Nachrichten vom Mittwoch, 29.04.2026

Welt

VAE verlassen OPEC zum 1. Mai — Öl über 110 Dollar, Kartell-Architektur unter Druck

Die Vereinigten Arabischen Emirate erklärten am 28. April ihren Austritt aus OPEC und OPEC+ zum 1. Mai. Die VAE sind der drittgrößte OPEC-Produzent (rund 3,3 Millionen Barrel täglich, ca. 12 Prozent der Kartellgesamtmenge) und halten nach Saudi-Arabien die größte Reservekapazität — das Werkzeug, mit dem OPEC Preise steuert. Begründung: Die VAE wollen ihr Ziel von 5 Millionen Barrel täglich bis 2027 ohne Quotenbindung erreichen. Der Zeitpunkt ist strategisch — mit der durch den Iran-Krieg faktisch gesperrten Straße von Hormuz wirkt der Austritt kurzfristig preisgedämpft, das Saudi-Arabien-Führungsprestige leidet dennoch. Der Brentpreis überschritt 110 Dollar.

Quelle: aljazeera.com

Sonstiges

Iran: Islamabad-Gespräche abgebrochen, Trump erklärt Teheran für „im Kollaps"

Die für das Wochenende 26./27. April in Islamabad geplanten Verhandlungen scheiterten, nachdem Trump US-Gesandte kurzfristig abzog. Irans Außenminister Araghchi wies die Schuld zurück: „Übertriebene amerikanische Forderungen" hätten die Gespräche blockiert. Trump erklärte öffentlich, Iran habe mitgeteilt, es befinde sich in einem „Zustand des Kollapses" — eine Aussage, die Teheran umgehend als Erfindung zurückwies. Die Waffenruhe vom 8. April gilt nominal weiter, das Doppelblockade-Status-quo (US-Seeblockade + Hormuz-Sperre durch Iran) bleibt bestehen. Experten sehen die Gesprächspause als taktisch, nicht als Zusammenbruch.

↳ Bezug zum Vortag: Iran bot am 27.4. Hormuz-Öffnung ohne Atom-Kopplung an; Araghchi traf Putin in St. Petersburg; Trump prüfte das Angebot.

Quelle: npr.org

Wem nützt's?

'„Kanzler-Krawall": Warum Merz seinen Vize Klingbeil angebrüllt hat' (NIUS Live, Aufmacher-Serie seit 24.04.)

NIUS hat seit dem 24. April einen bestätigten Koalitionsstreit als laufenden Tagesaufmacher geführt: Bundeskanzler Merz soll SPD-Finanzminister Klingbeil und weitere Kabinettsmitglieder bei einer Koalitionsklausur in der Villa Borsig lautstark angefahren haben — Streitpunkt war die CDU-Forderung nach einem Karenztag (erster Krankheitstag ohne Lohnfortzahlung) und dem Streichen eines Feiertags zur Gegenfinanzierung der Krankenversicherungsreform. Klingbeil bestätigte den Vorfall am 28. April öffentlich. Das Framing „Krawall" und „angebrüllt" dient einer klaren Funktion: Es konstruiert das Bild einer reformblockierenden SPD, während im Hintergrund die größte Krankenkassen-Gesetzgebung der laufenden Legislatur verhandelt wird. NIUS (Betreiber: Ex-Bild-Chefredakteur Julian Reichelt, Axel-Springer-Ökosystem) hat eine publizistisch dokumentierte Nähe zur CDU-Agenda; die Dauerberichterstattung über SPD-Obstruktion erzeugt öffentlichen Druck auf die SPD, strukturell regressive Maßnahmen — Karenztag und Feiertagsstreichung belasten einkommensschwache Vollzeitbeschäftigte überproportional — zu akzeptieren. Der Substanzdiskurs wird verdrängt.

Quelle: youtube.com

Unter dem Radar

EU blockt erstmals Russlands Krypto-Zahlungsschiene: A7A5-Stablecoin (119 Mrd. Dollar Volumen) und Anti-Umgehungs-Instrument gegen Kirgisistan

Sechs Tage nach Inkrafttreten des 20. EU-Sanktionspakets (23. April) arbeiten sich Coindesk und Chainalysis durch dessen Kernmechanismus — und der ist strukturell anders als alle vorherigen Pakete. Erstmals blockiert die EU direkt den A7A5-Stablecoin (ein staatlich geduldetes digitales Zahlungsmittel, das russische Unternehmen seit 2022 für internationale Transaktionen nutzen, um den SWIFT-Ausschluss zu umgehen) mit einem bislang verarbeiteten Volumen von 119,7 Milliarden Dollar. Parallel aktivierte die EU erstmals ihr Anti-Umgehungs-Instrument gegen ein ganzes Land: Kirgisistan, weil eine dortige Kryptobörse A7A5 im Großmaßstab handelt. Das Paradigma verschiebt sich: Statt nur namentlich gelistete Entitäten zu sperren, behandelt die EU nun die gesamte Umgehungsarchitektur als sanktionierbar — Gegenpartei-Netzwerke, Abrechnungs-Ökosysteme, Drittstaaten-Infrastruktur. Für europäische Compliance-Abteilungen bedeutet das erhöhten Prüfaufwand. In DE/AT/CH-Medien läuft das Paket als „neue Russland-Sanktionen" durch; der strukturelle Bruch in der Sanktionslogik findet kaum Resonanz.

Quelle: coindesk.com

Security & Privacy

CVE-2026-34197 Apache ActiveMQ: 13 Jahre alter RCE aktiv ausgenutzt — CISA-Patchfrist läuft morgen ab

CISA hat CVE-2026-34197 in Apache ActiveMQ (weit verbreiteter Messaging-Broker für asynchrone Dienst-zu-Dienst-Kommunikation in Unternehmensinfrastruktur) in den Known-Exploited-Vulnerabilities-Katalog aufgenommen; US-Bundesbehörden müssen bis 30. April patchen. Der Fehler liegt in der Jolokia-API (HTTP-basierte Management-Schnittstelle zur JVM-Fernsteuerung): Ein Angreifer kann sie missbrauchen, um eine präparierte Remote-Konfigurationsdatei zu laden und damit beliebige OS-Kommandos auszuführen (RCE). Auf Versionen 6.0.0–6.1.1 ist keine Authentifizierung nötig; auf anderen Versionen genügen Standardzugangsdaten „admin:admin". Shadowserver zählt 6.364 öffentlich erreichbare verwundbare Instanzen. Gepatchte Versionen: 5.19.5 und 6.2.3 — sofort aktualisieren. Kuriosum: Horizon3-Forscher Naveen Sunkavally entdeckte den 13 Jahre alten Bug mit Hilfe von Claude als KI-Code-Review-Partner.

Quelle: theregister.com

Sonstiges

CVE-2026-32202 Windows Shell: APT28 nutzt NTLM-Credential-Leak aktiv aus — April-Patch sofort einspielen

Microsoft bestätigte am 27. April aktive Ausnutzung von CVE-2026-32202, einer Spoofing-Schwachstelle im Windows Shell. Angriffspfad: Eine präparierte LNK-Verknüpfungsdatei zwingt Windows zur automatischen SMB-Verbindung zu einem angreifer-kontrollierten Server; dabei überträgt Windows den Net-NTLMv2-Hash des angemeldeten Nutzers (Credential-Hash, der offline geknackt oder direkt für Relay-Angriffe — Weiterleiten des Hash zur Authentifizierung an anderen Servern — missbraucht werden kann). Zurückzuführen auf einen unvollständigen Patch für CVE-2026-21510, der bereits von APT28 (Russlands Militärgeheimdienst GRU) gegen Ukraine und EU-Länder eingesetzt wurde. CVSS 4.3 unterschätzt die praktische Gefährdung erheblich. Fix liegt im April-Patch-Tuesday bereit.

Quelle: thehackernews.com

Sonstiges

CVE-2026-25874 Hugging Face LeRobot: Ungepatchte unauthentifizierte RCE in Robotik-KI-Framework — CVSS 9.3

Hugging Faces quelloffenes LeRobot-Framework (rund 24.000 GitHub-Sterne), das KI-Modelle für physische Robotersysteme ausführt, enthält eine ungepatchte Remote-Code-Execution-Lücke. Drei gRPC-Endpunkte des internen PolicyServers (ein Dienst, der Inferenz-Aufgaben an GPU-Hardware delegiert) deserialisieren eingehende Daten über Pythons unsichere `pickle.loads()`-Funktion, ohne TLS-Verschlüsselung oder Authentifizierung. Ein Angreifer mit Netzwerkzugang kann einen präparierten Pickle-Payload (serialisierter Python-Code, der beim Laden sofort ausgeführt wird) senden und damit beliebige Kommandos mit Rechten des Servers ausführen — in Umgebungen mit Roboteranbindung auch mit Auswirkung auf physische Systeme. Betroffen bis einschließlich Version 0.4.3; Fix erst in 0.6.0 geplant, noch nicht erschienen. Bis dahin: PolicyServer nicht aus dem LAN exponieren, Netzwerkzugang einschränken.

Quelle: thehackernews.com

Natur & Umwelt

Santa Marta: Konferenz schließt mit Forderung nach rechtlich verbindlichem Fossile-Energie-Ausstiegsinstrument

Die erste Staatenkonferenz zum geordneten Ausstieg aus fossilen Energieträgern schloss heute in Santa Marta, Kolumbien, mit einer Schlusserklärung. Eine High-Ambition-Koalition innerhalb der 53 vertretenen Länder (plus EU) forderte formal die Verhandlung eines neuen internationalen Rechtsinstruments für einen gerechten Fossile-Energie-Ausstieg — außerhalb des UN-Klimarahmenkonventionsprozesses (UNFCCC). Das ist strukturell relevant: Bisherige Ausstiegsverpflichtungen entstehen ausschließlich über den COP-Prozess, der Einstimmigkeit erfordert und damit durch Öl- und Gasstaaten blockierbar ist. Ein paralleles Koalitionsinstrument, vergleichbar dem Ottawa-Vertrag zu Landminen (1997), wäre ein Präzedenzfall. Die Erklärung soll als Verhandlungsgrundlage für COP30 in Belém eingebracht werden. Konkrete Commitment-Zeitpläne — das eigentliche Maß des Erfolgs — fehlen noch.

↳ Bezug zum Vortag: Ministerielle Phase begann gestern; 53 Länder + EU vertreten, USA absent; kein formales Verhandlungsmandat — Koalitionsaufbau als Ziel.

Quelle: fossilfueltreaty.org