Deutscher IT-Fachmann untersucht einen Netzwerk-Router im Serverraum

USA verbannt ausländische Router: Was müssen deutsche Unternehmen jetzt wissen und tun?

Anna Anna SchmidtIT-Sicherheit
4 Min. Lesezeit 24. März 2026

Die US-Behörde FCC hat am 23. März 2026 alle ausländisch produzierten Consumer-Router auf ihre „Covered List" gesetzt — eine Liste von Produkten, die als unakzeptables Sicherheitsrisiko für die nationale Infrastruktur der USA eingestuft werden. Praktisch bedeutet das: Kein neues Router-Modell von TP-Link, ASUS, D-Link, Netgear oder Linksys darf künftig in den USA verkauft werden. Was bedeutet das für deutsche Unternehmen?

Was hat die FCC entschieden?

Am 23. März 2026 aktualisierte die Federal Communications Commission (FCC) ihre offizielle „Covered List" und schloss erstmals alle Consumer-Router ausländischer Hersteller ein. Damit ist die Einfuhr, Vermarktung und der Verkauf neuer Modelle in den USA ohne spezielle Ausnahmegenehmigung des Verteidigungsministeriums und des Heimatschutzministeriums verboten.

Hintergrund sind staatlich unterstützte chinesische Cyberangriffe — bekannt unter den Codenamen „Volt Typhoon", „Flax Typhoon" und „Salt Typhoon" — die gezielt Schwachstellen in handelsüblichen Heimnetzwerkrouten genutzt haben, um kritische US-Infrastruktur anzugreifen. TP-Link allein hält nach Bloomberg-Angaben rund ein Drittel des US-Konsumentenmarkts für Router.

Bereits autorisierte Geräte dürfen weiter betrieben werden. Neue Modelle benötigen eine konditionelle Genehmigung, für die noch kein einziges Gerät zugelassen wurde.

Warum ist das für Deutschland relevant?

Auf den ersten Blick wirkt die FCC-Entscheidung wie ein rein amerikanisches Problem. Für deutsche Unternehmen und IT-Verantwortliche gibt es jedoch drei konkrete Implikationen:

1. Lieferketteneffekte auf dem europäischen Markt

Die großen Router-Hersteller produzieren primär für den US-Markt. Wenn TP-Link und ASUS ihre Produktionslinien umstrukturieren oder aus dem Markt aussteigen müssen, entstehen Engpässe, die auch Europa treffen — besonders im SMB-Segment (Small and Medium Business), wo asiatische Hersteller dominieren.

2. Signal für europäische Regulierung

Die FCC-Entscheidung könnte als Modell für die EU dienen. In Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) die zuständige Behörde. Das BSI hat im Rahmen der NIS-2-Richtlinie (in Kraft seit Dezember 2025) bereits die Anforderungen an Netzwerksicherheit für „wichtige" und „wesentliche" Einrichtungen deutlich verschärft. Eine ähnliche Reglementierung von Consumer-Routern ist nicht ausgeschlossen.

3. Compliance-Risiko für Unternehmen mit US-Niederlassungen

Deutsche Unternehmen, die auch in den USA tätig sind oder dort IT-Infrastruktur betreiben, müssen ihre Router-Bestände prüfen. Betrieb eines auf der Covered List stehenden neuen Geräts in den USA kann nach US-Recht als Compliance-Verstoß gewertet werden.

Was sollten IT-Verantwortliche jetzt prüfen?

Die FCC-Entscheidung liefert einen konkreten Anlass, die eigene Netzwerksicherheitsstrategie zu überdenken — unabhängig davon, ob Ihr Unternehmen in den USA tätig ist:

Router-Inventar: Welche Router-Modelle sind im Unternehmensnetzwerk im Einsatz? Stammen sie von Herstellern, die auf der FCC-Covered-List stehen?

Firmware-Status: Sind alle Geräte mit aktueller Firmware versorgt? Das BSI empfiehlt regelmäßige Updates als Mindestschutz gegen bekannte Schwachstellen.

Netzwerksegmentierung: Sind IoT-Geräte, Heimarbeit-Router und Unternehmensinfrastruktur sauber getrennt? Viele Volt-Typhoon-Angriffe nutzten schlecht gesicherte Consumer-Geräte als Einstiegspunkt in Unternehmensnetze.

Incident-Response-Plan: Falls ein Gerät kompromittiert wird — gibt es einen dokumentierten Reaktionsplan? NIS-2 schreibt für betroffene Unternehmen verpflichtende Meldepflichten vor.

Welche Router sind sicherer?

Die FCC-Entscheidung betrifft Consumer-Geräte. Im Business-Bereich gelten Cisco, Juniper, Fortinet und Palo Alto Networks als sicherere Alternativen — sie produzieren entweder in den USA oder unterliegen strengeren Sicherheitszertifizierungen. Das BSI führt eine Liste empfohlener Produkte für den gewerblichen Einsatz.

Für Heimarbeitsplätze und kleinere Unternehmen ist die Lage komplizierter: Günstige Consumer-Router sind oft schlecht gegen Angriffe gehärtet. Eine professionelle Sicherheitsbewertung der eingesetzten Geräte lohnt sich — besonders wenn Mitarbeitende im Homeoffice auf Unternehmensdaten zugreifen.

Welche Rechtsgrundlage gilt in Deutschland?

In Deutschland regelt das IT-Sicherheitsgesetz 2.0 (2021) in Verbindung mit der NIS-2-Umsetzung die Pflichten für Unternehmen im Bereich Netzwerksicherheit. Das BSI kann bei unzureichend gesicherten Systemen Anordnungen erlassen. Unternehmen, die als „kritische Infrastruktur" eingestuft sind, tragen besondere Verantwortung.

Laut dem BSI-Lagebericht 2024 sind kompromittierte Netzwerkgeräte — darunter Router — nach wie vor einer der häufigsten Einstiegspunkte für Cyberangriffe auf deutsche Unternehmen.

Was ist mit Geräten, die bereits im Einsatz sind?

Wichtig zu verstehen: Die FCC-Maßnahme gilt für neue Modelle, nicht für Geräte, die bereits zugelassen und im Betrieb sind. Bestehende TP-Link- oder ASUS-Router in Deutschland müssen nicht sofort ausgetauscht werden. Allerdings empfehlen IT-Sicherheitsexperten grundsätzlich, die Lebensdauer von Netzwerkgeräten zu begrenzen: Hersteller stellen nach einigen Jahren den Software-Support ein, und veraltete Firmware ist ein bekanntes Einfallstor für Angreifer.

Die FCC macht in ihren offiziellen FAQ deutlich: Das Risiko liegt nicht in einem spezifischen Hersteller allein, sondern in der fehlenden Kontrolle über Firmware-Updates und möglichen Hardware-Hintertüren bei Geräten, die ohne US-Aufsicht entwickelt wurden. Dieses Argument gilt auch jenseits der US-Grenzen.

Szenarien für deutsche IT-Abteilungen

Je nach Unternehmensgröße und -struktur ergeben sich unterschiedliche Handlungsbedarfe:

  • Kleines Unternehmen mit Homeoffice-Mitarbeitenden: Prüfen, welche privaten Router im Einsatz sind; VPN-Pflicht und regelmäßige Firmware-Updates einführen
  • Mittelständisches Unternehmen mit eigenem Netzwerk: Inventar aller Netzwerkgeräte anlegen; BSI-Grundschutz-Empfehlungen umsetzen; NIS-2-Status klären
  • Großunternehmen mit US-Niederlassungen: Compliance-Prüfung für alle in den USA betriebenen Geräte; Beschaffungsprozesse anpassen, neue Modelle betroffener Hersteller für den US-Betrieb stoppen

Jetzt ist der richtige Zeitpunkt für eine IT-Sicherheitsprüfung

Die FCC-Entscheidung vom 23. März 2026 ist kein isoliertes US-Ereignis — sie ist Teil einer globalen Neuausrichtung der Netzwerksicherheitspolitik. Für deutsche IT-Verantwortliche bedeutet das: Die Frage, welche Router und Netzwerkgeräte im Einsatz sind, ist keine rein technische, sondern auch eine regulatorische und haftungsrechtliche Frage.

Wer jetzt eine professionelle Bewertung vornimmt, ist besser vorbereitet — sowohl auf mögliche Nachfolgeregulierungen in der EU als auch auf die immer gezielteren Angriffe auf Netzwerkinfrastruktur.

Ein IT-Sicherheitsexperte kann Ihr Netzwerk auf potenzielle Schwachstellen analysieren, NIS-2-Compliance prüfen und konkrete Empfehlungen für sicherere Alternativen geben — bevor ein Angriff passiert, nicht danach.

Unsere Experten

Vorteile

Schnelle und präzise Antworten auf alle Ihre Fragen und Hilfsanfragen in über 200 Kategorien.

Tausende von Nutzern haben eine Zufriedenheit von 4,9 von 5 für die Beratung und Empfehlungen unserer Assistenten erhalten.

Expert Zoom

Wie funktioniert es?Wer sind unsere Experten?ZeitschriftNachrichten

Business

Für Unternehmen

Kontaktieren Sie uns

E-Mail
Folgen Sie uns
DatenschutzbestimmungenNutzungsbedingungen