Google Ads ist für viele Unternehmen ein zentraler Vertriebskanal. Genau das macht Werbekonten zu einem attraktiven Ziel für Angreifer. In einem gut laufenden Konto stehen oft fünf- bis sechsstellige Monatsbudgets, und wer ein solches Konto übernimmt, kann innerhalb von Stunden erheblichen Schaden anrichten.
Zum 15. Juli 2026 führt Google eine neue Sicherheitsstufe ein, die jeden betrifft, der mit Google Ads arbeitet. In diesem Artikel erkläre ich, was sich ändert, wie du dein Konto absicherst und was zu tun ist, wenn doch einmal etwas schiefgeht.
Ab dem 15. Juli 2026 verlangt Google für bestimmte sicherheitskritische Aktionen in Google Ads einen Passkey statt eines Passworts. Es geht ausdrücklich nicht um den normalen Login und nicht um jede Aktion, sondern um besonders sensible Vorgänge.
Der normale Zugang zum Konto bleibt also weiter über die gewohnten Anmeldemethoden möglich. Aber wer eine der besonders geschützten Aktionen ausführen will, läuft ohne Passkey in eine zusätzliche Bestätigungsschwelle.
Google bezieht zunächst vor allem Vorgänge ein, bei denen ein Angreifer großen Schaden anrichten könnte. In der Praxis sind das vor allem diese:
Genau diese Aktionen sind die, die ein Angreifer bei einer Konto-Übernahme zuerst ausführen würde: sich selbst Zugriff verschaffen, Budgets umleiten, Zahlungswege kapern. Indem Google sie hinter einen Passkey legt, wird die häufigste Angriffsmasche deutlich erschwert.
Ein Passkey ist eine moderne Anmeldemethode, die das klassische Passwort ersetzt. Statt einer Zeichenkette, die jemand stehlen, erraten oder abphishen kann, nutzt der Passkey eine kryptografische Bindung an dein Gerät. Zum Bestätigen verwendest du Fingerabdruck, Gesichtserkennung oder die Geräte-PIN.
Der entscheidende Vorteil: Ein Passkey lässt sich nicht aus einer Datenbank entwenden und nicht über eine gefälschte Login-Seite abgreifen. Selbst wenn ein Angreifer dein E-Mail-Postfach übernimmt und versucht, sich in Google Ads einzuloggen, scheitert er, weil ihm dein physisches Gerät fehlt. Damit ist der Passkey gegen Phishing weitgehend immun, und Phishing ist nach wie vor der häufigste Weg, über den Werbekonten kompromittiert werden.
In den letzten Monaten gab es vermehrt Phishing-Wellen gegen Google-Ads-Konten, unter anderem über gefälschte Einladungen zu Manager-Konten. Angreifer verschicken dabei täuschend echte Zugriffsanfragen, in der Hoffnung, dass jemand sie unbedacht annimmt oder seine Login-Daten auf einer gefälschten Seite eingibt.
Der Passkey setzt genau an diesem Punkt an. Selbst wenn jemand auf eine solche Falle hereinfällt und seine Zugangsdaten preisgibt, kann der Angreifer die kritischen Aktionen ohne den Passkey nicht ausführen.
Jeder, der berechtigt ist, eine der betroffenen Aktionen auszuführen. Das betrifft typischerweise:
Wichtig: Ein Passkey wird pro Person und pro Gerät eingerichtet, nicht für das Konto als Ganzes. Wenn fünf Personen in deinem Team Admin-Zugriff haben, müssen alle fünf einen eigenen Passkey für ihr Google-Konto anlegen, jeweils auf dem Gerät, das sie für Google Ads nutzen.
Die Einrichtung läuft nicht über Google Ads selbst, sondern über dein Google-Konto. Auf einem Gerät, das du regelmäßig nutzt, dauert das nur wenige Minuten.
Schritt 1: Gehe auf deinem Arbeitsgerät zu myaccount.google.com und melde dich mit dem Konto an, mit dem du Google Ads nutzt. Wenn du mehrere Google-Konten parallel hast, achte darauf, im richtigen zu sein.
Schritt 2: Klicke links auf den Bereich "Sicherheit". Dort findest du den Abschnitt, in dem die Anmeldemethoden verwaltet werden.
Schritt 3: Wähle "Passkeys" und folge dem Einrichtungsprozess. Je nach Gerät bestätigst du mit Fingerabdruck, Gesichtserkennung oder Geräte-PIN. Google legt dann einen Passkey an, der an dieses Gerät gebunden ist.
Schritt 4: Lege idealerweise einen zweiten Passkey auf einem anderen Gerät an, das du regelmäßig nutzt. Falls dein Hauptgerät verloren geht, hast du so eine Alternative. Bewährt hat sich die Kombination aus Arbeitsrechner und Smartphone.
Es gibt einen technischen Grund, der oft übersehen wird: Ein neu eingerichteter Passkey wird mit einer Wartezeit von sieben Tagen aktiviert, bevor er für sicherheitskritische Aktionen genutzt werden kann.
Diese Wartezeit ist ein Schutzmechanismus. Sie verhindert, dass ein Angreifer bei einem bereits kompromittierten Konto schnell einen eigenen Passkey einrichtet und damit sofort die Sicherheitsschwelle umgeht.
Für dich heißt das konkret: Wer am 14. Juli noch schnell einen Passkey anlegt, kann ihn am 15. Juli für eine sensible Aktion noch nicht nutzen. Wenn du im Juli sicherheitsrelevante Änderungen planst, etwa einen Agenturwechsel oder eine Anpassung der Zahlungsdaten, musst du den Passkey rechtzeitig vorher einrichten.
Es gibt zwei Szenarien. Im günstigeren Fall führt Google dich genau an der Stelle, an der du eine kritische Aktion auslöst, durch die Passkey-Einrichtung. Das funktioniert, wenn du Zeit hast und das richtige Gerät zur Hand ist.
Im ungünstigeren Fall willst du gerade unter Zeitdruck eine wichtige Änderung vornehmen, hast aber dein Smartphone nicht griffbereit oder sitzt an einem fremden Rechner. Dann steht die Aktion still, bis du den Passkey eingerichtet hast. Genau diese Situation vermeidest du, wenn du das Setup jetzt in einer ruhigen Minute erledigst.
Wenn du mit einer Agentur oder einem externen Berater arbeitest, solltest du die Passkey-Einrichtung rechtzeitig mit allen Beteiligten abstimmen. In der Praxis tauchen die Probleme selten beim eigenen Konto auf, sondern dort, wo externe Zugriffsberechtigte ihren Passkey noch nicht eingerichtet haben.
Eine kurze Erinnerung an alle, die Admin-Zugriff auf dein Konto haben, spart später Stress. Das gilt in beide Richtungen: Auch wir als Agentur gehen aktiv auf unsere Kunden zu, damit niemand zum Stichtag unvorbereitet ist.
Der Passkey ist ein wichtiger Baustein, aber er ersetzt nicht die grundlegende Sicherheitshygiene. Diese Maßnahmen bleiben unverändert wichtig.
Auch wenn der Passkey das Passwort für kritische Aktionen ablöst, bleibt das Passwort die erste Verteidigungslinie für den allgemeinen Zugang. Mindestens zwölf Zeichen, eine Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Für jedes Konto ein eigenes. Ein Passwortmanager wie 1Password oder Bitwarden nimmt dir die Verwaltung ab.
Die Zwei-Faktor-Authentifizierung schützt den Login zusätzlich. Nutze dafür möglichst eine Authenticator-App oder einen Hardware-Sicherheitsschlüssel. SMS-Codes sind die schwächste Variante, weil sie über sogenanntes SIM-Swapping angreifbar sind, und sollten nur als Notlösung dienen.
Geh in Google Ads unter "Verwaltung" und "Zugriff und Sicherheit" regelmäßig alle aktiven Zugänge durch. Entferne alte oder unbekannte Konten. Wer hat eigentlich noch Zugriff, der ihn nicht mehr braucht? Diese Frage stellen sich zu wenige Werbetreibende.
Aktiviere Benachrichtigungen, die dich bei ungewöhnlich hohen Ausgaben sofort informieren. So fällt dir ein Angriff im besten Fall auf, bevor großer Schaden entsteht. Das Änderungsprotokoll in Google Ads zeigt dir zudem, wer welche Änderungen vorgenommen hat.
Wenn du den Verdacht hast, dass dein Konto kompromittiert wurde, zählt jede Minute.
Ändere als Erstes dein Passwort, und zwar auch für alle verbundenen Dienste, vor allem für das zugehörige E-Mail-Konto. Prüfe und entferne unbekannte Nutzerzugriffe im Konto. Dokumentiere den Schaden, also welche Kampagnen und Einstellungen verändert wurden, damit du einen klaren Überblick hast. Und kontaktiere den Google-Ads-Support, um den Vorfall zu melden und gegebenenfalls eine Wiederherstellung einzuleiten.
Eine vollständige Rückerstattung durch Google ist nicht garantiert, deshalb ist Vorbeugung deutlich wirksamer als Schadensbegrenzung.
Der 15. Juli ist nur der Anfang. Google wird die Passkey-Anforderung voraussichtlich schrittweise ausweiten und über die kommenden Monate weitere Aktionen einbeziehen. Wer jetzt einsteigt, ist auch für die nächsten Stufen vorbereitet. Wer wartet, holt jede Stufe einzeln und oft unter Zeitdruck nach.
Wenn du dir nach diesem Artikel denkst "ich habe ehrlich gesagt noch nie geprüft, wer alles Zugriff auf mein Konto hat" oder "Passkeys sind für mich noch Neuland", schreib mir kurz über das Kontaktformular, wo du stehst. Ich melde mich dann persönlich bei dir.
Copyright 2026 Christoph Mohr | Alle Rechte vorbehalten | Informationen zum Datenschutz | Impressum | KI-Informationen
Dieses Blog basiert auf der Inbound Marketing-Plattform Chimpify
Was denkst du?