Das Wichtigste in K\u00fcrze<\/b><\/p>\n Das U.S. Cyber Trust Mark ist ein freiwilliges Zertifizierungslabel der Federal Communications Commission (FCC)<\/a> \u2013 der US-Bundesbeh\u00f6rde f\u00fcr Kommunikationsregulierung \u2013 f\u00fcr drahtlose Consumer-IoT-Produkte. Gemeint sind vernetzte Ger\u00e4te f\u00fcr den Haushaltsbereich: intelligente T\u00fcrschl\u00f6sser, Babymonitore, Fitnesstracker, Smart-Speaker, \u00dcberwachungskameras. Wer das Label tragen will, muss sein Produkt durch ein akkreditiertes Testlabor pr\u00fcfen lassen<\/strong> und nachweisen, dass es die Cybersicherheitskriterien des NIST IR 8425<\/a> \u2013 eines Leitfadens des US-amerikanischen Normungsinstituts NIST \u2013 erf\u00fcllt. Dazu geh\u00f6ren eindeutige Ger\u00e4tekennungen, konfigurierbare Sicherheitseinstellungen, Datenschutz, Zugangskontrolle und die F\u00e4higkeit zu Software-Updates \u00fcber die gesamte Produktlebensdauer.<\/p>\n Das Label erscheint zusammen mit einem QR-Code auf der Verpackung. Verbraucher k\u00f6nnen diesen scannen und erhalten Informationen \u00fcber den Sicherheitsstatus des Produkts, den Support-Zeitraum des Herstellers und die Update-Politik. Die Idee ist \u00e4hnlich wie das bekannte Energy-Star-Label \u2013 nur eben nicht f\u00fcr Energieeffizienz, sondern f\u00fcr Cybersicherheit.<\/p>\n Was das Programm von einem G\u00fctesiegel unter vielen unterscheidet: Per Executive Order<\/a> hat zun\u00e4chst die Biden-Regierung \u2013 und danach auch Trump \u2013 festgelegt, dass die US-Bundesregierung ab dem 4. Januar 2027 ausschlie\u00dflich IoT-Ger\u00e4te mit Cyber Trust Mark beschaffen wird.<\/strong> Das US-Bundesbeschaffungswesen hat ein j\u00e4hrliches Volumen von rund 100 Milliarden Dollar im IT-Bereich. Wer diesen Markt bedienen will, kommt am Label nicht vorbei.<\/p>\n Die ioXt Alliance<\/a> ist eine gemeinn\u00fctzige Organisation mit Sitz in Newport Beach, Kalifornien. Sie versteht sich als globaler Standard f\u00fcr IoT-Sicherheit und wurde von Unternehmen wie Google, Amazon, T-Mobile und Comcast mitgegr\u00fcndet. Mit \u00fcber 600 Mitgliedsorganisationen betreibt ioXt ein eigenes Zertifizierungsprogramm f\u00fcr IoT-Ger\u00e4te \u2013 auf Basis von acht Sicherheitsprinzipien, die Ger\u00e4tesicherheit, Update-F\u00e4higkeit und Transparenz abdecken.<\/p>\n Als Lead-Administrator \u00fcbernimmt ioXt nun die operative Steuerung des gesamten Cyber-Trust-Mark-\u00d6kosystems<\/strong>: Sie koordiniert die Cybersecurity Label Administrators (CLAs) \u2013 also die akkreditierten Zertifizierungsstellen \u2013, betreibt das \u00f6ffentliche Ger\u00e4teregister, entwickelt technische Standards und Testverfahren weiter und soll die internationale Anschlussf\u00e4higkeit des Labels vorantreiben. Die FCC begr\u00fcndet die Wahl knapp: ioXt sei eine \u201eunabh\u00e4ngige, US-amerikanische Non-Profit-Organisation, deren Fokus auf der Verbesserung von Sicherheit, Datenschutz und Transparenz von IoT-Produkten liegt.“ Eine detailliertere \u00f6ffentliche Begr\u00fcndung hat Chairman Carr nicht geliefert.<\/p>\n Um zu verstehen, warum ioXt jetzt das Steuer \u00fcbernimmt, muss man die unmittelbare Vorgeschichte kennen. Ende 2024 hatte die Biden-FCC UL Solutions<\/a> \u2013 einen der bekanntesten und \u00e4ltesten amerikanischen Pr\u00fcfkonzerne mit \u00fcber 130 Jahren Geschichte \u2013 als Lead-Administrator ausgew\u00e4hlt. Das Unternehmen hatte bereits einen umfangreichen Stakeholder-Prozess zur Definition der Teststandards angesto\u00dfen und erste Empfehlungen an die FCC \u00fcbergeben.<\/p>\n Doch kaum war Trump im Amt, begann FCC-Chairman Brendan Carr damit, das Programm in Frage zu stellen. Im Juni 2025 best\u00e4tigte Carr \u00f6ffentlich, dass er den FCC-internen Rat f\u00fcr nationale Sicherheit angewiesen hatte, das Programm zu untersuchen. Der Vorwurf: UL Solutions habe ein Joint Venture mit einem chinesischen Staatsunternehmen und betreibe 18 Teststandorte in China<\/a>, davon drei an \u201ebesonders alarmierenden“ Standorten. Im Dezember 2025 zog UL Solutions die Konsequenz und trat zur\u00fcck.<\/p>\n Nicht alle teilten Carrs Einsch\u00e4tzung. Bidens fr\u00fchere Cybersicherheitsberaterin Anne Neuberger widersprach der Untersuchung: UL Solutions k\u00f6nne vertraglich verpflichtet werden, Testungen ausschlie\u00dflich au\u00dferhalb Chinas durchzuf\u00fchren \u2013 und sei schlicht der schnellste und erfahrenste Weg, das Programm zum Laufen zu bringen. Ein ehemaliger Regierungsbeamter nannte die Untersuchung gegen\u00fcber Fachmedien<\/a> schlicht \u201eeinen Witz“.<\/p>\n Wer Brendan Carr verstehen will, muss s einen politischen Hintergrund kennen. Trump ernannte Carr am 20. Januar 2025<\/a> \u2013 dem ersten Tag seiner zweiten Amtszeit \u2013 zum FCC-Chairman. Carr ist kein neutraler Technokrat: Er ist Autor des FCC-Kapitels im Project 2025 der Heritage Foundation<\/a> \u2013 jenem 922-seitigen Regierungsumbauplan der konservativen Denkfabrik, der als Blueprint f\u00fcr Trumps zweite Amtszeit gilt. 16 Mitglieder des US-Kongresses beantragten eine Ethikuntersuchung gegen Carr<\/strong>, weil er seinen offiziellen FCC-Titel f\u00fcr das Verfassen dieses politischen Dokuments genutzt haben soll.<\/p>\n Carrs Amtsf\u00fchrung folgt erkennbar politischen Linien. Beim CPAC 2026 \u2013 der j\u00e4hrlichen Konferenz der amerikanischen Konservativen \u2013 prahlte Carr \u00f6ffentlich<\/a> damit, dass PBS und NPR ihre F\u00f6rderung verloren haben, prominente Journalisten ihre Plattformen verloren haben und CBS unter neuer Eigent\u00fcmerschaft steht \u2013 alles als Erfolge Trumps im Kampf gegen die \u201eFake News Media“. Die FCC, einst als unabh\u00e4ngige Regulierungsbeh\u00f6rde konzipiert, hat das Wort \u201eunabh\u00e4ngig“ von ihrer Website gestrichen.<\/p>\n Der vielleicht auff\u00e4lligste Widerspruch in der Cyber-Trust-Mark-Geschichte: Carr selbst hatte 2024 noch einstimmig f\u00fcr das Programm mit UL Solutions gestimmt.<\/a> Einen Wechsel in seiner Einsch\u00e4tzung begr\u00fcndete er nie \u00f6ffentlich \u2013 au\u00dfer mit dem allgemeinen Verweis auf \u201enationale Sicherheit“.<\/p>\n Noch sch\u00e4rfer tritt ein systemischer Widerspruch zutage: W\u00e4hrend Carr China-Verbindungen als untragbares Sicherheitsrisiko f\u00fcr das IoT-Label wertet, hat die Trump-Regierung gleichzeitig das Cyber Safety Review Board aufgel\u00f6st<\/a><\/strong> \u2013 das Gremium, das f\u00fcr die Untersuchung bedeutender Cybervorf\u00e4lle zust\u00e4ndig war \u2013 und erhebliche Stellen bei der Cybersecurity and Infrastructure Security Agency (CISA) abgebaut. Sicherheitsexperten haben diesen Widerspruch \u00f6ffentlich benannt: Die China-Rhetorik beim Cyber Trust Mark erscheint selektiv, wenn echte Cybersicherheitsstrukturen auf Bundesebene gleichzeitig geschw\u00e4cht werden.<\/p>\n Die Ernennung von ioXt als \u201esichere“ Alternative zu UL Solutions h\u00e4lt einer n\u00e4heren Betrachtung nicht vollst\u00e4ndig stand. Denn auch ioXt hat nachweislich chinesische Hersteller zertifiziert<\/strong> \u2013 darunter Unternehmen, die in Washington bereits als Sicherheitsrisiken diskutiert wurden.<\/p>\n Besonders ins Auge sticht Tuya. Der chinesische IoT-Plattformanbieter, dessen Technologie in Hunderten Millionen vernetzter Haushaltsger\u00e4te weltweit steckt, hat bei ioXt zertifiziert. Bereits 2021 forderten die republikanischen US-Senatoren Marco Rubio, Rick Scott und Tom Cotton Sanktionen gegen Tuya: Als chinesisches Unternehmen sei Tuya nach dem chinesischen Datensicherheitsgesetz verpflichtet, Nutzerdaten auf Anfrage an die chinesische Regierung weiterzugeben<\/a> \u2013 ein Vorwurf, den Tuya bestreitet. Ebenfalls bei ioXt zertifiziert haben Midea \u2013 einer der weltgr\u00f6\u00dften Haushaltsger\u00e4tehersteller mit Hauptsitz in China \u2013 sowie Lenovo.<\/p>\n Sicher, es gibt einen Unterschied zwischen den F\u00e4llen UL Solutions und ioXt: UL wird von der Trump0 Administration als Unternehmen mit direkten chinesischen Gesellschaftsstrukturen verd\u00e4chtig; ioXt ist ein US-Non-Profit, das chinesische Firmen als Kunden hat. Das ist nicht dasselbe. Dennoch bleibt eine Frage offen, die bislang niemand \u00f6ffentlich beantwortet hat: Wie soll ein Sicherheitslabel, das unter anderem von einer Organisation vergeben wird, die Tuya und Midea zertifiziert, chinesischen Einfluss auf US-Netzwerke verhindern \u2013 wenn genau diese Firmen weiterhin das Label erhalten k\u00f6nnen?<\/p>\n F\u00fcr IoT-Hersteller weltweit \u2013 auch f\u00fcr europ\u00e4ische \u2013 sind die Konsequenzen real, auch wenn das Programm noch keine Antr\u00e4ge annimmt. Nicht-US-amerikanische Hersteller k\u00f6nnen das Cyber Trust Mark grunds\u00e4tzlich beantragen<\/a>, sofern sie nicht auf US-Ausschlusslisten stehen \u2013 etwa der DoD-Liste chinesischer Milit\u00e4runternehmen. Wer dort steht, ist vom Programm ausgeschlossen.<\/p>\n Die zentrale Deadline ist der 4. Januar 2027: Ab dann kauft die US-Bundesregierung ausschlie\u00dflich zertifizierte IoT-Ger\u00e4te<\/strong>. Das klingt nach ausreichend Zeit. Ist es aber nicht. Denn das Programm befindet sich nach dem Administratorwechsel faktisch wieder am Anfang eines mehrstufigen Prozesses: ioXt muss zun\u00e4chst Teststandards f\u00fcr mindestens eine Produktkategorie vorschlagen, diese m\u00fcssen eine \u00f6ffentliche Kommentierungsphase durchlaufen, die FCC muss sie genehmigen, danach werden die Testlabore und CLAs akkreditiert \u2013 erst dann k\u00f6nnen Hersteller \u00fcberhaupt Antr\u00e4ge stellen<\/a>. Fachleute hatten schon vor dem Administratorwechsel gewarnt, dass das Programm weit von der Marktreife entfernt war.<\/p>\n Die finanziellen Folgen lassen sich derzeit nicht exakt beziffern \u2013 offizielle Testgeb\u00fchren hat die FCC noch nicht ver\u00f6ffentlicht. Was Branchenexperten aber bereits klar formulieren: Der Aufwand f\u00fcr Implementierung, Compliance-Management und Zertifizierung wird steigen<\/a>, und kleinere Hersteller k\u00f6nnten unter Druck geraten, wenn die Kosten nicht durch F\u00f6rderma\u00dfnahmen abgefedert werden. Hinzu kommt: Zertifiziert wird nicht nur das Ger\u00e4t selbst<\/a>, sondern das gesamte IoT-Produkt inklusive Apps, Cloud-Backend und Gateway \u2013 was den Pr\u00fcfaufwand erheblich erweitert.<\/p>\n Eine gute Nachricht gibt es f\u00fcr europ\u00e4ische Hersteller: Wer bereits den EU Cyber Resilience Act (CRA) erf\u00fcllt<\/a> \u2013 die seit 2024 verbindliche EU-Verordnung f\u00fcr Cybersicherheitsanforderungen an digitale Produkte, mit Pflicht-Compliance ab 2027 \u2013, deckt weite Teile der Cyber-Trust-Mark-Anforderungen bereits ab. Beide Programme basieren auf \u00e4hnlichen Prinzipien: Security by Design, Update-Pflicht \u00fcber den gesamten Lebenszyklus, Schwachstellenmanagement. Wer f\u00fcr den EU-Markt bereits sauber aufgestellt ist, hat einen erheblichen Vorsprung.<\/p>\n\n
Was ist das U.S. Cyber Trust Mark?<\/h3>\n
Wer ist ioXt \u2013 und was macht sie zur neuen Lead-Administratorin?<\/h3>\n
Der Vorg\u00e4nger und sein erzwungener Abgang<\/h3>\n
Brendan Carr: Trumps Mann bei der FCC \u2013 und ein bemerkenswerter Widerspruch<\/h3>\n
Das ioXt-Paradox: Chinesische Mitglieder inklusive<\/h3>\n
Was das f\u00fcr Hersteller bedeutet \u2013 praktisch und zeitlich<\/h3>\n
Fazit: Das richtige Programm, der falsche Prozess<\/h3>\n