Das Sicherheitsaudit, das null geteilte Passwörter fand

Der Fragebogen kam als Tabellen-Anhang mit zweiundvierzig Zeilen, und eine davon ließ den Account-Direktor erstarren: „Beschreiben Sie, wie der Zugang zu unseren Werbekonten gesteuert wird, einschließlich Zugangsdaten-Verwaltung und des Prozesses zum Gewähren und Entziehen von Zugang." Für die meisten Agenturen, mit denen dieser Kunde je gearbeitet hatte, war diese eine Frage die Stelle, an der das Gespräch unangenehm wurde. Dies ist die Geschichte eines anderen Ausgangs. In diesem Agentur-Sicherheitsaudit zu geteilten Werbekonto-Passwörtern war genau das, wonach die Prüfer suchten, um es zu durchleuchten — und es gab keine. Die Agentur bestand nicht aufgrund der Stärke ihrer Richtlinien, sondern aufgrund der Form ihrer Architektur.

Dies ist eine zusammengesetzte Geschichte, gezeichnet aus einem Muster, das verbreitet ist, sobald Agenturen anfangen, an Mid-Market- und Enterprise-Kunden zu verkaufen. Die Namen und genauen Details sind illustrativ; das Versagensmuster — und die Architektur, die es umgeht — sind real.

Der Fragebogen: Der Einkauf fragt, wer das Konto anfassen kann

Die Agentur hatte gerade einen größer-als-üblichen Kunden gewonnen, eine finanzierte Konsumgütermarke mit einer echten Sicherheitsfunktion. Bevor der Vertrag unterzeichnet werden konnte, schickte der Einkauf einen Lieferanten-Sicherheitsfragebogen — die Art Dokument, das früher Software-Anbietern vorbehalten war und jetzt bei jeder Agentur landet, die die Konten und Daten einer regulierten Marke anfasst. Darin vergraben waren die Fragen, die entscheiden, ob eine Werbeagentur wie ein professioneller Partner oder eine Haftung aussieht: Wer in deinem Team kann auf unsere Werbekonten zugreifen? Wie wird dieser Zugang gewährt? Wie wird er entzogen, wenn jemand geht? Werden Zugangsdaten geteilt? Gibt es eine Aufzeichnung dessen, was dein Team geändert hat?

Der erste Instinkt des Account-Direktors war der Instinkt, den die meisten Agentur-Leiter haben: anfangen, sorgfältige Antworten zu entwerfen. Den Passwort-Manager beschreiben. Die Offboarding-Checkliste erklären. Dem Prüfer versichern, dass das Team diszipliniert ist. Aber die Operations-Leiterin der Agentur stoppte diesen Entwurf, denn sie wusste etwas, das der Direktor noch nicht ganz würdigte — die ehrlichen Antworten auf diese Fragen waren, angesichts der Art, wie die Agentur tatsächlich arbeitete, überhaupt nicht beruhigend. Sie waren eine Liste von Dingen, die schiefgehen konnten.

Warum die meisten Agenturen daran auf Richtlinie scheitern, nicht auf Architektur

Hier ist die Falle. Die Standard-Agentur-Antwort auf „wie wird Zugang gesteuert" ist ein Satz von Richtlinien, auf geteilte Zugangsdaten geschichtet. Die Agentur hält das Meta-Login des Kunden in einem Passwort-Manager, dokumentiert den Zwei-Faktor-Seed, sodass mehr als eine Person die 2FA-Aufforderung passieren kann, hält eine Regel, dass Zugangsdaten nicht in den Chat eingefügt werden, und pflegt eine Offboarding-Checkliste, sodass, wenn ein Buyer geht, sich jemand erinnert, das Passwort zu rotieren.

Jedes davon ist ein Versprechen, und jedes Versprechen ist eine Stelle zum Scheitern. Ein Passwort-Manager ist nur so sicher wie die Menschen mit Zugang zum Eintrag. Ein dokumentierter 2FA-Seed schlägt den ganzen Sinn von 2FA in dem Moment, in dem er den Authenticator verlässt. Eine Offboarding-Checkliste funktioniert, bis die eine geschäftige Woche, in der sie übersprungen wird. Wir haben schon zuvor darüber geschrieben, wie geteilte Logins eine Agentur still töten — operativ; eine Sicherheitsprüfung ist die Stelle, an der dieselben geteilten Logins die Agentur kommerziell töten, vor dem Kunden, auf dem Papier.

Die Operations-Leiterin hatte Agenturen genau an diesem Schritt Deals verlieren sehen. Der Prüfer bittet um die Liste der Personen, die das Passwort des Kunden kennen, die Agentur produziert sie, und das Gespräch wird zu einer Verhandlung über Rotationspläne und Tresor-Berechtigungen — eine Verhandlung, die die Agentur nur verlieren kann, weil die zugrunde liegende Tatsache sich nie ändert: Menschen halten die Zugangsdaten des Kunden.

Die Architektur-Antwort: ein System-User-Token, keine geteilten Logins zu prüfen

Die Agentur beantwortete die Zugangssteuerungs-Frage mit einem Absatz, und der Absatz beschrieb Architektur statt Richtlinie. Die Agentur hält oder teilt das Meta-Login des Kunden nicht. Sie verbindet das Geschäft des Kunden einmal über einen System-User-Token — ein Server-zu-Server-Zugangsdaten-Paar — und aus diesem Token entdeckt die Betriebsebene die verbundenen Werbekonten automatisch über die Business-Kennung. Media-Buyer erhalten nie das Passwort des Kunden, weil es keinen Punkt gibt, an dem ein Buyer sich mit einem persönlichen oder geteilten Zugangsdaten-Paar in das Konto des Kunden anmeldet. Sie arbeiten über die eigene interne Zugangs-Ebene der Agentur.

Diese eine architektonische Entscheidung löst die ganze Kategorie von Fragen auf, für deren Sondierung der Fragebogen gebaut war. Es gibt kein geteiltes Passwort zu speichern, also gibt es nichts, das aus einem Tresor austritt. Es gibt keinen dokumentierten 2FA-Seed, also gibt es keinen geschlagenen zweiten Faktor. Es gibt kein Zugangsdaten-Paar zu rotieren, wenn ein Buyer geht, weil kein Buyer je eines hielt. Der Prüfer ging das geteilte-Zugangsdaten-Risiko suchen, das die Antwort jedes anderen Anbieters enthüllte, und bei dieser Agentur gab es schlicht nichts zu finden — nicht weil die Agentur sorgfältig war, sondern weil das riskante Objekt in ihrem Workflow nicht existierte. Dies ist das architektonische Gegenstück zum operativen Punkt in unserem Leitfaden zu separate Logins versus eine echte Betriebsebene: Die Betriebsebene ist das, was eine Verbindung vielen Buyern dienen lässt, ohne je das Zugangsdaten-Paar zu verteilen.

Internes RBAC: Zugang per Rolle gewährt, entziehbar, eingegrenzt, protokolliert

Ohne geteiltes Passwort zu verwalten, wanderte die Zugangsfrage dorthin, wo Sicherheitsteams sie tatsächlich haben wollen: in die eigene rollenbasierte Zugriffssteuerung der Agentur. Jeder Buyer, Stratege und Account-Leiter hatte einen benannten Platz mit einer definierten Rolle. Zugang wurde durch das Zuweisen einer Rolle gewährt, so eingegrenzt, dass eine Rolle nur die Konten und Aktionen erreichen konnte, die sie brauchte, und in dem Augenblick entzogen, in dem der Platz entfernt wurde — keine Passwort-Rotation, kein Gerangel, keine Abhängigkeit vom Gedächtnis irgendwessen.

Dies ist das strukturelle Gegenteil der Versagensmuster, die in unserem Stück über die Berechtigungsfehler, die Agenturen machen katalogisiert sind. Wenn Zugang ein geteiltes Passwort ist, kannst du ihn nicht eng gewähren, du kannst ihn nicht sauber entziehen, und du kannst nicht beweisen, wer ihn hatte. Wenn Zugang eine Rolle auf einem benannten Platz ist, werden alle drei trivial. Der Prüfer fragte, wie der Zugang eines scheidenden Mitarbeiters entfernt wird; die Antwort war „wir entfernen seinen Platz, und sein Zugang endet damit" — ein Satz, der keine Nachfrage braucht, weil kein geteiltes Geheimnis nach seinem Gehen noch zirkuliert.

Der Audit-Trail als Beleg: wer was wann geändert hat

Die letzte Zugangsfrage des Fragebogens war die, die Agenturen am meisten fürchten: Gibt es eine Aufzeichnung dessen, was dein Team an unseren Konten geändert hat? Bei geteilten Logins ist die ehrliche Antwort nein — die nativen Historien stempeln jede Änderung mit derselben geteilten Besitzer-Identität, also gibt es keine Möglichkeit, eine Bearbeitung einer Person zuzuordnen. Die Antwort dieser Agentur war ein Bildschirm. Weil jeder Launch, jede Budgetänderung, Pausierung und Creative-Bearbeitung durch die Betriebsebene lief, wurde jede automatisch erfasst und dem benannten Platz zugeordnet, der sie vorgenommen hatte, mit einem Zeitstempel, über jede Plattform, die der Kunde betrieb.

Dieser Audit-Trail leistete doppelte Arbeit. Für die Sicherheitsprüfung beantwortete er die Änderungsaufzeichnungs-Frage direkt: Ja, jede Änderung ist zugeordnet und mit Zeitstempel versehen, hier ist die Zeitachse. Für die eigenen Abläufe der Agentur war er dieselbe Verantwortlichkeits-Aufzeichnung, die wir in warum Werbekonten ein echtes Audit-Log brauchen beschreiben — das Ding, das „wir glauben, jemand hat das Gebot angepasst" in „dieser Buyer machte diese Änderung zu dieser Zeit" verwandelt. Der Prüfer behandelte ein sauberes, zugeordnetes Änderungsprotokoll als Zeichen eines reifen Anbieters, weil es eines ist. Eine Agentur, die genau zeigen kann, wer was wann tat, ist eine Agentur, die über Verantwortlichkeit nachgedacht hat, bevor sie gefragt wurde.

Die Prüfung bestehen, ohne eine einzige Zugangs-Richtlinie umzuschreiben

Der auffälligste Teil des Ergebnisses war, was die Agentur nicht tun musste. Sie schrieb keine neue Zugangssteuerungs-Richtlinie für das Engagement. Sie stellte keinen speziellen Prozess für diesen einen sicherheitsbewussten Kunden auf. Sie versprach nicht, Zugangsdaten häufiger zu rotieren oder einzuschränken, wer den Tresor-Eintrag hielt. Sie beantwortete den Fragebogen, indem sie die Art beschrieb, wie sie bereits arbeitete — die System-User-Verbindung, die rollenbasierten Plätze, das zugeordnete Änderungsprotokoll — und die Beschreibung war die Compliance.

Das ist der stille Hebel, sicher durch Architektur statt durch Prozedur zu sein. Prozedurale Sicherheit muss erbracht, dokumentiert und für jedes Audit neu erbracht werden, und sie verfällt in dem Moment, in dem die Aufmerksamkeit nachlässt. Architektonische Sicherheit ist eine Eigenschaft des Systems, die hält, ob jemand zusieht oder nicht. Die Agentur bestand die Prüfung in der Zeit, die es dauerte, ein paar Absätze zu schreiben und einen Screenshot der Zugangs-Ebene zu teilen, weil die Arbeit des Bestehens Jahre zuvor getan worden war, als sie sich entschied, überhaupt keine Zugangsdaten zu verteilen.

Was „sicher durch Architektur" über den Fragebogen hinaus gewinnt

Der unterzeichnete Vertrag war der offensichtliche Preis, aber die Architektur zahlte sich auch nach Vertragsabschluss weiter aus. Dasselbe Setup, das das Einkaufsteam eines Kunden zufriedenstellte, stellte das nächste ohne zusätzliche Arbeit zufrieden, was bedeutete, dass die Agentur sicherheitsbewusste Accounts als Markt verfolgen konnte, statt jeden als Sonderfall zu behandeln. Jeder künftige Fragebogen traf auf dieselbe vorbereitete Antwort.

Sie änderte auch die interne Risiko-Haltung der Agentur. Ein gehender Buyer war ein Nicht-Ereignis — Platz entfernen, fertig — statt einer Zugangsdaten-Rotations-Feuerübung über ein Dutzend Kundenkonten. Das zugeordnete Änderungsprotokoll bedeutete, dass interne Übergaben mit einer vollständigen Karte jüngster Änderungen kamen. Und die Abwesenheit geteilter Geheimnisse bedeutete, dass die mit Abstand größte Angriffsfläche der Agentur, ein Tresor voller Kunden-Logins, schlicht nicht existierte, um kompromittiert zu werden. Die Architektur, die den Fragebogen gewann, war dieselbe, die die Agentur an jedem gewöhnlichen Tag schwerer beschädigbar machte, über alle sechs Werbeplattformen, die sie für Kunden verwaltete.

Die Lektion: Die stärkste Sicherheitsantwort ist, nichts Riskantes zu gestehen zu haben

Hinterher gefragt, was den Unterschied machte, sagte es die Operations-Leiterin klar: Die Agentur bestand die Sicherheitsprüfung nicht, indem sie besser im Verwalten riskanter Dinge war. Sie bestand, indem sie die riskanten Dinge nicht zu verwalten hatte. Es gab kein geteiltes Passwort zu schützen, keinen 2FA-Seed zu kontrollieren, kein Zugangsdaten-Paar zu rotieren, weil die Art, wie Buyer Kundenkonten erreichten, nie eines davon einbezog.

Das ist das Prinzip, das jede Agentur, die an ernsthafte Kunden verkauft, aufnehmen sollte. Wenn du dich nach oben bewegst, hört der Sicherheitsfragebogen auf, eine gelegentliche Überraschung zu sein, und wird zu einem Routine-Gate, und die Frage, die er wirklich stellt, ist immer dieselbe: Wo ist das Risiko in der Art, wie ihr unser Konto handhabt? Eine auf geteilten Logins gebaute Agentur muss diese Frage mit einer Liste von Abmilderungen beantworten, jede eine Stelle, an der sie scheitern könnte. Eine auf einem System-User-Token, internem rollenbasiertem Zugang und einem zugeordneten Audit-Trail gebaute Agentur kann sie mit Architektur beantworten — und die stärkstmögliche Antwort auf „wo ist das Risiko" erweist sich als die, die nichts Riskantes zu gestehen hat. Den Rest des Playbooks zum Betrieb einer Agentur auf diese Weise findest du im Agentur-Tools-Hub.