Nachrichten vom Montag, 04.05.2026

Welt

„Project Freedom": US-Marine startet heute Geleitschutz durch Hormuz — Iran droht mit Waffenstillstandsbruch

Trump verkündete am Sonntag auf Truth Social die Operation „Project Freedom": Die US-Marine beginnt ab Montag damit, Handelsschiffe durch die seit dem Kriegsausbruch am 28. Februar faktisch blockierte Straße von Hormuz zu begleiten. Im Einsatz sind gelenkte Zerstörer, über 100 sea- und landgestützte Flugzeuge sowie rund 15.000 Militärangehörige; Schiffen werden minenfreie Korridore kommuniziert — kein klassischer Konvoi-Eskorte in Formation, sondern Routing-Unterstützung mit militärischer Präsenz. Iran reagierte noch am selben Tag: Ein ranghoher Offizieller erklärte, jede US-Einmischung in der Meerenge werde als Verletzung des seit 8. April geltenden Waffenstillstands gewertet. Der Schiffsverkehr durch Hormuz ist seit Kriegsbeginn um über 90 Prozent eingebrochen; rund 20 Prozent der weltweiten Erdöllieferungen und ein Fünftel des globalen LNG-Handels (Flüssigerdgas, tiefgekühlt für Schiffstransport) laufen normalerweise durch die Meerenge.

↳ Bezug zum Vortag: Hormuz-Blockade als struktureller Hintergrund der EU-Zölle/Truppenabzug-Meldungen; VAE-OPEC-Austritt mit dem Hinweis, dass die Emirate ihre Mehrkapazität bei blockierter Meerenge nicht exportieren können.

Quelle: axios.com

Sonstiges

Iran reicht 14-Punkte-Friedensplan ein — Trump: „Kann mir nicht vorstellen, dass er annehmbar ist"

Iran übergab am 30. April über den pakistanischen Vermittler Außenminister Ishaq Dar einen 14-Punkte-Plan an die USA: Kernpunkte sind ein sofortiges Ende aller Kampfhandlungen einschließlich Libanon, die Wiederöffnung der Straße von Hormuz für zivile Schifffahrt sowie ein Aufschub detaillierter Atomprogramm-Verhandlungen auf eine spätere Phase. Trump äußerte am Samstag, er prüfe den Plan, „kann mir aber nicht vorstellen, dass er annehmbar sein wird." Erschwerend: Irans Abgeordneter Mahmud Nabavian nannte öffentlich drei nicht verhandelbare „rote Linien" — Hormuz-Durchfahrt, Urananreicherung, Abzug angereicherten Materials — die sich direkt mit US-Minimalforderungen überschneiden. Pakistan hält seine Vermittlerrolle aufrecht; eine Rückkehr zu aktiven Kampfhandlungen gilt bei Scheitern bis Ende Mai als wahrscheinlichstes Szenario.

Quelle: cnbc.com

Unter dem Radar

GRFC 2026: 318 Millionen in akuter Hungerkrise — Hormuz-Düngemittelschock trifft Ernte 2026 mit sechs Monaten Versatz

Der globale Jahresbericht über Nahrungsmittelkrisen (GRFC 2026, veröffentlicht Ende April von FAO, WFP und 16 Partnerorganisationen) dokumentiert 318 Millionen Menschen in 68 Ländern auf IPC-Krisenebene 3 oder schlechter — doppelt so viele wie vor der COVID-Pandemie, 41 Millionen davon in der schwersten Kategorie „Katastrophe". Erstmals in der zehnjährigen Geschichte des Berichts wurden gleichzeitig zwei aktive Hungersnöte bestätigt (Gaza-Streifen und Sudan). Was in der deutschen Kriegsberichterstattung fast vollständig fehlt: Der Hormuz-Effekt auf die Düngemittelmärkte — rund ein Drittel der weltweiten Stickstoffdünger-Vorläufer (Ammoniak, Urea) werden über den Golf transportiert; die Weltbank meldete für März 2026 einen Urea-Preisanstieg von fast 46 Prozent gegenüber Februar. Da Nahrungsmittelpreise dem Düngemitteleinkauf mit drei bis sechs Monaten Verzögerung folgen und Ernteberichte erst im zweiten Halbjahr 2026 eintreffen, ist die politische Destabilisierungswelle in vulnerablen Importländern noch nicht eingepreist.

Quelle: un.org

Tech & Open Source

CVE-2026-3854: RCE in GitHub Enterprise Server via einzelnen git-push — 88 Prozent der Instanzen zum Offenlegungszeitpunkt ungepatcht

Forscher von Wiz entdeckten am 4. März 2026 eine Command-Injection-Lücke (Einschleusen von Betriebssystembefehlen durch manipulierte Eingabedaten) in babeld, GitHubs internem Git-Proxy: Push-Optionen — Schlüssel-Wert-Paare, die bei jedem `git push` übertragen werden — wurden ohne Bereinigung von Sonderzeichen in einen semikolon-getrennten internen Header kopiert. Ein Angreifer mit einem Standard-Git-Client kann damit beliebigen Code auf GitHub-Backend-Servern ausführen. GitHub.com selbst war noch am Entdeckungstag gepatcht; der Fix für GitHub Enterprise Server (GHES) folgte am 10. März als Version 3.19.3. Bei öffentlicher Offenlegung am 28. April waren noch 88 Prozent aller erreichbaren GHES-Instanzen auf einer verwundbaren Version. CVSS-Score: 8,7 (Hoch). Wer GHES betreibt: sofort auf 3.19.3 oder neuer updaten.

Quelle: wiz.io

Security & Privacy

CVE-2026-41940: cPanel/WHM-Authentication-Bypass seit Februar ausgenutzt — 1,5 Millionen öffentlich erreichbare Server, CVSS 9,8

Eine CRLF-Injection-Schwachstelle (Einschleusen von Zeilenumbruchzeichen, die ein Dienst fälschlicherweise als Steuerzeichen interpretiert) in cPanel & WHM erlaubte es unauthentifizierten Angreifern, Zeilen in eine Pre-Authentifizierungs-Sitzungsdatei zu schreiben — darunter `user=root` und `hasroot=1`. Beim Neu-Einlesen durch den cpsrvd-Daemon entstanden daraus vollwertige Root-Sitzungen, die Passwort- und 2FA-Prüfung vollständig umgingen. CVSS-Score: 9,8 (Kritisch). Shodan zählt rund 1,5 Millionen öffentlich erreichbare cPanel-Instanzen; CISA hat CVE-2026-41940 in den KEV-Katalog aufgenommen. Nachgewiesene Exploitation läuft mindestens seit 23. Februar 2026. cPanel veröffentlichte den Patch am 28. April; Instanzen, die länger ungepatcht öffentlich erreichbar waren, sind als potenziell kompromittiert einzustufen.

Quelle: helpnetsecurity.com

Sonstiges

CVE-2026-31431 „Copy Fail": CISA nimmt Linux-LPE in KEV-Katalog auf — aktive Ausnutzung in freier Wildbahn bestätigt

Die US-Cybersicherheitsbehörde CISA hat CVE-2026-31431 „Copy Fail" offiziell als aktiv ausgenutzte Schwachstelle in ihren Known-Exploited-Vulnerabilities-Katalog (KEV) aufgenommen. Für US-Bundesbehörden gilt damit eine verbindliche Patch-Deadline; für alle anderen Organisationen ist der KEV-Eintrag das stärkste öffentliche Signal zur Priorisierung.

↳ Bezug zum Vortag: Copy Fail ist eine lokale Privilege-Escalation (LPE — lokale Rechteausweitung auf Root) im Linux-Kernel seit 2017 via AF_ALG + splice(); Ubuntu-Patch verfügbar; Workaround: `echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf` ohne Neustart wirksam.

Quelle: thehackernews.com

Forschung

Quantenteleportation zwischen Quantenpunkten über 270 Meter Freiluft — 82 Prozent Fidelität, Meilenstein für künftige Quantennetzwerke

Forschende der Universität Sapienza Rom haben erstmals den Quantenzustand eines einzelnen Photons — konkret seinen Polarisationszustand (die „Schwingungsrichtung" des Lichtquants) — zwischen zwei räumlich getrennten Quantenpunkten (nanometerkleine Halbleiterstrukturen, die als Sender- und Empfängerknoten in Quantennetzwerken fungieren können) über eine 270 Meter lange Freiluft-Verbindung zwischen zwei Gebäuden teleportiert. Erreichte Teleportationsgüte (Fidelität): 82 ± 1 Prozent — mehr als 10 Standardabweichungen über dem klassischen Grenzwert von 66 Prozent, ab dem Quantenüberlegenheit gilt. GPS-gestützte Synchronisation und ultraschnelle Einzelphotonen-Detektoren kompensierten atmosphärische Turbulenzen. Das Experiment liefert den bisher stärksten Nachweis, dass unabhängige Quantenpunkt-Geräte als Repeater-Knoten in abhörsicheren Quantennetzwerken einsetzbar sind. Beteiligt waren u. a. die Johannes-Kepler-Universität Linz (Quantenpunkt-Fertigung) und die Universität Würzburg. Veröffentlicht in Nature Communications.

Quelle: sciencedaily.com