Google Ads Konto schützen: Passkey-Pflicht ab Juli

• • •

Google Ads ist für viele Unternehmen ein zentraler Vertriebskanal. Genau das macht Werbekonten zu einem attraktiven Ziel für Angreifer. In einem gut laufenden Konto stehen oft fünf- bis sechsstellige Monatsbudgets, und wer ein solches Konto übernimmt, kann innerhalb von Stunden erheblichen Schaden anrichten.

Zum 15. Juli 2026 führt Google eine neue Sicherheitsstufe ein, die jeden betrifft, der mit Google Ads arbeitet. In diesem Artikel erkläre ich, was sich ändert, wie du dein Konto absicherst und was zu tun ist, wenn doch einmal etwas schiefgeht.

Was ändert sich ab dem 15. Juli 2026?

Ab dem 15. Juli 2026 verlangt Google für bestimmte sicherheitskritische Aktionen in Google Ads einen Passkey statt eines Passworts. Es geht ausdrücklich nicht um den normalen Login und nicht um jede Aktion, sondern um besonders sensible Vorgänge.

Der normale Zugang zum Konto bleibt also weiter über die gewohnten Anmeldemethoden möglich. Aber wer eine der besonders geschützten Aktionen ausführen will, läuft ohne Passkey in eine zusätzliche Bestätigungsschwelle.

Welche Aktionen sind betroffen?

Google bezieht zunächst vor allem Vorgänge ein, bei denen ein Angreifer großen Schaden anrichten könnte. In der Praxis sind das vor allem diese:

  • Konto-Verknüpfungen ändern: Neue Verbindungen zu Manager-Konten (MCC) annehmen oder bestehende Verknüpfungen anpassen.
  • Zugriffsrechte verwalten: Neue Nutzer mit Admin-Rechten hinzufügen oder die Rechte bestehender Nutzer ändern.
  • Zahlungseinstellungen anpassen: Hinterlegte Karte oder SEPA-Mandat austauschen, Rechnungsadresse ändern.
  • Sicherheitseinstellungen ändern: Bestimmte Schutzmechanismen im Konto deaktivieren oder anpassen.

Genau diese Aktionen sind die, die ein Angreifer bei einer Konto-Übernahme zuerst ausführen würde: sich selbst Zugriff verschaffen, Budgets umleiten, Zahlungswege kapern. Indem Google sie hinter einen Passkey legt, wird die häufigste Angriffsmasche deutlich erschwert.

Was ist ein Passkey überhaupt?

Ein Passkey ist eine moderne Anmeldemethode, die das klassische Passwort ersetzt. Statt einer Zeichenkette, die jemand stehlen, erraten oder abphishen kann, nutzt der Passkey eine kryptografische Bindung an dein Gerät. Zum Bestätigen verwendest du Fingerabdruck, Gesichtserkennung oder die Geräte-PIN.

Der entscheidende Vorteil: Ein Passkey lässt sich nicht aus einer Datenbank entwenden und nicht über eine gefälschte Login-Seite abgreifen. Selbst wenn ein Angreifer dein E-Mail-Postfach übernimmt und versucht, sich in Google Ads einzuloggen, scheitert er, weil ihm dein physisches Gerät fehlt. Damit ist der Passkey gegen Phishing weitgehend immun, und Phishing ist nach wie vor der häufigste Weg, über den Werbekonten kompromittiert werden.

Warum führt Google das gerade jetzt ein?

In den letzten Monaten gab es vermehrt Phishing-Wellen gegen Google-Ads-Konten, unter anderem über gefälschte Einladungen zu Manager-Konten. Angreifer verschicken dabei täuschend echte Zugriffsanfragen, in der Hoffnung, dass jemand sie unbedacht annimmt oder seine Login-Daten auf einer gefälschten Seite eingibt.

Der Passkey setzt genau an diesem Punkt an. Selbst wenn jemand auf eine solche Falle hereinfällt und seine Zugangsdaten preisgibt, kann der Angreifer die kritischen Aktionen ohne den Passkey nicht ausführen.

Wer in meinem Team muss aktiv werden?

Jeder, der berechtigt ist, eine der betroffenen Aktionen auszuführen. Das betrifft typischerweise:

  • Die Konto-Inhaberin oder den Konto-Inhaber
  • Alle Personen mit Admin-Zugriff auf das Google Ads Konto
  • Externe Berater oder Agenturen, die Aktionen mit Admin-Rechten ausführen
  • Mitarbeitende, die Zahlungsmethoden hinterlegen oder ändern

Wichtig: Ein Passkey wird pro Person und pro Gerät eingerichtet, nicht für das Konto als Ganzes. Wenn fünf Personen in deinem Team Admin-Zugriff haben, müssen alle fünf einen eigenen Passkey für ihr Google-Konto anlegen, jeweils auf dem Gerät, das sie für Google Ads nutzen.

Wie richte ich einen Passkey ein?

Die Einrichtung läuft nicht über Google Ads selbst, sondern über dein Google-Konto. Auf einem Gerät, das du regelmäßig nutzt, dauert das nur wenige Minuten.

Schritt 1: Gehe auf deinem Arbeitsgerät zu myaccount.google.com und melde dich mit dem Konto an, mit dem du Google Ads nutzt. Wenn du mehrere Google-Konten parallel hast, achte darauf, im richtigen zu sein.

Schritt 2: Klicke links auf den Bereich "Sicherheit". Dort findest du den Abschnitt, in dem die Anmeldemethoden verwaltet werden.

Schritt 3: Wähle "Passkeys" und folge dem Einrichtungsprozess. Je nach Gerät bestätigst du mit Fingerabdruck, Gesichtserkennung oder Geräte-PIN. Google legt dann einen Passkey an, der an dieses Gerät gebunden ist.

Schritt 4: Lege idealerweise einen zweiten Passkey auf einem anderen Gerät an, das du regelmäßig nutzt. Falls dein Hauptgerät verloren geht, hast du so eine Alternative. Bewährt hat sich die Kombination aus Arbeitsrechner und Smartphone.

Warum solltest du den Passkey jetzt einrichten und nicht erst im Juli?

Es gibt einen technischen Grund, der oft übersehen wird: Ein neu eingerichteter Passkey wird mit einer Wartezeit von sieben Tagen aktiviert, bevor er für sicherheitskritische Aktionen genutzt werden kann.

Diese Wartezeit ist ein Schutzmechanismus. Sie verhindert, dass ein Angreifer bei einem bereits kompromittierten Konto schnell einen eigenen Passkey einrichtet und damit sofort die Sicherheitsschwelle umgeht.

Für dich heißt das konkret: Wer am 14. Juli noch schnell einen Passkey anlegt, kann ihn am 15. Juli für eine sensible Aktion noch nicht nutzen. Wenn du im Juli sicherheitsrelevante Änderungen planst, etwa einen Agenturwechsel oder eine Anpassung der Zahlungsdaten, musst du den Passkey rechtzeitig vorher einrichten.

Was passiert, wenn ich am 15. Juli noch keinen Passkey habe?

Es gibt zwei Szenarien. Im günstigeren Fall führt Google dich genau an der Stelle, an der du eine kritische Aktion auslöst, durch die Passkey-Einrichtung. Das funktioniert, wenn du Zeit hast und das richtige Gerät zur Hand ist.

Im ungünstigeren Fall willst du gerade unter Zeitdruck eine wichtige Änderung vornehmen, hast aber dein Smartphone nicht griffbereit oder sitzt an einem fremden Rechner. Dann steht die Aktion still, bis du den Passkey eingerichtet hast. Genau diese Situation vermeidest du, wenn du das Setup jetzt in einer ruhigen Minute erledigst.

Was sollten Agenturkunden besonders beachten?

Wenn du mit einer Agentur oder einem externen Berater arbeitest, solltest du die Passkey-Einrichtung rechtzeitig mit allen Beteiligten abstimmen. In der Praxis tauchen die Probleme selten beim eigenen Konto auf, sondern dort, wo externe Zugriffsberechtigte ihren Passkey noch nicht eingerichtet haben.

Eine kurze Erinnerung an alle, die Admin-Zugriff auf dein Konto haben, spart später Stress. Das gilt in beide Richtungen: Auch wir als Agentur gehen aktiv auf unsere Kunden zu, damit niemand zum Stichtag unvorbereitet ist.

Welche Sicherheitsmaßnahmen bleiben darüber hinaus wichtig?

Der Passkey ist ein wichtiger Baustein, aber er ersetzt nicht die grundlegende Sicherheitshygiene. Diese Maßnahmen bleiben unverändert wichtig.

Starke, einzigartige Passwörter

Auch wenn der Passkey das Passwort für kritische Aktionen ablöst, bleibt das Passwort die erste Verteidigungslinie für den allgemeinen Zugang. Mindestens zwölf Zeichen, eine Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Für jedes Konto ein eigenes. Ein Passwortmanager wie 1Password oder Bitwarden nimmt dir die Verwaltung ab.

Zwei-Faktor-Authentifizierung

Die Zwei-Faktor-Authentifizierung schützt den Login zusätzlich. Nutze dafür möglichst eine Authenticator-App oder einen Hardware-Sicherheitsschlüssel. SMS-Codes sind die schwächste Variante, weil sie über sogenanntes SIM-Swapping angreifbar sind, und sollten nur als Notlösung dienen.

Zugriffe regelmäßig prüfen

Geh in Google Ads unter "Verwaltung" und "Zugriff und Sicherheit" regelmäßig alle aktiven Zugänge durch. Entferne alte oder unbekannte Konten. Wer hat eigentlich noch Zugriff, der ihn nicht mehr braucht? Diese Frage stellen sich zu wenige Werbetreibende.

Budgetwarnungen einrichten

Aktiviere Benachrichtigungen, die dich bei ungewöhnlich hohen Ausgaben sofort informieren. So fällt dir ein Angriff im besten Fall auf, bevor großer Schaden entsteht. Das Änderungsprotokoll in Google Ads zeigt dir zudem, wer welche Änderungen vorgenommen hat.

Was tun, wenn mein Konto bereits gehackt wurde?

Wenn du den Verdacht hast, dass dein Konto kompromittiert wurde, zählt jede Minute.

Ändere als Erstes dein Passwort, und zwar auch für alle verbundenen Dienste, vor allem für das zugehörige E-Mail-Konto. Prüfe und entferne unbekannte Nutzerzugriffe im Konto. Dokumentiere den Schaden, also welche Kampagnen und Einstellungen verändert wurden, damit du einen klaren Überblick hast. Und kontaktiere den Google-Ads-Support, um den Vorfall zu melden und gegebenenfalls eine Wiederherstellung einzuleiten.

Eine vollständige Rückerstattung durch Google ist nicht garantiert, deshalb ist Vorbeugung deutlich wirksamer als Schadensbegrenzung.

Wie geht es nach dem 15. Juli weiter?

Der 15. Juli ist nur der Anfang. Google wird die Passkey-Anforderung voraussichtlich schrittweise ausweiten und über die kommenden Monate weitere Aktionen einbeziehen. Wer jetzt einsteigt, ist auch für die nächsten Stufen vorbereitet. Wer wartet, holt jede Stufe einzeln und oft unter Zeitdruck nach.

Deine Checkliste zur Vorbereitung

  • Eigenen Passkey jetzt einrichten: Im Google-Konto unter "Sicherheit" einen Passkey für dein Hauptgerät anlegen, plus ein zweites Gerät als Backup.
  • Team und externe Berater informieren: Allen Personen mit Admin-Zugriff eine Erinnerung schicken, bis wann sie ihren Passkey eingerichtet haben sollen.
  • Aktive Zugriffe prüfen: Unter "Verwaltung" und "Zugriff und Sicherheit" alle Zugänge durchgehen und unbekannte entfernen.
  • Backup-Geräte dokumentieren: Festhalten, welche Geräte als Passkey-Quelle dienen, damit du bei einem Gerätewechsel schnell reagieren kannst.
  • Sicherheitsroutine etablieren: Einen festen Quartalstermin im Kalender, um Zugriffe, Passkeys und Sicherheitseinstellungen zu prüfen.

Wie sicher ist dein Google Ads Konto aufgestellt?

Wenn du dir nach diesem Artikel denkst "ich habe ehrlich gesagt noch nie geprüft, wer alles Zugriff auf mein Konto hat" oder "Passkeys sind für mich noch Neuland", schreib mir kurz über das Kontaktformular, wo du stehst. Ich melde mich dann persönlich bei dir.

Hier kommst du zum Kontaktformular.

Melde dich jetzt zum Google Ads Kurs an:

Sichere dir zusätzlich jetzt den exklusiven Report 📥 zum Herunterladen 📥 und mache Schluss mit Geldverschwendung.

Autor

ProvenExpert Banner

Noch keine Kommentare vorhanden

Was denkst du?

Copyright 2026 Christoph Mohr | Alle Rechte vorbehalten | Informationen zum Datenschutz | Impressum | KI-Informationen


Dieses Blog basiert auf der Inbound Marketing-Plattform Chimpify

Melde dich jetzt zum Google Ads Kurs an:

Sichere dir zusätzlich jetzt den exklusiven Report 📥 zum Herunterladen 📥 und mache Schluss mit Geldverschwendung.