Social-Media-Berechtigungen wirken einfach, bis man sie tatsächlich verwalten muss. Wer bekommt Zugang zu was? Welche Rollen sind für welche Personen sinnvoll? Wie hältst du alles sicher, während du deinem Team und deinen Partnern ermöglichst, ihre Arbeit zu erledigen?
Dieser Leitfaden erklärt, wie du über Social-Media-Berechtigungen für ein Restaurant nachdenken solltest, wer welches Zugangsniveau haben sollte und wie du häufige Fehler vermeidest.
Warum Berechtigungen wichtig sind
Deine Social-Media-Konten sind wertvolle Unternehmens-Assets. Sie enthalten jahrelange Inhalte, tausende Follower, direkte Kundenkommunikation und Zugang zu bezahlten Marketing-Budgets. Lässig damit umzugehen ist ein echtes Risiko.
Gute Berechtigungsverwaltung schützt dich vor mehreren Problemen: Ehemalige Mitarbeiter oder Agenturen, die Zugang behalten. Versehentliche Schäden durch Personen mit mehr Zugang als nötig. Sicherheitslücken, die deine Konten kompromittieren. Verwirrung darüber, wer für was verantwortlich ist.
Ein bisschen Planung im Voraus spart später erheblichen Ärger.
Das Prinzip der minimalen Berechtigung
Die Kernregel der Berechtigungsverwaltung ist einfach: Gib Personen den minimalen Zugang, den sie für ihre Arbeit benötigen – und nicht mehr.
Wenn jemand nur Captions schreiben muss, braucht er keinen Admin-Zugang. Wenn er nur Anzeigen schaltet, muss er keinen organischen Content posten. Wenn er nur Analysen benötigt, braucht er keine Bearbeitungsrechte.
Beginne mit dem kleinstmöglichen Berechtigungsset und erweitere es nur bei Bedarf. Dieser Ansatz minimiert Risiken und hält deine Kontosicherheit straff.
Häufige Rollen auf verschiedenen Plattformen
Verschiedene Plattformen verwenden unterschiedliche Rollenbezeichnungen, aber die zugrunde liegenden Konzepte sind ähnlich. Die Typen zu verstehen hilft dir, plattformübergreifend richtig zu wählen.
Eigentümer oder Super-Admin. Vollständige Kontrolle, einschließlich der Möglichkeit, andere Nutzer zu entfernen. Das sollte dem tatsächlichen Unternehmensinhaber und vielleicht einer Backup-Person vorbehalten sein. Gib das nie an externe Agenturen.
Admin. Umfangreiche Kontrolle über das Konto, aber ohne die Möglichkeit, den Eigentümer zu entfernen. Geeignet für leitende Teammitglieder, die vollständigen operativen Zugang benötigen.
Content Creator oder Redakteur. Kann posten, bearbeiten und auf Nachrichten antworten, aber keine Kontoeinstellungen ändern oder andere Nutzer verwalten. Das ist das richtige Niveau für die meisten Content-Manager und Agenturen, die Posting übernehmen.
Werbetreibender. Kann bezahlte Kampagnen erstellen und verwalten, hat aber begrenzte Möglichkeiten, organischen Content zu posten oder Kontoeinstellungen zu ändern. Geeignet für Paid-Media-Spezialisten.
Moderator oder Community Manager. Kann auf Kommentare und Nachrichten antworten, aber keinen neuen Content posten. Nützlich für Kundenservice-Rollen.
Analyst oder Betrachter. Kann Insights und Daten sehen, aber keine Änderungen vornehmen. Geeignet für Berichtszwecke oder reinen Lesezugang.
Die meisten Plattformen bieten Rollen, die diesen Kategorien ungefähr entsprechen, auch wenn die genauen Namen unterschiedlich sind.
Wer sollte welchen Zugang haben
Hier ist, wie du über Zugang für verschiedene Personentypen in deinem Restaurantbetrieb nachdenken solltest.
Du, der Inhaber. Vollständiger Eigentümer-Zugang auf jedem Konto. Das ist deine Basis. Du solltest immer in der Lage sein, alles auf jedem Konto zu tun, das mit deinem Unternehmen verbunden ist.
Dein Manager oder Stellvertreter. Admin-Zugang auf primären Konten, mit allen erforderlichen Backup-Rollen. Diese Person sollte die meisten Aufgaben übernehmen können, wenn du nicht verfügbar bist.
Dein Content Creator oder Social-Media-Manager. Content-Creator- oder Redakteur-Zugang auf den Plattformen, die er verwaltet. Er braucht keinen Abrechnungs- oder Nutzerverwaltungs-Zugang.
Ein freier Fotograf oder Videograf. Kein direkter Konto-Zugang. Er liefert Dateien an dich oder deinen Content-Manager, der dann von seinem eigenen Zugang aus postet.
Eine Paid-Ads-Agentur. Werbetreibenden-Zugang auf deinen Werbekonten. Content-Creator-Zugang auf Seiten und Instagram nur wenn sie auch organischen Content verwalten. Niemals Admin-Niveau.
Eine Full-Service-Marketingagentur. Content-Creator- oder Redakteur-Zugang auf Seiten und Instagram, Werbetreibenden-Zugang auf Werbekonten. Möglicherweise Admin-Zugang, wenn sie tief vertraut und für alles zuständig ist.
Eine PR- oder Presse-Agentur. Normalerweise kein direkter Konto-Zugang. Sie koordinieren sich mit dir oder deinem Content-Manager für alle geposteten Inhalte.
Dein Serviceleiter. Kein Social-Media-Zugang, es sei denn, er übernimmt speziell Kundenservice über DMs. In diesem Fall gib ihm Moderator- oder Community-Manager-Zugang.
Neue Mitarbeiter oder Probanden. Starte mit dem minimalen möglichen Zugang. Erweitere, sobald sie sich als zuverlässig erwiesen haben.
Das Prinzip bei all diesen ist dasselbe: Gib den minimalen nötigen Zugang und behandle die Erweiterung als Vertrauensentscheidung.
Die Plattformen in der Praxis
Verschiedene Plattformen handhaben Berechtigungen etwas unterschiedlich. Hier ist, was du über die wichtigsten wissen solltest.
Facebook und Instagram teilen Berechtigungen über den Meta Business Manager. Du fügst Nutzer zum Business Manager hinzu und weist sie dann mit spezifischen Rollen spezifischen Seiten, Instagram-Konten und Werbekonten zu. Das ist das flexibelste System, aber auch das komplexeste.
TikTok bietet einfacheren Business-Konto-Zugang mit weniger Rollenoptionen. Für die meisten Restaurants wird TikTok-Zugang über direkten Login durch eine einzige Person oder ein Team mit Account-Sicherheitsfunktionen verwaltet.
Google Unternehmensprofil verwendet Manager-Rollen mit Optionen für Eigentümer, Manager und Websitemanager. Für die meisten Restaurants reicht ein Eigentümer und ein oder zwei Manager.
Content-Tools und Planer verwenden typischerweise ihre eigenen Berechtigungssysteme, die auf Plattform-Berechtigungen aufgesetzt sind. Du gewährst dem Tool einmal Zugang und verwaltest dann, wer das Tool separat nutzt.
Das Passwort-Problem
Viele Restaurants handhaben Zugang immer noch über geteilte Passwörter. Das ist aus mehreren Gründen eine schlechte Idee.
Geteilte Passwörter können nicht selektiv entzogen werden. Sobald jemand das Passwort hat, betrifft das Ändern alle. Aktivität kann nicht bestimmten Personen zugeordnet werden – du weißt nicht, wer was getan hat. Zwei-Faktor-Authentifizierung wird unpraktisch, da Codes an ein Telefon gehen müssen, auf das jeder zugreifen kann. Die Sicherheit bricht vollständig zusammen, wenn eine Person schlechte Sicherheitspraktiken hat.
Verwende ordnungsgemäß rollenbasierten Zugang wo immer möglich. Passwort-Teilen ist nur als letzter Ausweg auf Plattformen akzeptabel, die keinen rollenbasierten Zugang bieten – und selbst dann sollte es über einen sicheren Passwort-Manager erfolgen, nicht über Messaging-Apps.
Zwei-Faktor-Authentifizierung
Unabhängig davon, wie du Berechtigungen verwaltest, ist Zwei-Faktor-Authentifizierung auf dem Eigentümer-Konto unverzichtbar. Das ist die zusätzliche Schicht, die dein Konto sicher hält, selbst wenn ein Passwort kompromittiert wird.
Verwende eine Authenticator-App wie Google Authenticator oder Authy, keine SMS-basierten Codes. SMS-2FA hat bekannte Schwachstellen, die es weniger sicher machen als App-basierte Optionen.
Verlange 2FA auf jedem Admin-Level-Konto. Für niedrigere Rollen gelten in der Regel die Anforderungen der Plattform, aber alle Nutzer zur Aktivierung zu ermutigen ist gute Praxis.
Die Audit-Gewohnheit
Überprüfe alle paar Monate, wer Zugang zu deinen Konten hat. Prüfe die Nutzerliste jeder Plattform und stelle sicher, dass du dort jeden erkennst.
Falls du Konten siehst, die keinen Zugang haben sollten, entferne sie. Falls Rollen höher sind als sie sein sollten, reduziere sie. Falls jemand vor Monaten das Team verlassen hat und immer noch Zugang hat, ist das ein Sicherheitsvorfall, der darauf wartet zu passieren.
Dieses Audit dauert etwa fünfzehn Minuten und verhindert die häufigsten berechtigungsbezogenen Probleme.
Sauberes Offboarding
Wenn jemand dein Team verlässt oder sein Engagement beendet, entziehe sofort all seinen Zugang. Warte nicht ein paar Tage oder Wochen. Tue es am gleichen Tag, idealerweise innerhalb von Stunden.
Erstelle eine Checkliste jeder Plattform und jedes Assets, auf das er Zugang hatte. Arbeite sie methodisch durch und überprüfe jede Entfernung. Auch nur eine zu übersehen kann Probleme verursachen.
Ändere alle geteilten Passwörter, die möglicherweise gefährdet sind, auch wenn das nicht nötig sein sollte, wenn du rollenbasierten Zugang verwendest.
Dokumentiere, was du entfernt hast und wann. Das schützt dich, falls später Fragen aufkommen.
Der Dokumentationsansatz
Führe ein einfaches Dokument oder eine Tabelle, die jede Person auflistet, die Zugang zu deinen Social-Media-Konten hat. Füge ihren Namen, ihre Rolle, auf welche Konten sie zugreifen können, das Datum der Zugangsvergabe und wann er überprüft werden sollte ein.
Das klingt nach Bürokratie, spart aber in der Praxis Zeit. Wenn du jemanden neu hinzufügen musst, kannst du sehen, welche Rollen du normalerweise vergibst. Wenn jemand geht, hast du eine klare Liste davon, was zu entziehen ist. Beim Audit hast du eine Basis zum Vergleichen.
Eine einfache Tabelle reicht. Keine spezielle Software nötig.
Erwartungen kommunizieren
Wenn du jemandem Zugang gewährst, kommuniziere, was du von ihm erwartest. Gehe nicht davon aus, dass Menschen die Grenzen verstehen werden.
Sag ihnen, was sie tun können, was sie nicht anfassen sollen, wann sie fragen sollen, bevor sie Änderungen vornehmen, und wen sie kontaktieren sollen, falls etwas schiefläuft. Schreibe das auf, wenn die Beziehung formal ist, damit es später keine Verwirrung gibt.
Klare Erwartungen verhindern die unangenehmen Situationen, in denen jemand unerwünschte Änderungen vornimmt oder nötige Änderungen ignoriert.
Tools und Integrationen
Content-Tools für Restaurants verbinden sich typischerweise über offizielle Plattform-Integrationen. Diese erfordern kein Teilen von Passwörtern und können über Plattform-Einstellungen widerrufen werden, wenn du das Tool nicht mehr verwendest.
Bevorzuge immer Tools, die offizielle Integrationen verwenden, gegenüber solchen, die deine tatsächlichen Anmeldedaten verlangen. Die offizielle Integrationsweise ist sicherer und einfacher zu verwalten.
Überprüfe regelmäßig die mit deinen Konten verbundenen Tools. Entferne alle, die du nicht mehr verwendest. Ungenutzte Integrationen sind ein vergessenes Risiko.
Die laufende Denkweise
Berechtigungsverwaltung ist keine einmalige Aufgabe. Es ist eine laufende Gewohnheit, die Teil des Betreibens deines Restaurants wird.
Wenn du ein neues Teammitglied hinzufügst, überlege, welchen Zugang es benötigt. Wenn jemand geht, entziehe sofort seinen Zugang. Wenn du anfängst, mit einer neuen Agentur zu arbeiten, gewähre zuerst begrenzten Zugang und erweitere ihn nur, wenn sich Vertrauen aufbaut. Wenn sich Tools ändern, überprüfe, was verbunden ist.
Diese kleinen laufenden Aktionen halten deine Social-Media-Assets jahrelang sicher und überschaubar – und das zählt mehr als jede einzelne Sicherheitsmaßnahme, die du implementieren könntest.