Wie eine Agentur 80 Kundenkonten ohne einen einzigen geteilten Login onboardete
Davide Ferraro
Agency Operations Lead
Der Bruchpunkt kam, wie üblich, als Tabelle. Eine Media-Buying-Agentur, die von einer Handvoll Kunden zu einem ausufernden Portfolio gewachsen war, führte einen Reiter namens „Logins" — eine Zeile pro Kunde, Spalten für Benutzername, Passwort, 2FA-Backup und das Datum der letzten Änderung. An dem Tag, an dem diese Tabelle achtzig Zeilen überschritt, hörte die Operations-Leitung auf zu scrollen und gab das Offensichtliche zu: Das war kein System, es war ein Risiko mit einer Suchleiste. Dies ist die Geschichte, wie diese Agentur lernte, ein Kunden-Werbekonto ganz ohne geteilten Login zu onboarden — ein einmal eingegebener System-User-Token, Auto-Discovery, die jedes Konto offenlegt, und interne Rollen statt Passwörter.
Kurze Antwort: Statt den Meta-Benutzernamen und das Passwort jedes Kunden einzusammeln, verband die Agentur Konten über einen einmal eingegebenen System-User-Token. Die Auto-Discovery über die business_id legte jeden Business Manager und jedes Werbekonto offen, das dieser Token erreichen konnte, und Buyer arbeiteten über internen rollenbasierten Zugriff. Niemand hielt je einen reinen Meta-Login, also hörte das Onboarding auf, eine Zugangsübergabe zu sein, und das Offboarding wurde zu einem einzigen Klick.
Dies ist ein Komposit aus verbreiteten Agenturmustern, aber der Fehlerfall und die Lösung sind real. Die genauen Zahlen sind illustrativ; der Zugangs-Wildwuchs und die Art, wie er gefährlich wird, wenn eine Agentur skaliert, ist es nicht.
Der Bruchpunkt: ein Login für jeden Kunden
In seinen ersten Jahren onboardete die Agentur Kunden auf die einzige Weise, die sie kannte. Ein neuer Kunde unterschrieb, und der Kickoff-Call endete mit derselben unangenehmen Bitte: „Können Sie Ihren Meta-Login teilen, damit wir ins Werbekonto kommen?" Manchmal übergab der Kunde sein persönliches Facebook-Passwort. Manchmal erstellte er einen Wegwerf-Benutzer mit Admin-Rechten. So oder so ging die Agentur mit einem weiteren Zugang zum Speichern davon, und der „Logins"-Reiter wuchs um eine weitere Zeile.
Bei zehn Kunden war das lästig. Bei achtzig war es ein Vollzeit-Risiko. Jedes Passwort, das auf Kundenseite wechselte, brach den Zugang still und leise, bis eine Kampagne veraltete. Jede 2FA-Aufforderung landete auf einem Telefon, das einer Person gehörte, die zum einzigen Ausfallpunkt für das gesamte Geschäftsbuch wurde. Und niemand konnte die Frage beantworten, die eine Ein-Wort-Antwort haben sollte: Wer genau hat gerade Zugang zum Konto dieses Kunden?
Eine Agentur spürt die Kosten geteilter Logins nicht bei fünf Kunden. Sie spürt sie auf einmal irgendwo jenseits von fünfzig, wenn die Zugangsliste zu einem Risiko wird, das niemand besitzt, und jeder neue Kunde es schlimmer macht. Das Modell, das dich gestartet hat, ist das Modell, das dich deckelt.
Warum die geteilten Logins das eigentliche Risiko waren
Die Agentur hatte angenommen, ihr Risiko läge in der Performance — eine schlechte Woche, ein verfehltes Ziel. Die eigentliche Gefährdung war die Login-Tabelle. Wie wir in warum geteilte Logins deine Ad-Agentur töten darlegen, ist ein geteilter Zugang das Schlechteste aus allen Welten auf einmal: Er kann nicht zugeordnet, nicht sicher entzogen und nicht geprüft werden.
Drei Versagen stapelten sich. Erstens: 2FA-Seeds und Passwörter lebten in einem Passwortmanager, sodass Zugang zu einem Tresor Zugang zu achtzig Kunden war — eine Breach-Fläche, die kein Kunde gebilligt hätte. Zweitens: Junioren hatten standardmäßig vollen Zugang, weil ein geteilter Login keinen Begriff von Rollen kennt; einem neuen Buyer „das Passwort" zu geben gab ihm alles. Drittens: Offboarding war eine manuelle Jagd: Wenn ein Buyer ging, musste sich jemand an jeden Business Manager erinnern, den dieser Buyer angefasst hatte, und den Zugang von Hand entziehen, Konto für Konto, in der Hoffnung, nichts verpasst zu haben.
Letzteres hielt die Operations-Leitung nachts wach. Ein ausscheidender Buyer mit verbleibendem Zugang über Dutzende Kunden-Business-Manager ist das Standardergebnis eines Geteilter-Login-Modells — genau die Art von Lücke, die in unserer Übersicht der Agentur-Werbekonto-Berechtigungsfehler katalogisiert ist.
Die Gefahr eines geteilten Logins ist nicht, dass jemand ihn errät. Es ist, dass du nie sauber nachweisen, eingrenzen oder entziehen kannst, wer ihn hat. Für eine Agentur, die das Vertrauen von achtzig Kunden hält, ist „wir sind uns nicht ganz sicher, wer noch Zugang hat" ein Satz, der Beziehungen beendet.
Die Verschiebung: mit einem Token verbinden, nicht mit einem Passwort
Die Veränderung war weniger ein neues Tool als ein neues Denkmodell: aufhören, Kontozugang als einen Zugang zum Einsammeln zu behandeln, und anfangen, ihn als eine einmal herzustellende Verbindung zu behandeln. Die Agentur verlagerte ihr Portfolio auf Wevion und verband Kundenkonten über einen System-User-Token statt eines persönlichen Logins.
Die Mechanik war fast antiklimaktisch. Für jeden Kunden stellte die Agentur einen System-User-Token gegen den Business Manager des Kunden her — eine genehmigte, maschinenebene Verbindung, die nicht von irgendjemandes persönlichem Passwort oder 2FA abhängt. Der Token wurde einmal eingegeben. Dann tat die Auto-Discovery den Teil, der früher einen Nachmittag dauerte: Indem sie die business_id las, legte sie jedes Werbekonto und jeden Business Manager offen, den dieser Token erreichen konnte, und zog sie automatisch in den Workspace — kein Kopieren von Konto-IDs zwischen Bildschirmen, keine drei Wochen später entdeckten verpassten Konten.
Ein geteilter Login ist ein Geheimnis, das du für immer schützen musst. Ein System-User-Token ist eine Verbindung, die du einmal herstellst und dann steuerst — die Unterscheidung, die in separate Logins gegenüber einer Multi-Brand-Betriebsschicht untersucht wird. Die Agentur war nicht mehr im Geschäft des Passwortspeicherns. Sie war im Geschäft des Zugangsgewährens.
Wenn du ein Konto mit einem Token statt einem Passwort verbindest, hört das Onboarding auf, eine Übergabe von Geheimnissen zu sein, und wird zur Herstellung einer gesteuerten Verbindung. Du verbindest einmal; du reichst nie wieder einen Zugang herum. Diese einzige Umkehrung ist es, die die nächsten achtzig Kunden skalieren statt aufsummieren lässt.
Das Team Rollen zuordnen, nicht Zugängen
Mit verbundenen Konten stand die Agentur vor der Frage, die die Geteilter-Login-Ära sie nie sauber stellen ließ: Wer im Team sollte was tun können, bei welchem Kunden?
Interner rollenbasierter Zugriff machte das zu einer Konfiguration, nicht zu einem Zugang. Jeder Buyer bekam eine Rolle, beschränkt auf die Konten, an denen er tatsächlich arbeitete. Ein Senior auf der Enterprise-Liste bekam dort breiten Zugang und keinen auf dem Kleinunternehmensbuch. Ein Junior bekam genau die ihm zugewiesenen Konten und nichts sonst. Entscheidend: Diesen Zugang zu gewähren beinhaltete nie das Übergeben eines Meta-Logins — der zugrunde liegende Token blieb bei der Agentur, und der Buyer arbeitete einfach innerhalb des Workspace unter seiner benannten Rolle.
Dies ist die Hälfte des Systems, die geteilte Logins unmöglich machen. Du kannst ein Passwort nicht eingrenzen — du kannst es nur geben oder vorenthalten. Rollen lassen die Agentur den präzisen Zugang gewähren, den eine Person braucht, und nichts mehr, was die Prämisse hinter dem disziplinierten Onboarding-Ablauf ist, den wir in dem Erste-Woche-Kunden-Onboarding-Playbook der Agentur beschreiben. Zugang wurde zu etwas, das du zuweist, prüfst und anpasst — kein Geheimnis, von dem du hoffst, dass es eingedämmt bleibt.
Zugang nach Rolle statt nach Passwort zu gewähren ändert, was Onboarding überhaupt ist. Du hörst auf zu fragen „sollte diese Person den Login bekommen" — eine binäre Alles-oder-nichts-Frage — und beginnst zu fragen „was sollte diese Person hier tun können", was die Frage ist, die ein echter Betrieb ohnehin beantworten muss.
Den nächsten Kunden in der ersten Woche onboarden
Der Beweis zeigte sich beim nächsten Mal, als die Agentur einen Kunden unterschrieb. Im alten Modell war das Onboarding eines neuen Kontos eine mehrtägige, heikle Angelegenheit: dem Kunden wegen Zugängen hinterherjagen, sie speichern, Zugang testen, ein Unterkonto entdecken, das niemand erwähnte, erneut hinterherjagen, schließlich bis Ende der zweiten Woche einen Buyer zum Arbeiten bringen.
Der neue Ablauf kollabierte das. Die Agentur stellte den System-User-Token her, die Auto-Discovery legte die Konten und Business Manager des Kunden in einem Durchgang offen, und die Operations-Leitung wies den Buyern ihre Rollen zu. Der Buyer arbeitete in der ersten Woche innerhalb des Workspace — nicht wartend auf einen Passwort-Reset, nicht blockiert von einer 2FA-Aufforderung, die an jemanden im Urlaub geleitet wurde. Der Kunde seinerseits war erleichtert, sein persönliches Facebook-Passwort nicht an eine externe Agentur übergeben zu müssen, was eine unbehagliche Kickoff-Bitte in einen Vertrauenspunkt verwandelte.
Das klarste Signal dafür, dass ein Onboarding-Modell kaputt ist, ist, wie lange es dauert, einen Buyer produktiv an einem neuen Konto arbeiten zu bekommen. Wenn das von angespannten zwei Wochen auf eine saubere erste Woche fällt, hast du nicht nur Zeit gespart — du hast den Teil des Onboardings beseitigt, der sowohl die Agentur als auch den Kunden nervös machte.
Was sich für Sicherheit und Audit änderte
Die Sicherheitsgeschichte war der Teil, den die Operations-Leitung nicht ganz vorausgesehen hatte. Zwei Dinge wurden auf einmal dramatisch besser.
Offboarding ging von einer Jagd zu einem Klick. Wenn ein Buyer ging, gab es keine Liste von Business Managern zum Durchforsten und kein geteiltes Passwort, das über achtzig Kunden zurückgesetzt werden müsste. Die Rolle des Buyers wurde im Workspace entzogen, und sein Zugang endete überall auf einmal — praktisch in einer Aktion. Die „Haben wir alles erwischt?"-Angst verschwand, weil Zugang von vornherein nie über Zugänge verstreut gewesen war.
Und die Agentur konnte endlich die Zugangsfrage beantworten. Weil jeder Buyer unter einer benannten Rolle statt einer geteilten Identität arbeitete, hatte die Agentur ein klares Bild davon, wer was anfassen konnte, und eine Aufzeichnung davon, wer es tat — Berechtigungen entscheiden, wer ein Konto ändern kann, und die Spur zeichnet auf, was sie änderten. Eine Agentur, die ihr Portfolio so fährt, kann jedem Kunden präzise sagen, wer Zugang hat und was er getan hat, was ein anderes Gespräch ist als „wir glauben, es war einer unserer Buyer".
Der stille Lohn des Verbindens mit einem Token und Gewährens von Rollen ist, dass die zwei schwersten Agenturfragen — wer hat Zugang, und wie schnell können wir ihn entziehen — beide einfache Antworten bekommen. Onboarding wurde schneller, aber Offboarding wurde sicher, und für eine Agentur, die die Konten vieler Kunden hält, ist sicher mehr wert.
Die Portfolio-Ansicht: ein Workspace, sechs Plattformen
Das Token-und-Rollen-Modell war keine reine Meta-Bequemlichkeit. Dasselbe Prinzip — ein Konto einmal verbinden, interne Rollen gewähren, nie einen Zugang herumreichen — erstreckt sich über die sechs Plattformen, die der Workspace unterstützt: Meta, Google, TikTok, Taboola, Snapchat und Outbrain. Ein Kunde, der Meta und TikTok und ein wenig Taboola fuhr, war nicht mehr drei Login-Probleme. Er war ein verbundener Kunde in einem Workspace, mit den Buyern der Agentur, die jeden Kanal unter derselben Rolle bearbeiteten, die sie bereits hatten.
Diese Konsolidierung verabschiedete den „Logins"-Reiter endlich für immer. Die Agentur verwaltete nicht achtzig Passwörter über sechs Plattformen — eine Zahl, die in die Hunderte von Zugängen gelaufen wäre. Sie verwaltete ein Portfolio, gesteuert durch Rollen, verbunden durch Token, sichtbar an einem Ort. Der Rest des Betriebs-Playbooks lebt im Agentur-Tools-Hub.
Beim Pricing skaliert das Modell mit dem Portfolio statt mit dem Team: Seats sind auf jedem Plan unbegrenzt, sodass das Hinzufügen von Buyern nie mehr kostet, und parallele Konten skalieren von drei auf dem permanenten Free-Tier (€0) über Starter für €99/Monat und Pro für €499/Monat bis unbegrenzt auf Plus für €1.499/Monat (€1.199 jährlich, jährlich abgerechnet mit −20 %), mit Enterprise als individuellem Plan. Jedes bezahlte Tier enthält eine 14-tägige Testphase, die mit dem kostenlosen Plan koexistiert.
Der Sinn einer Portfolio-Ansicht ist kein hübscheres Dashboard. Es ist, dass das Zugangsmodell — einmal verbinden, Rollen gewähren, per Klick entziehen — identisch funktioniert, ob ein Kunde eine Plattform oder alle sechs fährt. Die Agentur hörte auf, ein Login-Problem pro Kanal zu haben, und begann, einen gesteuerten Betrieb zu haben.
Die Lektion: trenne die Betriebsschicht vom Zugang
Gefragt, was sie einer jüngeren Version der Agentur sagen würde, ist die Operations-Leitung direkt: Der Fehler war, Kontozugang und das Betriebstool als dasselbe zu behandeln. Sind sie nicht. Der Zugang — das Passwort, der 2FA-Seed — gehört dem Kunden. Die Betriebsschicht, in der deine Buyer starten, bearbeiten und reporten, gehört dir. Die Geteilter-Login-Ära verschmolz sie, und diese Verschmelzung war die Quelle jedes Problems: der Wildwuchs, die Offboarding-Jagden, die unbeantwortbare Zugangsfrage.
Sie zu trennen ist die ganze Lösung. Verbinde das Konto einmal über einen System-User-Token, lass die Auto-Discovery alles offenlegen, was dieser Token erreichen kann, und gib deinem Team interne Rollen statt Passwörter. Tu das, und das Onboarding des einundachtzigsten Kunden sieht aus wie das Onboarding des ersten — eine hergestellte Verbindung und ein paar zugewiesene Rollen — statt einer weiteren Zeile in einer Tabelle, die längst hätte aufhören sollen zu wachsen. Die Agentur, die ein Kundenkonto ohne geteilten Login onboarden kann, ist die, die immer weiter Kunden hinzufügen kann, ohne dass ihr Risiko mit ihnen aufsummiert.
Häufig gestellte Fragen
The Ad Signal
Wöchentliche Einblicke für Media Buyer, die nicht raten. Eine E-Mail. Nur Signal.
Verwandte Artikel
Geteilte Logins ruinieren still Ihre Werbeagentur: Warum rollenbasierte Seats nötig sind
Ein geteiltes Passwort wirkte bei drei Kunden effizient. Bei dreißig ist es operative Altlast: keine Nachvollziehbarkeit, keine Sicherheit, kein belastbarer Nachweis. So ersetzen sieben fein gescopte Berechtigungsstufen den geteilten Login endgültig.
Separate Logins pro Shop vs. eine Multi-Brand-Betriebsebene
Es gibt zwei Wege, ein Portfolio aus Shops zu betreiben: zwischen separaten Logins pro Brand hin- und herspringen oder alle aus einer Ebene steuern. Dies ist ein ehrlicher Direktvergleich der beiden Modelle — Aufwand, Fehlerrisiko, Wiederverwendung, Reporting und die eine Frage, die sie trennt: Kann es tatsächlich Kampagnen launchen oder nur zusehen?
Wie eine Agentur ein neues Kundenkonto in der ersten Woche mit Wevion onboardet
Montag unterschreibt ein neuer Retainer. Die meisten Agenturen verbringen die erste Woche im Chaos — verstreute Zugangsanfragen, improvisiertes Tagging, ein Wettlauf um den ersten Report. So führt eine Agentur das gesamte Onboarding als eine einzige Sequenz und schließt Freitag mit Rollen, UTMs und einem geplanten Report ab, der bereits live ist.