erhalten Informationen über den Sicherheitsstatus des Produkts, den Support-Zeitraum des Herstellers und die Update-Politik. Die Idee ist ähnlich wie das bekannte Energy-Star-Label – nur eben nicht für Energieeffizienz, sondern für Cybersicherheit.

Was das Programm von einem Gütesiegel unter vielen unterscheidet: Per Executive Order hat zunächst die Biden-Regierung – und danach auch Trump – festgelegt, dass die US-Bundesregierung ab dem 4. Januar 2027 ausschließlich IoT-Geräte mit Cyber Trust Mark beschaffen wird. Das US-Bundesbeschaffungswesen hat ein jährliches Volumen von rund 100 Milliarden Dollar im IT-Bereich. Wer diesen Markt bedienen will, kommt am Label nicht vorbei.

Wer ist ioXt – und was macht sie zur neuen Lead-Administratorin?

Die ioXt Alliance ist eine gemeinnützige Organisation mit Sitz in Newport Beach, Kalifornien. Sie versteht sich als globaler Standard für IoT-Sicherheit und wurde von Unternehmen wie Google, Amazon, T-Mobile und Comcast mitgegründet. Mit über 600 Mitgliedsorganisationen betreibt ioXt ein eigenes Zertifizierungsprogramm für IoT-Geräte – auf Basis von acht Sicherheitsprinzipien, die Gerätesicherheit, Update-Fähigkeit und Transparenz abdecken.

Als Lead-Administrator übernimmt ioXt nun die operative Steuerung des gesamten Cyber-Trust-Mark-Ökosystems: Sie koordiniert die Cybersecurity Label Administrators (CLAs) – also die akkreditierten Zertifizierungsstellen –, betreibt das öffentliche Geräteregister, entwickelt technische Standards und Testverfahren weiter und soll die internationale Anschlussfähigkeit des Labels vorantreiben. Die FCC begründet die Wahl knapp: ioXt sei eine „unabhängige, US-amerikanische Non-Profit-Organisation, deren Fokus auf der Verbesserung von Sicherheit, Datenschutz und Transparenz von IoT-Produkten liegt.“ Eine detailliertere öffentliche Begründung hat Chairman Carr nicht geliefert.

Der Vorgänger und sein erzwungener Abgang

Um zu verstehen, warum ioXt jetzt das Steuer übernimmt, muss man die unmittelbare Vorgeschichte kennen. Ende 2024 hatte die Biden-FCC UL Solutions – einen der bekanntesten und ältesten amerikanischen Prüfkonzerne mit über 130 Jahren Geschichte – als Lead-Administrator ausgewählt. Das Unternehmen hatte bereits einen umfangreichen Stakeholder-Prozess zur Definition der Teststandards angestoßen und erste Empfehlungen an die FCC übergeben.

Doch kaum war Trump im Amt, begann FCC-Chairman Brendan Carr damit, das Programm in Frage zu stellen. Im Juni 2025 bestätigte Carr öffentlich, dass er den FCC-internen Rat für nationale Sicherheit angewiesen hatte, das Programm zu untersuchen. Der Vorwurf: UL Solutions habe ein Joint Venture mit einem chinesischen Staatsunternehmen und betreibe 18 Teststandorte in China, davon drei an „besonders alarmierenden“ Standorten. Im Dezember 2025 zog UL Solutions die Konsequenz und trat zurück.

Nicht alle teilten Carrs Einschätzung. Bidens frühere Cybersicherheitsberaterin Anne Neuberger widersprach der Untersuchung: UL Solutions könne vertraglich verpflichtet werden, Testungen ausschließlich außerhalb Chinas durchzuführen – und sei schlicht der schnellste und erfahrenste Weg, das Programm zum Laufen zu bringen. Ein ehemaliger Regierungsbeamter nannte die Untersuchung gegenüber Fachmedien schlicht „einen Witz“.

Brendan Carr: Trumps Mann bei der FCC – und ein bemerkenswerter Widerspruch

Wer Brendan Carr verstehen will, muss s einen politischen Hintergrund kennen. Trump ernannte Carr am 20. Januar 2025 – dem ersten Tag seiner zweiten Amtszeit – zum FCC-Chairman. Carr ist kein neutraler Technokrat: Er ist Autor des FCC-Kapitels im Project 2025 der Heritage Foundation – jenem 922-seitigen Regierungsumbauplan der konservativen Denkfabrik, der als Blueprint für Trumps zweite Amtszeit gilt. 16 Mitglieder des US-Kongresses beantragten eine Ethikuntersuchung gegen Carr, weil er seinen offiziellen FCC-Titel für das Verfassen dieses politischen Dokuments genutzt haben soll.

Carrs Amtsführung folgt erkennbar politischen Linien. Beim CPAC 2026 – der jährlichen Konferenz der amerikanischen Konservativen – prahlte Carr öffentlich damit, dass PBS und NPR ihre Förderung verloren haben, prominente Journalisten ihre Plattformen verloren haben und CBS unter neuer Eigentümerschaft steht – alles als Erfolge Trumps im Kampf gegen die „Fake News Media“. Die FCC, einst als unabhängige Regulierungsbehörde konzipiert, hat das Wort „unabhängig“ von ihrer Website gestrichen.

Der vielleicht auffälligste Widerspruch in der Cyber-Trust-Mark-Geschichte: Carr selbst hatte 2024 noch einstimmig für das Programm mit UL Solutions gestimmt. Einen Wechsel in seiner Einschätzung begründete er nie öffentlich – außer mit dem allgemeinen Verweis auf „nationale Sicherheit“.

Noch schärfer tritt ein systemischer Widerspruch zutage: Während Carr China-Verbindungen als untragbares Sicherheitsrisiko für das IoT-Label wertet, hat die Trump-Regierung gleichzeitig das Cyber Safety Review Board aufgelöst – das Gremium, das für die Untersuchung bedeutender Cybervorfälle zuständig war – und erhebliche Stellen bei der Cybersecurity and Infrastructure Security Agency (CISA) abgebaut. Sicherheitsexperten haben diesen Widerspruch öffentlich benannt: Die China-Rhetorik beim Cyber Trust Mark erscheint selektiv, wenn echte Cybersicherheitsstrukturen auf Bundesebene gleichzeitig geschwächt werden.

Das ioXt-Paradox: Chinesische Mitglieder inklusive

Die Ernennung von ioXt als „sichere“ Alternative zu UL Solutions hält einer näheren Betrachtung nicht vollständig stand. Denn auch ioXt hat nachweislich chinesische Hersteller zertifiziert – darunter Unternehmen, die in Washington bereits als Sicherheitsrisiken diskutiert wurden.

Besonders ins Auge sticht Tuya. Der chinesische IoT-Plattformanbieter, dessen Technologie in Hunderten Millionen vernetzter Haushaltsgeräte weltweit steckt, hat bei ioXt zertifiziert. Bereits 2021 forderten die republikanischen US-Senatoren Marco Rubio, Rick Scott und Tom Cotton Sanktionen gegen Tuya: Als chinesisches Unternehmen sei Tuya nach dem chinesischen Datensicherheitsgesetz verpflichtet, Nutzerdaten auf Anfrage an die chinesische Regierung weiterzugeben – ein Vorwurf, den Tuya bestreitet. Ebenfalls bei ioXt zertifiziert haben Midea – einer der weltgrößten Haushaltsgerätehersteller mit Hauptsitz in China – sowie Lenovo.

Sicher, es gibt einen Unterschied zwischen den Fällen UL Solutions und ioXt: UL wird von der Trump0 Administration als Unternehmen mit direkten chinesischen Gesellschaftsstrukturen verdächtig; ioXt ist ein US-Non-Profit, das chinesische Firmen als Kunden hat. Das ist nicht dasselbe. Dennoch bleibt eine Frage offen, die bislang niemand öffentlich beantwortet hat: Wie soll ein Sicherheitslabel, das unter anderem von einer Organisation vergeben wird, die Tuya und Midea zertifiziert, chinesischen Einfluss auf US-Netzwerke verhindern – wenn genau diese Firmen weiterhin das Label erhalten können?

Was das für Hersteller bedeutet – praktisch und zeitlich

Für IoT-Hersteller weltweit – auch für europäische – sind die Konsequenzen real, auch wenn das Programm noch keine Anträge annimmt. Nicht-US-amerikanische Hersteller können das Cyber Trust Mark grundsätzlich beantragen, sofern sie nicht auf US-Ausschlusslisten stehen – etwa der DoD-Liste chinesischer Militärunternehmen. Wer dort steht, ist vom Programm ausgeschlossen.

Die zentrale Deadline ist der 4. Januar 2027: Ab dann kauft die US-Bundesregierung ausschließlich zertifizierte IoT-Geräte. Das klingt nach ausreichend Zeit. Ist es aber nicht. Denn das Programm befindet sich nach dem Administratorwechsel faktisch wieder am Anfang eines mehrstufigen Prozesses: ioXt muss zunächst Teststandards für mindestens eine Produktkategorie vorschlagen, diese müssen eine öffentliche Kommentierungsphase durchlaufen, die FCC muss sie genehmigen, danach werden die Testlabore und CLAs akkreditiert – erst dann können Hersteller überhaupt Anträge stellen. Fachleute hatten schon vor dem Administratorwechsel gewarnt, dass das Programm weit von der Marktreife entfernt war.

Die finanziellen Folgen lassen sich derzeit nicht exakt beziffern – offizielle Testgebühren hat die FCC noch nicht veröffentlicht. Was Branchenexperten aber bereits klar formulieren: Der Aufwand für Implementierung, Compliance-Management und Zertifizierung wird steigen, und kleinere Hersteller könnten unter Druck geraten, wenn die Kosten nicht durch Fördermaßnahmen abgefedert werden. Hinzu kommt: Zertifiziert wird nicht nur das Gerät selbst, sondern das gesamte IoT-Produkt inklusive Apps, Cloud-Backend und Gateway – was den Prüfaufwand erheblich erweitert.

Eine gute Nachricht gibt es für europäische Hersteller: Wer bereits den EU Cyber Resilience Act (CRA) erfüllt – die seit 2024 verbindliche EU-Verordnung für Cybersicherheitsanforderungen an digitale Produkte, mit Pflicht-Compliance ab 2027 –, deckt weite Teile der Cyber-Trust-Mark-Anforderungen bereits ab. Beide Programme basieren auf ähnlichen Prinzipien: Security by Design, Update-Pflicht über den gesamten Lebenszyklus, Schwachstellenmanagement. Wer für den EU-Markt bereits sauber aufgestellt ist, hat einen erheblichen Vorsprung.

Fazit: Das richtige Programm, der falsche Prozess

Ein Cybertrust-Label ist grundsätzlich richtig und wichtig. 31 Prozent der Enterprise-IoT-Käufer nennen Cybersicherheit als größtes Hindernis für die IoT-Adoption – ein branchenweiter Standard mit staatlicher Rückendeckung könnte genau hier ansetzen. Die Idee, mit dem Hebel der Bundesbeschaffung einen Marktstandard zu etablieren, ist erprobt und funktioniert. Energy Star gilt als eine der erfolgreichsten öffentlich-privaten Partnerschaften der US-Geschichte und steht aktuell durch die Trump-Regierung vor der möglichen Abschaffung. Das schließt einen unfreiwillig ironischen Kreis: Dieselbe Regierung, die das Cyber Trust Mark als Marktstandard via Beschaffungspflicht etablieren will, erwägt gleichzeitig, das bislang erfolgreichste Beispiel dieses Mechanismus einzustellen.

Was das Programm belastet, ist nicht seine Substanz, sondern seine politische Behandlung. Ein FCC-Chairman, der für ein Programm stimmt, es dann aus politischen Gründen blockiert, einen neuen Administrator ohne detaillierte Begründung ernennt und gleichzeitig echte Cybersicherheitsstrukturen auf Bundesebene schwächt – das hinterlässt Fragen, die mit dem Schlagwort „nationale Sicherheit“ allein nicht beantwortet sind. Die Ernennung von ioXt löst das Problem chinesischer Verbindungen nicht grundsätzlich, solange dieselben chinesischen Hersteller, die in Washington als Sicherheitsrisiken gelten, über ioXt weiterhin zertifiziert werden können.

Für IoT-Hersteller – in Europa wie weltweit – lautet die praktische Botschaft dennoch: Nicht auf Klarheit warten. Die Deadline steht, der politische Wille, das Programm durchzusetzen, ist parteiübergreifend vorhanden – Trump hat Bidens Executive Order übernommen. Wer jetzt mit der CRA-Compliance beginnt oder sie abschließt, legt gleichzeitig das Fundament für die US-Zertifizierung. Zeit ist der knappste Faktor in diesem Prozess.