Auf einen Blick
Substack Datenleck: In der Community kursiert eine Substack-Mitteilung, wonach Dritte E‑Mail-Adressen und teils Telefonnummern gesehen haben könnten. Für deutsche Nutzer steigt damit das Risiko für KI‑gestütztes, perfekt personalisiertes Phishing (Mail, SMS, WhatsApp) und Kontoübernahmen. So härtest du Login, Nummer und Recovery ab.
Das Wichtigste
- Eine von Nutzer:innen geteilte Substack-Mitteilung nennt als betroffene Daten E‑Mail-Adressen, Telefonnummern und „interne Metadaten“; als Zeitraum werden „Oktober 2025“ (Zugriff) und „03. Februar 2026“ (Entdeckung) genannt.
- Laut derselben, in der Community zitierten Mitteilung seien Passwörter und Zahlungsdaten nicht betroffen – eine unabhängige, öffentlich einsehbare Forensik liegt dazu bislang nicht vor.
- Für Betroffene in Deutschland ist vor allem das Folge-Risiko relevant: Smishing/WhatsApp-Scams, Fake‑Support und SIM‑Swap lassen sich mit KI extrem schnell und glaubwürdig skalieren.
Einleitung
Wenn dein Posteingang plötzlich eine „Substack‑Sicherheitswarnung“ ausspuckt oder dich „der Support“ per SMS auf einen Link drängt, ist das kein Zufall: Schon die Kombination aus E‑Mail-Adresse und Telefonnummer reicht, um dich sehr präzise zu treffen. Genau deshalb ist das Thema Substack Datenleck für deutsche Nutzer gerade jetzt brisant – selbst dann, wenn keine Passwörter geleakt wurden.
Was neu ist
Aktuell gibt es keine öffentlich zugängliche, detaillierte technische Abschlussanalyse von Substack, die Umfang und Ursache des Vorfalls eindeutig dokumentiert. Was sich belastbar sagen lässt: In der Substack-Community wird eine Mitteilung zitiert, laut der ein Dritter im Oktober 2025 Zugriff auf bestimmte Systeme hatte und Substack dies am 03. Februar 2026 erkannt habe. Genannt werden als potenziell betroffene Daten E‑Mail-Adressen, teils Telefonnummern sowie „interne Metadaten“. Gleichzeitig wird in derselben Mitteilung (wie von Nutzer:innen wiedergegeben) betont, dass Passwörter und Zahlungsdaten nicht betroffen seien.
Wichtig für deinen Faktencheck: Wir haben keine unabhängige Bestätigung gefunden, dass ein Datensatz bereits öffentlich verbreitet wird. Für Angreifer ist aber schon ein „nicht öffentlicher“ Abfluss wertvoll – weil er in gezielten Kampagnen gegen einzelne Personen oder Newsletter-Communities genutzt werden kann.
Was das für dich bedeutet
Für Deutschland/Europa ist die Gefahr sehr konkret: E‑Mail + Telefonnummer sind der Rohstoff für Smishing (SMS‑Phishing), WhatsApp‑Betrug, Fake‑Support‑Chats und im schlimmsten Fall SIM‑Swap‑Angriffe. Mit generativer KI wird das leichter skalierbar: Betrüger können fehlerfreie deutsche Texte, personalisierte Betreffzeilen („Dein Newsletter: Auszahlung/Verifizierung“) und überzeugende Support‑Dialoge in Masse produzieren.
Typische Angriffsmuster, die du jetzt erwarten solltest: (1) „Account gesperrt“ + Link/QR‑Code, (2) „Zahlung fehlgeschlagen“ + „Daten aktualisieren“, (3) „Support ruft zurück“ + Bitte um Einmalcode, (4) „Neue Login‑Aktivität“ + gefälschte Bestätigungsseite.
Deine Kurz‑Checkliste (10 Minuten, hoher Effekt):
• Passwortmanager nutzen und ein einzigartiges, langes Passwort für Substack setzen (kein Recycling).
• 2FA/MFA aktivieren, falls angeboten. Wenn du die Wahl hast: App‑basierte Codes sind meist robuster als SMS.
• Login‑Alerts und Sicherheitsmails prüfen: Kommt etwas Unerwartetes, gehe nicht über den Link, sondern tippe die Adresse manuell ein.
• Vorsicht bei Links und QR‑Codes in Mails/SMS/WhatsApp – besonders, wenn Zeitdruck aufgebaut wird.
• Mobilfunk-Account absichern: Bei deinem Anbieter nach zusätzlicher Kundenkennzahl/Portierungs‑ bzw. SIM‑Schutz fragen (Begriffe unterscheiden sich je nach Provider). Das reduziert SIM‑Swap‑Risiko.
• Warnzeichen für Fake‑Support: Forderung nach Einmalcodes, Fernzugriff-Apps, Krypto‑Zahlung, oder „Wir müssen nur kurz dein Gerät verifizieren“.
DSGVO-Einordnung (nur Orientierung, keine Rechtsberatung): In der EU gelten Daten wie E‑Mail und Telefonnummer als personenbezogen. Unternehmen müssen bei Datenschutzvorfällen je nach Risiko u. a. Behörden und Betroffene informieren (Art. 33/34 DSGVO). Du hast außerdem Betroffenenrechte (z. B. Auskunft), die du im Zweifel gegenüber dem Anbieter geltend machen kannst.
Wie es weitergeht
Entscheidend ist, ob Substack eine offizielle, detaillierte Incident‑Info nachlegt: Umfang (wie viele Konten, welche Felder), Ursache (z. B. Integration/API/Vendor), und welche Maßnahmen dauerhaft greifen. Für dich heißt das bis dahin: Behandle die Kombination aus E‑Mail und Telefonnummer als „angezielt“, erhöhe die Wachsamkeit bei Support‑Anfragen und sichere insbesondere den Recovery‑Pfad (Mailkonto + Mobilfunkkonto). Wenn du Creator bist oder Newsletter verwaltest, lohnt sich zusätzlich ein Check, ob ungewöhnliche Logins, Export‑Downloads oder Änderungen an Zahlungs-/Kontaktinformationen sichtbar sind.
Fazit
Beim Substack Datenleck sind die öffentlich bestätigten Details derzeit begrenzt – aber das ändert nichts am praktischen Risiko: Kontakt- und Metadaten reichen für sehr überzeugende, KI‑skalierte Betrugsversuche. Wer jetzt Passwort, 2FA und Mobilfunk‑Sicherheit nachzieht und bei Links/QR‑Codes konsequent bleibt, nimmt Angreifern den größten Hebel.
