Conversion Traffic
Passkey-Pflicht ab 15. Juli: Was sich bei Google Ads ändert und wie du dich vorbereitest
Google Ads News 6 Min. Lesezeit

Passkey-Pflicht ab 15. Juli: Was sich bei Google Ads ändert und wie du dich vorbereitest

Das Wichtigste zusammengefasst

Google Ads verlangt ab dem 15. Juli 2026 für bestimmte Konto-Aktionen Passkeys statt Passwort. Welche Aktionen genau betroffen sind, hat Google noch nicht final veröffentlicht. Klar ist: Wer mit Google Ads arbeitet, sollte vor dem Stichtag einen Passkey eingerichtet haben. Sonst riskierst du, dass kritische Aktionen plötzlich nicht mehr durchführbar sind.

Vor wenigen Wochen ging eine Phishing-Welle über gefälschte MCC-Einladungen durch die Branche. Genau gegen diese Art von Angriff zielt die nächste Sicherheits-Stufe von Google: Passkeys. Ab dem 15. Juli 2026 werden bestimmte Aktionen in Google Ads nur noch mit Passkey-Authentifizierung möglich sein. Welche Aktionen das genau sind, hat Google bisher nicht im Detail kommuniziert. Geplant ist nicht der harte Schnitt für jeden Login, sondern eine schrittweise Umstellung für besonders sicherheitskritische Vorgänge.

Was ist ein Passkey überhaupt?

Passkey in Kürze

Ein Passkey ist eine moderne Form der Anmeldung, die das klassische Passwort ersetzt. Statt eines Strings, den jemand stehlen oder erraten kann, nutzt der Passkey eine kryptographische Bindung an dein Gerät. Zum Anmelden bestätigst du mit Fingerabdruck, Face ID oder einer Geräte-PIN. Ohne dein Gerät kommt niemand rein, selbst wenn er deine E-Mail-Adresse kennt.

Der entscheidende Unterschied zum Passwort: Ein Passkey lässt sich nicht klauen, nicht abphishen und nicht in einer Datenbank entwenden. Selbst wenn ein Angreifer dein E-Mail-Postfach übernimmt und versucht, sich in Google Ads einzuloggen, scheitert er, weil ihm dein Gerät fehlt. Genau diesen Vektor adressiert Google jetzt für Werbekonten, in denen oft fünf- bis sechsstellige Monatsbudgets stehen.

Welche Aktionen sind ab 15. Juli betroffen?

Google hat im offiziellen Hilfe-Dokument klargemacht: Es geht nicht um den normalen Login, und es geht nicht um jede Aktion. Betroffen sind ausschließlich besonders sicherheitskritische Vorgänge.

In der Praxis sind das vor allem:

  • Account-Verknüpfungen ändern. Neue MCC-Verbindungen akzeptieren, bestehende verknüpfte Konten anpassen.
  • Benutzer-Zugriff anpassen. Neue Nutzer mit Admin-Rechten hinzufügen, Rechte von bestehenden Nutzern ändern.
  • Zahlungs-Einstellungen. Hinterlegte Karte oder SEPA-Mandat austauschen, Rechnungsstellungs-Adresse ändern.
  • Sicherheits-relevante Aktionen. Bestimmte Schutz-Einstellungen im Konto deaktivieren oder anpassen.

Wichtig dabei: Andere Login-Methoden bleiben weiter nutzbar. Wer keinen Passkey eingerichtet hat, kann sich grundsätzlich weiter anmelden, läuft aber bei den oben genannten Aktionen in eine zusätzliche Bestätigungs-Schwelle. Bei Konten, die von der neuen Regel betroffen sind, kündigt Google die Umstellung über E-Mail und über In-Product-Hinweise vorher an.

Hinzu kommt eine Sicherheits-Mechanik: Neu eingerichtete Passkeys werden mit einer Wartezeit von sieben Tagen aktiviert, bevor sie für sensitive Aktionen genutzt werden können. Das schützt davor, dass ein Angreifer bei einem kompromittierten Konto sofort einen neuen Passkey einrichtet und damit die Sicherheits-Schwelle umgeht. Konkret heißt das: Wer am 14. Juli noch schnell einen Passkey anlegt, kann ihn am 15. Juli für eine sensitive Aktion noch nicht nutzen. Vorbereitung jetzt ist deshalb nicht nur entspannter, sondern auch zwingend, wenn du im Juli noch sicherheits-relevante Änderungen planst.

Wer in meinem Team muss aktiv werden?

Jeder, der zu einem der betroffenen Vorgänge berechtigt ist. Das umfasst typischerweise:

  • Die Konto-Inhaberin oder den Konto-Inhaber
  • Alle Personen mit Admin-Zugriff im Google Ads Konto
  • Externe Berater oder Agenturen, die Aktionen mit Admin-Rechten ausführen
  • Mitarbeitende, die Zahlungsmethoden hinterlegen oder ändern

Wichtig dabei: Ein Passkey wird pro Person und pro Gerät eingerichtet, nicht für das Konto als Ganzes. Wenn fünf Personen in deinem Team Admin-Zugriff haben, müssen alle fünf Personen einen Passkey für ihr eigenes Google-Konto einrichten, jeweils auf dem Gerät, das sie für Google Ads nutzen.

Wie richte ich einen Passkey ein?

Die Einrichtung läuft nicht über Google Ads selbst, sondern über dein Google-Konto. Der Vorgang dauert auf einem Gerät, das du regelmäßig nutzt, wenige Minuten.

1
Google-Konto öffnen

Gehe auf deinem normalen Arbeitsgerät zu myaccount.google.com und logge dich mit dem Account ein, mit dem du Google Ads nutzt. Falls du mehrere Google-Konten parallel betreibst, achte darauf, dass du im richtigen Account bist.

myaccount.google.com
2
Sicherheit aufrufen

Klicke links auf den Bereich „Sicherheit”. Dort findest du den Abschnitt „So melden Sie sich in Ihrem Google-Konto an”. Hier wird der Passkey angelegt.

Bereich Sicherheit
3
Passkey erstellen

Wähle „Passkeys” aus und folge dem Setup-Prozess. Je nach Gerät bestätigst du mit Fingerabdruck, Face ID oder Geräte-PIN. Google legt dann einen Passkey ab, der an dieses Gerät gebunden ist.

BiometriePIN
4
Zweites Gerät zur Sicherheit hinzufügen

Lege idealerweise einen zweiten Passkey auf einem anderen Gerät an, das du regelmäßig nutzt. Falls dein Hauptgerät verloren geht, hast du so eine Alternative. Empfehlenswert sind die Kombination aus Arbeitsrechner und Smartphone.

Backup

Was passiert, wenn ich am 15. Juli noch keinen Passkey habe?

Hier gibt es zwei Szenarien. Im wahrscheinlicheren Fall führt Google dich an der Stelle, an der eine sicherheitskritische Aktion ausgelöst wird, durch den Passkey-Einrichtungs-Prozess. Das funktioniert, wenn du Zeit hast und das richtige Gerät zur Hand ist. Im schlechteren Fall versuchst du gerade unter Zeitdruck eine wichtige Aktion durchzuführen, hast aber dein Privat-Smartphone gerade nicht griffbereit oder bist auf einem fremden Rechner. Dann steht die Aktion bis zur Einrichtung still.

Genau solche Situationen lassen sich vermeiden, wenn du das Setup jetzt in einer ruhigen Minute erledigst, statt es im Notfall nachzuholen.

Experten-Tipp

Wer mit einer Agentur arbeitet, sollte die Einrichtung von Passkeys spätestens im Juni mit allen Beteiligten abstimmen. In der Praxis tauchen die Probleme nicht beim eigenen Konto auf, sondern dort, wo externe Beraterinnen oder Berater Zugriff haben, ihren Passkey aber noch nicht eingerichtet haben. Ein kurzes E-Mail-Memo an alle externen Zugriffsberechtigten spart später Stress.

Was bedeutet das für Kanzleien und sensible Branchen?

Für Branchen mit erhöhten Compliance-Anforderungen ist die Umstellung ein willkommener Schritt. Wer in einer Kanzlei oder einer Steuerberatung Werbekonten verwaltet, kann gegenüber Mandanten oder der Geschäftsführung jetzt sauber dokumentieren, dass der Zugriff auf das Marketing-Budget zwei-Faktor-geschützt und phishing-resistent abgesichert ist. Das ist mehr als nur Hygiene, das ist nachweisbare Sorgfaltspflicht.

Auch bei Finanzdienstleistern, deren Konten oft mit hohem Tagesbudget laufen, ist der Schutz der Zugriffs-Ebene direkt ein Schutz des Werbe-Budgets. Ein einziger erfolgreicher Phishing-Angriff kann bei einem aktiven Konto innerhalb eines Tages mittlere fünfstellige Schäden verursachen.

Was sich für die nächsten Monate noch ändern wird

Der 15. Juli ist nur der Anfang. Google fährt die Passkey-Anforderung schrittweise hoch und wird mit hoher Wahrscheinlichkeit über die kommenden zwölf Monate weitere Aktionen einbeziehen. Wer jetzt einsteigt, ist auch für die nächsten Stufen vorbereitet. Wer wartet, holt jede Stufe einzeln nach.

Parallel ist die Empfehlung weiterhin: Aktive Zwei-Faktor-Authentifizierung, regelmäßige Prüfung der Zugriffe unter „Verwaltung” und „Zugriff und Sicherheit”, und ein dokumentierter Prozess, wie mit unerwarteten Einladungen oder Anfragen umgegangen wird. Passkey ersetzt diese Schritte nicht, er ergänzt sie.

Deine Checkliste

Empfohlener Ablaufplan für die Vorbereitung:

Checkliste
  • Eigenen Passkey jetzt einrichten. Im Google-Konto unter „Sicherheit” einen Passkey für dein Hauptgerät anlegen, idealerweise plus ein zweites Gerät als Backup.
  • Team und externe Berater informieren. Allen Personen mit Admin-Zugriff auf das Google Ads Konto eine kurze Erinnerung schicken, bis wann sie ihren eigenen Passkey eingerichtet haben sollen.
  • Aktive Zugriffe prüfen. In Google Ads unter „Verwaltung” und „Zugriff und Sicherheit” alle aktiven Zugriffe durchgehen und unbekannte Konten entfernen.
  • Backup-Login dokumentieren. Festhalten, welche Geräte für welches Konto als Passkey-Quelle eingerichtet sind, damit bei Geräte-Wechsel oder Verlust schnell reagiert werden kann.
  • Sicherheits-Routine etablieren. Einen festen Quartals-Termin im Kalender, um Zugriffe, Passkeys und Sicherheits-Einstellungen zu prüfen.
Benjamin Häntzschel

Verlierst du mit Google Ads mehr Geld, als du solltest?

Ich zeige dir, wo dein Account Potenzial verschenkt – und wie du mehr aus deinem Budget herausholst.

Performance-Plan sichern →

Das könnte dich auch interessieren