Desolate FCC-Vorgabe: „Freedom Router“ für US-Verbraucher

Wie jüngst von der Regulierungsbehörde Federal Communications Commission (FCC) beschlossen wurde, dürfen in den USA neue Router für den Verbrauchermarkt nur noch verkauft werden, wenn sie komplett lokal entwickelt und gefertigt wurden. Die Crux: Es gibt weder Produzenten noch Geräte, die diese Vorgaben erfüllen.

Bereits genehmigte Routermodelle dürfen zwar weiterhin verkauft und vorhandene Exemplare weiter genutzt werden. Sie bekommen aber nur noch bis zum 1. März 2027 Sicherheitsupdates. Als Grund für das umfassende Verbot erklärte die FCC, die ausländischen Verbraucher-Router stellten ein „inakzeptables Risiko für die nationale Sicherheit“ dar.

Made in USA

Dass die Made-in-USA-Vorgaben der FCC unrealistisch sind, zeigt sich schon beim Blick in hiesige Router für Konsumenten. So lässt etwa die Deutsche Telekom ihren Speedport-7-Router von Arcadyan mit Mediatek-Funkchips herstellen, die zugehörigen Repeater namens „WLAN-Verstärker“ mit Qualcomm-WLAN-Bausteinen dagegen bei WNC. Beide Firmen sind in Taiwan beheimatet, betreiben aber nicht nur Fabriken, sondern auch Entwicklungsbüros in China und anderen asiatischen Ländern.

In manch asiatischem Routermodell steckt eine mit heißer Nadel aus Open-Source-Quellen zusammengestrickte Firmware. Dass der Hersteller eine Backdoor in die Firmware einpflanzt, ist zwar nicht unmöglich, aber unwahrscheinlich. Denn dann benötigt die Software womöglich mehr Platz, als der ursprünglich vorgesehene billige Flash-Baustein bietet, vielleicht auch mehr RAM; beides treibt die Kosten und ist gerade angesichts der gestiegenen Speicherpreise unrealistisch.

Unsicher auch ohne Backdoor

Dabei braucht es meist gar keine Backdoor, es genügen die fast im Monatsrhythmus aufpoppenden Lücken, um das Internet mit einem per Botnet ausgelösten Distributed-Denial-of-Service weltweit empfindlich zu stören. Wenn die vorhandenen Router keine Sicherheitsupdates mehr bekommen, stehen die Scheunentore für Schädlinge weit offen. Außerdem: Welche Geheimnisse fänden sich in einem privaten Router, abgesehen von mehr oder weniger nützlichen Metadaten? Der hindurchgehende interessante Verkehr läuft schließlich, schwer knackbar, TLS-geschützt. Deshalb wäre es effizienter, dessen Quelle oder Senke – also den Server beziehungsweise das Endgerät – zu kompromittieren.

Es bleibt das Risiko, dass der private Router als Sprungbrett ins interne Netz dient. Doch auch da ist es effizienter, die Betriebssystem-Monokulturen und Apps zu unterwandern und das Login gleich mit aufzuschnappen.

Hinzu kommt: Die „Freedom-Router“ werden unweigerlich ausnutzbare Bugs haben, denn Programmierer sind Menschen und Menschen machen Fehler. Die Lücken werden womöglich sogar zahlreicher, wenn man die Firmware der KI überantwortet, weil es daheim zu wenig kompetente Entwickler gibt, um wenigstens die KI-Ergebnisse zu prüfen. Wie sich der Graben zwischen Hier-gebaut-Anspruch und Kompetenz-weit-weg überbrücken lässt, verrät die Regulierungsbehörde nicht.

Kritische Ausnahmeanträge

Unternehmen können zwar Ausnahmegenehmigungen für ihre Router beantragen, müssen dabei aber umfassend über Lieferketten und Interna informieren, etwa zu Firmenstruktur, Partnern und Joint Ventures, Eigentümern sowie Management. Sie müssen für jedes einzelne Modell alle Bestandteile des Routers samt Herkunftsland deklarieren, wo es entwickelt, gefertigt und zusammengebaut wird, woher Firmware und Software kommen und vor allem eine Rechtfertigung, warum das Gerät nicht in den USA produziert wird.

Zusätzlich muss jeder Ausnahmebewerber einen „detaillierten, zeitlich verpflichtenden Plan zur Etablierung oder Erweiterung der Produktion in den USA“ für das jeweilige Modell vorlegen, samt bereits ausgegebener und geplanter Investitionssummen, Geldquellen und exakter Zeitreihen sowie Meilensteine. Genehmigungen werden aber nur befristet erteilt.

Abgesehen von der Preisgabe wettbewerbsrelevanter Informationen bleibt fraglich, ob sich dieser Aufwand bei Routern für den Verbrauchermarkt, die in der Regel geringe Margen abwerfen, für die Anbieter überhaupt rechnet.

(uk)