Update 04.03.2025 – Der Artikel wurde zuerst im August 24 veröffentlicht und neu um die Abschnitte Umgang mit Fake News/Fake Accounts sowie Hinweise bei der Nutzung von Drittanbieter-Tools erweitert.
Social Media Management: An was denkst du bei diesem Begriff als Erstes? Inhalte erstellen, Redaktionsplan aufsetzen oder Accounts verwalten? Eindeutige Antworten, ist aber auch klar. Schließlich dreht sich im Social Media Management dreht nun mal alles um das Betreuen von Social Media Channels und da wiederum geht es vor allem um Inhalte. Sind sie reichweitenstark? Kommen sie gut bei der Community an? Bekannte Fragen und Alltag für Social Media Manager*innen.
Aber eine Frage bleibt oft auf der Strecke. Wie sicher ist ein Social Media Account? Sicherheit im Social Media Management sollte so gewiss dazugehören wie der bereits erwähnte Redaktionsplan. Ohne geht einfach nicht. Einen Social Media Account betreuen, auf den man plötzlich keinen Zugriff mehr hat, ist irgendwie schlecht.
Aber keine Sorge, mit ein paar Handgriffen kannst du Sicherheit problemlos in deine tägliche Social Media Arbeit integrieren. Ganz gleich, ob du für ein Unternehmen den Firmenaccount betreuest, als Freiberufler*in Kundenaccounts begleitest oder deine eigenen Account verwaltest.
Mit Sicherheit gut informiert: Der AllSocial Newsletter!
Besser nicht vergessen – Die Passwörter
Jeder Zugang zu einem Social Media Account ist durch ein Passwort oder ähnliches geschützt. Das gilt eigentlich für alle Social Media Plattformen. Meist beinhaltet der Login Benutzername und Passwort, die beide bei der Registrierung angelegt wurden. Kein Problem, solange es sich um den eigenen Account handelt. Was aber tun, wenn man für Kunden oder ein Unternehmen einen Account betreut und andere ebenfalls darauf Zugriff haben?

Hier solltest du beim Beginn einer Zusammenarbeit festlegen, wer Zugriff auf die Accounts hat und wo die Passwörter hinterlegt sind. Zum Beispiel sind die Zugänge und Login-Daten in einem internen Wiki o.Ä. verteilt oder erhielten alle Beteiligten die Login-Daten als Mail. Hier gibt es natürlich mehrere Varianten, die alle ihre Vor- und Nachteile haben. Wichtig ist daher eben zu wissen, wo Login-Daten hinterlegt sind und wer Zugriff darauf hat. Damit man im Zweifelsfall schnell Änderungen oder die Erstellung eines neuen Passworts vornehmen kann.
Sicheres Social Media Management für die Ohren: Noch mehr Tipps im Feed & Fudder Podcast!
Passwörter für externe Tools nicht doppelt nutzen
Beliebt im Social Media Management sind auch diverse Social Media Tools, die bei zahlreichen Aufgaben unterstützen. Diese Tools laufen meist über Schnittstellen zwischen sich und den jeweiligen Social Media Accounts, die du mit diesen Tools verbinden willst. Vermeide bei der Nutzung dieser Tools jedoch die Verwendung von gleichen Passwörtern und Nutzername wie beim Login in deine Accounts.

Sind Account- und Tool-Zugangsdaten identisch, besteht die Gefahr bei Datenlecks des Tools, dass Unbefugte auch Zugriff auf verknüpfte Social Media Accounts erhalten. Dies könnte zu unerwünschten Posts, Nachrichten oder sogar zur Löschung von Konten führen. Daher solltest du doppelt genutzte Passwörter und Login-Daten zeitnah ändern. Wenn möglich, nutze außerdem nicht nur für die Social Media Zugänge sondern auch für Tools eine Zwei-Faktor-Authentifizierung (mehr dazu unten im Beitrag).
Nutzungsrechte verteilen – Besser früher als später
Um zu verhindern, dass zu viele Personen den gleichen Login nutzen, ist es besser, Rollen oder Zugriffsrechte zu verteilen. Dann können sich die beteiligten Personen mit ihrem eigenen Account einloggen und dann je nach Plattform zur Seitenansicht, Unternehmensseite usw. (je nach Plattform) wechseln.

Auch hier solltest du die Rollen- bzw. Rechteverteilung frühzeitig bei einer Zusammenarbeit mit Kunden oder anderen Social Media Manager*innen vornehmen. Dann wissen alle Bescheid und es ist von Anfang an klar, wer was bei einem Profil macht.
Klare Richtlinien für alle Aufgaben
Zwar lässt sich bei vielen Plattformen per Rollen und Rechten viel einschränken und festlegen, wer was tun kann. Aber nicht immer lässt sich jede Aktivität, die auf einer Plattform möglich ist, durch Rollen und Rechte festlegen. Daher solltest du intern aufzählen, welche Aktivitäten auf einer Plattform, einer Seite oder einem Account möglich sind. Also Aktivitäten wie Liken, Kommentieren, Nachrichten öffnen etc. und dann bestimmen, wer diese Aktivitäten wahrnehmen darf.
Nicht, dass du am nächsten Morgen mit deiner Arbeit beginnst und siehst, die Geschäftsleitung deines Kunden war mitten in der Nacht nicht so ganz einverstanden mit einem Kommentar und hat darauf als Replik eine nicht gerade euren zuvor mühsam aufgestellten Kommentarrichtlinien kompatible Antwort hinterlassen. Im Zuge von Bots und Social Media Spam solltest du auch explizit festlegen, wer Nachrichten öffnen darf. Schließlich werden diese nur allzu gern für die Platzierung von Links zu unsicheren Drittseiten genutzt.
Accounts nur für ihren Zweck nutzen, keine private Nutzung
In eine ähnliche Kategorie fällt, darauf zu bestehen, dass ein unternehmerisch oder gewerblich genutzter Account auch wirklich nur diesem Zweck dienen sollte. Erkläre deinen Kunden oder Kollegen es bitte zu unterlassen, einen Business Account für private Zwecke zu nutzen. Bei manchen Plattformen lässt sich dies leicht erkennen, wenn plötzlich Werbung und Anzeigen zu Themen erscheinen, die wenig mit den eigentlichen Inhalten des Accounts zu tun haben.
Richtlinie für externe Links erstellen
Da externe Links häufig eine Gefahrenquelle darstellen, solltest du diesen auch eine besondere Aufmerksamkeit zukommen lassen. Erkläre regelmäßig, besser darauf nicht zu klicken und im Zweifelsfall bei dir oder der Person nachzufragen, die sich hauptsächlich um den Account kümmert, ob ein Link vertrauenswürdig ist oder nicht. Die Link-Richtlinie sollte ebenso alle Möglichkeiten aufzählen, wo bei der entsprechenden Social Media Plattform externe Links platziert werden können, wie zum Beispiel in den Direktnachrichten oder in den Kommentaren. So kannst du bereits im Vorfeld auf mögliche Gefahrenquellen hinweisen.
Abwesenheiten, Übergaben, Abgänge aus dem Unternehmen rechtzeitig planen
Übrigens eignet sich ein Redaktionsplan nicht nur dafür Inhalte zeitlich zu planen. Du kannst diesen auch als Kalender nutzen und eintragen, wann Personen im Urlaub sind. Dabei hilft eine Richtlinie, die festlegt, was mit Login-Daten geschieht, wenn eine Person (kurzfristig) abwesend ist oder aus dem Unternehmen ausscheidet. Eine rechtzeitige Planung dieser Fälle schützt davor, plötzlich nicht mehr in den Account zu gelangen, wenn Personen ein Unternehmen verlassen oder sich Zuständigkeiten ändern.
Zwei-Faktor-Authentifizierung
Das gleiche gilt auch, wenn ein Account zusätzlich mit einer Zwei-Faktor-Authentifizierung geschützt ist. Meist läuft diese über eine Authenticator-App ab, die auf einem weiteren Gerät (wie einem Smartphone) hinterlegt ist. Lege hier fest, wer dieses Gerät verwaltet und wo es sich befindet. Nicht, dass es aus Versehen mit in den Urlaub genommen wird, weil die entsprechende App auf einem privaten Smartphone installiert wurde (was eh besser vermieden werden sollte, lieber auf Diensthandy o.Ä. zurückgreifen).
Keine Frage, als Social Media Manager*in oder Veranwortliche*r im Social Media Marketing bleibt wenig Zeit sich noch als IT-Sicherheits Expert*in zu betätigen. Und wie du siehst, mit ein bisschen Vorsicht und Planung lässt sich schon einiges bewerkstelligen. Empfehlenswert ist auch, sich regelmäßig über aktuelle Cyber-Bedrohungen zu informieren, die derzeit auf Social Media ihr Unwesen treiben. Eine erste Anlaufstelle bietet dir das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Richtlinie für den Umgang mit Fake-News und Desinformation
Durch Metas Ankündigung zukünftig auf unabhängige Faktenchecks verzichten zu wollen, erhielt das Thema Fake News und Desinformation weitere Aufmerksamkeit. Social Media Manager*innen sollten ebenfalls zur Sicherheit im Social Media Management eine Richtlinie für den Umgang mit Fake News und Desinformationen auf ihren Profilen erstellen.
Gründe hierfür sind, dass Communities und Zielgruppen im Zuge von Fake News und Desinformation von Marken sowie Unternehmen eine klare und eindeutige Kommunikation erwarten. Zudem schützt das rechtzeitige Erkennen von Fake News und Desinformationen die eigene Community (beispielsweise wenn Kommentare unter Beiträge Fake News enthalten) und hilft beim Vertrauensaufbau des eigenen Social Media Auftritts.
Eine interne Richtlinie zum Umgang mit Fake News und Desinformation könnten folgende Punkte beinhalten:
- Feststellen, wo überall auf eigenen Kanäle die Möglichkeit zur Verbreitung von Fake News und Desinformationen besteht. Beispiele sind Kommentarsektionen, Nachrichtenfunktion in Chats oder Antworten in Broadcast-Channels.
- Eigene Faktenchecks und Überprüfungen von externen Quellen: Wenn Social Media Beiträge Inhalte von externen Quellen enthalten und fremde Beiträge geteilt werden, wie und nach welchen Maßstäben sollen diese auf Echtheit bzw. Korrektheit der darin vorhandenen Informationen überprüft werden?
- Verantwortung: Welchen Verantwortlichen aus dem Social Media Management obliegt die Reaktion auf Fake News und ggfs. die Löschung von Inhalten, die Fake News verbreiten, wie eben Kommentare von User*innen unter Social Media Beiträgen.
- Schulungen: Sind regelmäßige Schulungen nötig bzw. wie kann sich das Social Media Management informieren, um auf dem neuesten Stand zu sein? Ein Beispiel für eine solche Möglichkeit ist hier der Leitfaden von DigitalCheckNRW zum Umgang mit Social Media Fake News.
Fake-Monitoring und Social Media Verifizierungen
Eine ähnlich gelagerte Aufgabe ist das Monitoring von Fake-Accounts. Also Accounts, die eigene Profile und Inhalte kopieren. Oft erstellen diese Accounts ein ähnliches Profil mit exakt gleichem Profilbild, gleicher Bio und einem ähnlichen Handle, der sich nur in einem Sonder- oder Schriftzeichen vom eigentlichen Handle des echten Accounts unterscheidet.
Hierzu solltest du dich rechtzeitig auf den jeweiligen Plattformen erkundigen, wie und wo du solche Accounts melden kannst. Außerdem solltest du intern festlegen, wann eventuell rechtliche Schritte gegen solche Fake-Profile erforderlich sind und wie häufig du regelmäßig Ausschau halten willst, ob Fakes von deinen Auftritten existieren.

Dazu ist es auch empfehlenswert – sollte ein solcher Fake-Account Inhalte teilen – deine Community darauf hinweisen, dass nur der eigene Account tatsächlich der echte ist und kommunizieren, woran die Community dies erkennen kann (wie durch Hinweise wie der eigene Handle geschrieben wird). Außerdem solltest du für mehr Sicherheit im Social Media Management alle Auftritte und Profile verifizieren lassen. Eine Übersicht mit Verifizierungen auf den gängigsten Social Media Plattformen haben wir dir hier zusammengestellt.