USA erweitern das Router-Verbot

Inhaltsverzeichnis

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Seit März verbieten die USA nicht im Inland hergestellte, neue Routermodelle für den Verbrauchermarkt. Weil das gar keine wären, gibt es Ausnahmegenehmigungen. Einige wurden so flott erteilt, dass kaum vorstellbar ist, dass die offiziellen Voraussetzungen eingehalten wurden. Unterdessen weitet die Regulierungsbehörde FCC (Federal Communications Commission) den Umfang des Verbotes aus, schafft aber neue Unklarheiten.

Im Zentrum des US-Verbots steht eine geheime Feststellung nicht namentlich genannter US-Geheimdienste, wonach „consumer-grade routers” ein inakzeptables Risiko für die Nationale Sicherheit der Vereinigten Staaten oder die Sicherheit von US-Personen darstellten. In einer veröffentlichten Zusammenfassung wird auf IT-Angriffe verwiesen, die über Router gelaufen sind – allesamt über ausländische Router, da es inländische laut Definition ja nicht gibt. Bereits zugelassene Modelle dürfen weiter genutzt und verkauft werden. Ihre Software und Firmware darf nur noch bis 1. März aktualisiert werden, und das auch nur zu Sicherheits- oder Kompatibilitätszwecken.

Der Teufel steckt im Detail, und die FCC hat zentrale Fragen unbeantwortet gelassen. Vergangene Woche hat die Behörde Antworten auf bestimmte häufig gestellte Fragen (FAQ) veröffentlicht. Mehrfach geht es dabei um des Pudels Kern: Was genau ist ein „consumer-grade router”, und was nicht? Denn eine Liste gibt es ausdrücklich nicht.

Ausweitung auf Router für KMU

Eine kleine Tabelle bei der 24. von 25 FAQ überrascht mit der Angabe, dass sowohl „consumer” als auch „small and medium-sized business routers” erfasst sind. Das ist neu und widerspricht der Antwort auf Frage 8 „How are routers defined?”. Denn dort verweist die Behörde, so wie bisher, auf Sicherheitsvorschläge des Normierungsinstituts NIST (National Institute of Standards and Technology’s Internal Report 8425A), die sich auf „consumer-grade networking devices that are primarily intended for residential use and can be installed by the customer” beziehen – also „Vernetzungsgeräte für den Verbrauchermarkt, die in erster Linie für den Einsatz in Haushalten gedacht sind und vom Verbraucher installiert werden können.”

Solche Geräte werden durchaus auch von kleinen Unternehmen genutzt; doch sind „business routers” eben etwas anderes als „consumer” Router, die auch von Nicht-Verbrauchern verwendet werden. Sollte man meinen.

Wenigstens stellt die Tabelle klar, dass Handys mit WLAN-Hotspots nicht vom Verbot erfasst sind – reine Datenmodems für Mobilfunk aber sehr wohl, seien sie stationär oder mobil (beispielsweise mit WLAN-Hotspot). Ein technischer Grund für diese Differenzierung ist nicht ersichtlich. Kabelmodems mit Router fallen ebenso unter das Verbot wie vom ISP oder einem Profi in Haushalten installierte Router. Ausgenommen sind jedoch winzige Mobilfunkzellen (femtocells), Glasfaserterminals, und analoge Telefonadapter mit Ethernet-Buchse.

Was ist erfasst?

Wohl händeringend hat der Autor der 25. Frage nach einer Richtschnur gesucht: Gibt es eine Liste von Indikatoren, einen Test aller Umstände, oder Ebenen-basierte Kriterien unabhängig von NIST IR 8425A, die festlegen, ob ein Gerät ein consumer-grade router” ist? Antwort: „Nein.” Wieder verweist die FCC auf NIST IR 8425A, diesmal auf dessen Anhang C. Damit sind alle Klarheiten beseitigt.

Denn Anhang C befasst sich vorwiegend damit, wie Router in Verkehr gelangen (Spoiler: Kauf oder Miete!). Ansonsten erzählt er wenig Neues, wenn er ausführt, dass „consumer-grade” Geräte in Haushalten gefunden werden können, und dass ihr primärer Zweck der Einsatz dortselbst ist, nicht für „enterprise, industrial, etc.”, aber dass auch kleine Unternehmen consumer-grade Geräte verwenden könnten. Dazu kommt die Anmerkung, dass Hersteller von consumer-grade Geräten nicht annehmen können, dass der Nutzer über Expertise im Bereich IT-Sicherheit verfügt, oder in der Lage ist, signifikante Maßnahmen zur Absicherung des Produkts zu treffen.

Es folgen Verweise auf vier Dokumente Dritter: Zwei von Branchenverbänden und je eines der Regulierungsbehörde Singapurs und des deutschen Bundesamts für Sicherheits in der Informationstechnik (BSI TR-03148). Von diesen Vieren schließt nur Singapur vom Internet Provider gemietete Router von den Sicherheitsvorschlägen aus. Die Sicherheitsvorschläge dieser vier Gremien spielen für die FCC oder die Ausnahmegenehmigungen aber wiederum keine Rolle.

Braucht es Funk oder nicht? Was ist „Made in USA”?

Grundsätzlich müssen auch Router ohne Funkmodul von der FCC genehmigt werden und fallen daher unter das Verbot. Auch die NIST-Defintion, auf die die FCC zur Definition des Begriffs „consumer-grade router” verweist, erfordert kein Funkmodul.

Nichtsdestotrotz sorgt die FCC hier für weitere Verwirrung: Frage 9 möchte klären, was genau „hergestellt im Ausland” bedeutet, vielleicht gibt es ja eine Prozentregelung? Zunächst verweist die FCC wieder auf die Zusammenfassung der geheimen Feststellung nicht genannter Geheimdienst: “Production generally includes any major stage of the process through which the device is made including manufacturing, assembly, design, and development.” Also jeder wichtige Schritt, Entwurf, Entwicklung, Herstellung und Zusammenbau, müssen in den USA erfolgen, um dem Verbot zu entgehen.

Geprüft wird das allerdings nicht. Wer um FCC-Genehmigung ansucht, darf/muss selbst bestätigen, dass sein Router nicht im Ausland produziert worden ist. In einem weiteren Satz erwähnt die FCC, dass Antragsteller selbst bestätigen müssen, dass ihre Funkmodule nicht im Ausland produziert worden sind.

Frage 15 macht die Desorientierung komplett: Demnach macht der Einbau im Ausland hergestellter Komponenten einen Router noch nicht zum im Ausland hergestellten Router – es sei denn, das Funkmodul fällt unter eines der FCC-Verbote. Das bezieht sich jedenfalls auf Komponenten der chinesischen Marken Huawei, ZTE, Hytera Communications, Hangzhou Hikvision Digital Technology und Dahua Technology. Aber so eng kann das nicht gemeint sein, denn diese Firmen stehen schon seit über fünf Jahren auf der Verbotsliste. Wären nur sie gemeint, hätte die Behörde gar kein allgemeines Routerverbot erlassen müssen. Es scheint, dass das Routerverbot in selbstreferenzieller Weise eingreift und alle mit im Ausland hergestellten Funkmodulen ausgestatteten consumer-grade (and small and medium-size business) Router zu verbotenen Routern macht.

Gleichzeitig kann man nicht davon ausgehen, dass die Herkunft der übrigen Teile oder der Software der Behörde egal ist. Schließlich sind ja auch Softwareupdates für bereits genehmigte Geräte grundsätzlich verboten. Und die für das Verbot als Argumentation bemühten IT-Angriffe sind nicht über Hintertüren ausländischer Funkmodule erfolgt, sondern über zum Teil lange bekannte Softwarebugs. Welche oder wie viele ausländische Komponenten toleriert werden, bevor ein Router zum verpönten ausländischen Gerät wird, bleibt im Dunkeln.

Nationalität egal

Immerhin sagt die FCC, dass es auf die Nationalität des Herstellers nicht ankommt, gleichwohl die Anträge auf Ausnahmegenehmigung umfangreiche Offenlegung enthalten müssen. Dennoch reicht es ausdrücklich nicht, das Gerät in den USA entwickeln („to design”) zu lassen oder in den USA herstellen („manufacture”) zu lassen – beides muss in den USA erfolgen, um nicht unter das Verbot zu fallen und eine Ausnahmegenehmigung erforderlich zu machen.

Die Ausnahmegenehmigung muss entgegen dem ursprünglichen Verständnis nicht für jedes einzelne Modell beantragt werden: Der Antrag kann auch für eine Produktreihe oder alle Modelle eines Antragstellers erfolgen. Und das muss nicht unbedingt der Hersteller sein; auch Entwickler sowie Internet Service Provider (ISP), die ihren Kunden Router aushändigen, dürfen solche Anträge stellen.

Kleine Mengen verbotener Router dürfen für Entwicklungszwecke importiert, dann aber nicht vermarktet werden. Ansonsten ist die Einfuhr verbotener Router untersagt – es sei denn, der Import erfolgt für oder durch eine Bundesbehörde. Diese dürfen weiterhin ausländische Router, die die Nationale Sicherheit oder die Sicherheit von US-Personen gefährden, importieren, erwerben und einsetzen.

3 flinke Ausnahmen

Sowohl das Verteidigungsministerium als auch das Ministerium für Heimatschutz dürfen Ausnahmegenehmigungen ausstellen. Wer eine hat, darf bei der FCC um Genehmigung für seine Routermodelle ansuchen.

Bereits am 14. April, also nur gut drei Wochen nach dem plötzlichen Erlass des Routerverbots, sind die ersten beiden Ausnahmegenehmigungen erteilt worden: Netgear hat sie für jeweils mehrere Modellreihen der Nighthawk- und Orbi-Familie sowie für Kabelmodems und -gateways erwirkt. Adtrans hat sich seine Service Delivery Gateways genehmigen lassen. Warum, ist unklar, denn laut Adntrans’ eigener Presseaussendung handelt es sich dabei um ein „carrier-grade router portfolio”, was ja eigentlich keiner Ausnahmegenehmigung bedürfte.

Beide Ausnahmen gelten bis 1. Oktober 2027. Vorige Woche hat auch Amazon.com eine Erlaubnis erhalten, die bis Ende Oktober 2027 für mehrere Modellreihen der Marke eero sowie Router für Amazons zukünftigen Satelliteninternetdienst gilt.

Laut offiziellen Vorgaben sind die Hürden für Ausnahmegenehmigungen hoch. Viele wettbewerbsrelevante Angaben und Rechtfertigungen sind notwendig, Sicherheitspälne oder gar -prüfungen jedoch nicht. Stattdessen muss jeder Ausnahmewerber einen "detaillierten, zeitlich verpflichtenden Plan zur Etablierung oder Erweiterung der Produktion in den USA" vorlegen. Geplante Investitionssummen, Geldquellen und exakte Zeitreihen und Meilensteine sind erforderlich. Was Netgear, Adtrans und Amazon dabei versprochen haben, ist nicht veröffentlicht.

(ds)