Passwörter im Marketing-Team zu teilen wirkt praktisch, ist aber ein massives Compliance- und Sicherheitsrisiko: kein Audit Trail, schwieriges Offboarding, Privilege Creep und höheres Phishing-Risiko. Der Artikel zeigt typische Szenarien und die Lösung über individuelle Nutzerkonten mit granularen Rollenrechten.
Es beginnt harmlos: Die Social-Media-Managerin ist krank, ein Kollege muss einspringen. Das Passwort wird schnell per Chat geteilt. Die Managerin kommt zurück – das Passwort bleibt geteilt. Wochen später verlässt der Kollege das Unternehmen. Das Passwort ist noch dasselbe.
Shared Passwords sind in Marketing-Teams erschreckend verbreitet. Im kreativen Alltag fühlt es sich praktisch an. In Wirklichkeit ist es eines der größten Compliance- und Sicherheitsrisiken, die ein Team eingehen kann.
Wenn drei Personen dasselbe Login verwenden und ein problematischer Post veröffentlicht wird, ist die zentrale Frage unbeantwortet: Wer war es? Ohne individuelle Nutzerkonten gibt es keinen Audit Trail. ISO 27001 und DSGVO fordern jedoch explizit, dass Aktionen einzelnen Personen zugeordnet werden können. Mit Shared Passwords ist das strukturell unmöglich.
Verlässt jemand das Unternehmen, der ein geteiltes Passwort kannte, ist der einzige Schutz das sofortige Ändern aller betroffenen Zugangsdaten. Passiert das nicht – und das passiert erschreckend selten –, hat die Person weiterhin Zugang zu allen Kanälen. Mit individuellen Nutzerkonten ist Offboarding ein einziger Klick.
Wenn ein Passwort geteilt wird, hat die empfangende Person dieselben Rechte wie der ursprüngliche Nutzer – oft mehr, als sie eigentlich bräuchte. Das ist Privilege Creep in seiner direktesten Form: unkontrolliert, undokumentiert, gefährlich.
Je mehr Personen ein Passwort kennen, desto größer die Angriffsfläche. Wird eine der Personen Opfer eines Phishing-Angriffs, sind alle Kanäle, die dieses Passwort nutzen, kompromittiert – gleichzeitig.
Ein einziges geteiltes Passwort kann bei einem Angriff den Zugang zu allen Social-Media-Kanälen des Unternehmens öffnen.
• Das Team-Passwort für Instagram ist seit zwei Jahren dasselbe und wurde an fünf Personen weitergegeben.
• Eine Agentur hat die Login-Daten für alle Kanäle erhalten – und behält sie auch nach Ende der Zusammenarbeit.
• Zugangsdaten werden über WhatsApp, Slack oder E-Mail geteilt – unverschlüsselt, dauerhaft im Verlauf abrufbar.
• Passwörter werden in einer geteilten Tabelle oder einem Notizdokument aufbewahrt.
• Bei Personalwechsel werden Passwörter nicht geändert, weil niemand weiß, wer alles Zugang hat.
Die einzige strukturell sichere Alternative zu Passwort-Sharing ist ein System, in dem jede Person ihren eigenen, personalisierten Zugang hat – mit genau den Rechten, die sie für ihre Aufgabe benötigt.
Eindeutige Identifikation: Jede Aktion im System ist einer bestimmten Person zugeordnet. Der Audit Trail ist lückenlos.
Einfaches Offboarding: Ein Konto wird deaktiviert. Alle anderen Zugänge bleiben unberührt.
Principle of Least Privilege: Jeder hat nur die Rechte, die er wirklich braucht – nicht mehr.
Externe sicher einbinden: Agenturen und Freelancer bekommen eigene Accounts mit temporären, eingeschränkten Rechten.
1. Inventur: Wo werden in deinem Team aktuell Passwörter geteilt?
2. Alle geteilten Passwörter sofort ändern.
3. Identifizieren, welche Tools individuelle Nutzerkonten unterstützen.
4. Auf ein Tool umsteigen, das granulare Rollenrechte ohne Passwort-Sharing bietet.
5. Klare Richtlinie einführen: Passwörter werden nie geteilt. Punkt.
Luceena ist von Grund auf auf individuelle Nutzerkonten ausgelegt: Jedes Teammitglied – intern wie extern – erhält einen eigenen Zugang mit definierten Rechten. Kein Passwort-Sharing mehr. Volle Kontrolle. Lückenloser Audit Trail.
Passwort-Sharing fühlt sich im Alltag praktisch an – ist aber einer der gravierendsten Compliance-Fehler, die Marketing-Teams machen. Die Lösung ist weder teuer noch aufwändig: individuelle Nutzerkonten mit klaren Rollen. Was es braucht, ist der bewusste Entschluss, es richtig zu machen.