Hacker übernehmen dein Google Ads-Konto? So passiert es!

00:00:00: Stell dir vor, jemand hackt deine Google Ads-Kontodaten, also dein Google-Login,

00:00:05: stellt Kampagnen am Wochenende, du bekommst das dich mit und hast mehrere 1000 Euro Schaden.

00:00:11: Das ist tatsächlich wieder kürzlich passiert bei einem Kunden und ich sag dir in diesem Video,

00:00:15: wie du das verhindernst.

00:00:16: Damit sage ich herzlich willkommen zu diesem Video und ja, das ist tatsächlich ein gerade sehr

00:00:33: aktuelles Thema. Wir hatten das in den letzten Monaten ab und zu und jetzt hatten wir es gerade

00:00:37: wieder bei einem Kunden und zwar ist Folgendes passiert. Am Sonntag kam eine E-Mail von Google,

00:00:42: das Google das Google Ads-Konto gesperrt hat, weil es kompromitiert wurde. Also es wurde darauf

00:00:48: zugegriffen und es wurden halt Dinge dort eingerichtet, die unüblich sind und die tatsächlich für Google

00:00:54: sehr auffällig waren. Zum Glück hat Google das Konto gesperrt, weil Google rechtzeitig erkannt

00:01:00: hat, dass dort jemand nämlich mit dem Kunden-Login in das Google Ads-Konto gegangen ist, eine

00:01:06: Kampagne angelegt hat und mit dem Geld anderer Leute, Other People's Money, Traffic, Clicks und

00:01:12: Co. auf die eigene Seite geschoben hat. Und jetzt fragt dich einfach mal, würdest du das am Wochenende

00:01:17: mitbekommen? Und die meisten wahrscheinlich nicht, deswegen werden viele dieser, ich nenne sie jetzt

00:01:23: einfach mal Hacker, die dann eben diese Google Ads-Konten anlegen und quasi mit deinem Geld

00:01:28: sich Traffic auf die Seite holen, dass darauf anlegen, dass sie dann eben zu den Wochenendzeiten

00:01:34: in dem jeweiligen Land tatsächlich diese Aktion durchführen. Denn, stell dir vor, Samstag Mittag

00:01:40: wird das eingerichtet, das läuft den kompletten Samstag durch, das läuft den kompletten Sonntag

00:01:44: durch und dann merkt man es hoffentlich am Montag erst und bis dahin kannst du schon einige 1000

00:01:49: Euro an Schaden haben. Ja und das Problem wird sein, dass Google diese Kosten auch nicht zurückerstattet,

00:01:55: denn du kannst ja mit gewissen Sicherheitsmechanismen verhindern, dass dir so etwas passiert. Aber

00:02:02: nochmal einmal kurz zurück, da bin ich jetzt vielleicht ein bisschen schnell drüber gegangen.

00:02:05: Wie läuft das ab? Also jemand bekommt aus irgendeiner Quelle deine Lock-in-Daten zu deinem

00:02:13: Google Ads-Konto. In deinem Google Ads-Konto kannst du ja jederzeit weitere Kampagnen anlegen,

00:02:19: die quasi auch nach der Freischaltung der Anzeige sofort loslaufen und sofort Klicks und

00:02:24: natürlich auch Kosten erzeugen. Und wenn du dein Google Ads-Lock-in nicht weiter geschützt hast,

00:02:30: also du hast entweder ein sehr einfaches Passwort oder du verwendest keine sogenannte

00:02:35: zwei Faktor-Authentifizierung, dann musst du natürlich dringend aufpassen und solltest

00:02:41: das auch dringend ändern, weil dann kann nämlich genau das passieren, dass jemand eine Kampagne

00:02:46: in seinem Namen anlegt in deinem Konto und mit deinem Geld, also mit deinen Kampagnenkosten,

00:02:52: dann entsprechend sich Traffic auf die eigene Seite schickt. Und je nachdem, wie lange du

00:02:56: dafür brauchst, das festzustellen, kann das einen sehr großen Schaden verursachen. Ich kenne Kunden

00:03:02: Konten, wo nur einmal im Monat sich jemand einlockt und eine Rechnung herunter lädt. Und selbst da ist

00:03:07: die Frage, würde diese Person feststellen, dass da irgendwas anders läuft? Denn man könnte ja auch

00:03:13: sagen, okay, dann nehme ich das Budget von den eigenen Originalkampagnen runter und setze die

00:03:18: Differenz mit meiner Kampagne hoch oder schalte einfach eine andere Anzeige und versuche einfach

00:03:24: blind Traffic zu bekommen. Da ist die Frage, wann würde dir das tatsächlich auffallen? Seid ihr also

00:03:30: bitte mithilfe dieser Folge bewusst, dass das passiert, dass das passieren kann, dass du da

00:03:36: ein Auge drauf wirfst, das ist jetzt nicht so, als ob das jeden Tag passiert, aber es kam jetzt

00:03:41: tatsächlich in den letzten Monaten ab und einmal vor und dass du unbedingt dein persönliches

00:03:47: Google-Lock in schützt. Das heißt als allererstes nimmst du bitte ein Passwort, was einfach kryptisch

00:03:54: ist. Da gibt es, das kenne ich jetzt, weil auch mein Sohn, der ist jetzt zehn Jahre alt, auch der hat

00:03:59: in der Schule tatsächlich schon gelernt, wie man gute Kennwörter setzt, indem man zum Beispiel

00:04:04: sich einen vollständigen Satz überlegt und aus diesem Satz einfach die Anfangsbuchstaben nimmt

00:04:11: mit der groß- und Kleinschreibung. Im Idealfall natürlich auch mit einem Sonderzeichen und mit

00:04:15: einer Zahl noch dazu. Aber so kannst du dir ein relativ kryptisch aussehendes Passwort nehmen,

00:04:21: was aber von außen oder für dich im Alltag relativ schnell, wenn du dir diesen Satz einfach

00:04:28: wieder vorsagst, für dich auch eintippbar ist. Also nehmen wir einen Satz, ich habe am 1.1.2020

00:04:36: meine Frau Melanie geheiratet. Das habe ich dir hier einfach einmal aufgeschrieben und dann könntest

00:04:42: du folgendes Kennwort daraus machen. IHA01.01.2020 M großes F, M, G. Damit hast du schon mal ein

00:04:53: relativ gutes Passwort, also auf jeden Fall sehr viel besser als ein 1, 2, 3, 4, 5, 6 oder ähnliches.

00:05:00: Ich weiß nicht, welches Passwort der besagte Kunde jetzt verwendet hat, aber das ist die allererste

00:05:05: Stufe, dass du regelmäßig deinen Kennwort tauscht, regelmäßig beispielsweise alle 90 Tage und als

00:05:12: zweites dann eben auch ein Kennwort nimmst, wo man nicht sofort drauf kommt, wenn man halt

00:05:16: irgendwas eintippt. Auch abcdef, das sind natürlich Sachen, die sind relativ schnell einfach ausprobiert

00:05:23: und leider klappt das auch bei manchen, dass das dann auch das entsprechende Kennwort ist.

00:05:27: Im Idealfall ergänzt du das noch, machst hier hinten irgendwie noch ein "@" ran oder einen

00:05:33: "@" oder so, aber das ist dir selbst überlassen. Du kannst aber natürlich auch gerne einen Passwort

00:05:38: Generator nehmen oder ein Passwort Manager. Ich zum Beispiel nutze Last

00:05:42: Passpass, das kann ich jetzt App verwenden auf dem Handy, das kann ich auf den verschiedenen

00:05:47: Browser verwenden, habe zentral quasi eine Sammestelle.

00:05:51: Ja, auch das kann natürlich mal eine Schwachstelle sein, auch das kann mal gehackt werden, aber

00:05:57: zumindest macht dieser Password Manager auch eine Prüfung, ob es bei irgendeiner Plattform,

00:06:02: wo ich angemeldet bin, eine Sicherheitslücke gab oder ob irgendwo meine Daten auftauchen

00:06:06: oder ähnliches.

00:06:07: Ich nutze das jetzt seit einigen Jahren und habe teutäutäu bisher noch nichts erlebt,

00:06:13: wo ich sage, da habe ich das Gefühl, da wurden meine Daten geklaut.

00:06:16: Was aber ganz ganz wichtig ist und ich weiß selber, dass das tatsächlich wirklich nerven

00:06:23: kann, ist die sogenannte Zwei-Faktor-Authentifizierung.

00:06:26: Ich leg dir die aber total ans Herz, denn was bedeutet das und wo kannst du es einrichten?

00:06:33: Wenn du bei Google auf dein Google-Konto verwalten klickst oder gibst direkt myaccount.google.com

00:06:39: ein, dann hast du auf der linken Seite Sicherheit und unter Sicherheit hast du hier die ganzen

00:06:45: verschiedenen Möglichkeiten.

00:06:46: Da siehst du, wann du dein Password das letzte Mal geändert hast und du siehst eben, was

00:06:51: es noch für verschiedene Möglichkeiten gibt.

00:06:54: Und was ich zum Beispiel habe, ist ich habe die sogenannte Zwei-Faktor-Authentifizierung

00:06:58: und die kannst du machen, zum Beispiel mit der Authenticator-App.

00:07:03: Also die Authenticator-App ist eine App auf dem Smartphone, wo du Einmann und QR-Codes

00:07:09: gänst und ich zeig dir das einmal kurz, die Codes sind ja sowieso relativ schnell dann

00:07:13: wieder weg.

00:07:14: Jede Minute erneuert sich das Ganze, aber du bekommst halt immer sechsstellige Zahlen

00:07:19: und die musst du dann als Bestätigung nochmal eingeben, gerade dann, wenn du relevante Dinge

00:07:25: und größere Änderungen vornehmen willst.

00:07:26: Vielleicht kennt ihr das von Google Ads, wenn du das Budget von 10 Euro auf 50 Euro erhöhen

00:07:30: möchtest, musst du meistens nochmal diese Zwei-Faktor-Authentifizierung durchgehen,

00:07:36: vorausgesetzt, du hast das eingerichtet in deinem Google-Konto.

00:07:39: Ja, das ist also die Authenticator-App.

00:07:41: Das andere ist und das finde ich persönlich auch ganz gut, das kann ich dir jetzt leider

00:07:46: gerade nicht zeigen, weil ich gerade keine Anforderungen von Google habe.

00:07:49: Wenn ich das korrekt verknüpft habe, dann kann ich hier an meinem Desktop PC eine Änderung

00:07:53: vornehmen und bekomme dann kurz danach auf meinem Handy eine Anforderung.

00:08:00: Auf dem Desktop sehe ich, ich soll beispielsweise die Zahl 68 drücken und auf meinem Handy sehe

00:08:06: ich dann eine von drei Zahlen bzw. sehe ich drei Zahlen und eine davon ist halt nur die

00:08:12: richtige.

00:08:13: Und nur, wenn ich gleichzeitig mein Lock-in habe und gleichzeitig mein Gerät habe, mit

00:08:18: dem ich das nochmal bestätigen kann, egal ob diese Authenticator-App oder die Zahl,

00:08:24: die ich drücken muss, aber das ist quasi wirklich die doppelte Sicherheitsstufe, die

00:08:30: du haben kannst und dann kann dir das auch nicht passieren, dass jemand fremde Kampagnen

00:08:35: in deinem Konto anlegt.

00:08:37: Weil das Lock-in würde wahrscheinlich schon einmal gesperrt werden, weil Google sagt,

00:08:42: Zugriff von einem mir unbekannten Ort, bitte bestätige, dass du das bist und auch dann

00:08:47: muss ich für solche Fälle auch auf meinem Handy das nochmal bestätigen.

00:08:51: Oder spätestens bei der Anlage einer neuen Kampagne oder einer starken Budgetänderung

00:08:56: kommt diese Sicherheitsaufforderung auch nochmal.

00:08:58: Und bei dem Kunden, wo das jetzt der Fall war, wäre dann eben am Wochenende diese Aufforderung

00:09:03: gekommen.

00:09:04: Der Kunde hätte sich wahrscheinlich gewundert, hätte gesagt, nee, ich mache gerade nichts

00:09:07: an Google Ads, also lehne ich diese Änderung ab.

00:09:10: Und dann wäre auch tatsächlich dieser Schaden von bis zu einigen 1000 Euro, die passieren

00:09:16: können, wäre tatsächlich dann nicht passiert.

00:09:19: Insofern leg ich dir das sehr, sehr ans Herz.

00:09:22: Sei einfach wachsam, habt das im Hinterkopf, dass das passieren kann.

00:09:26: Das ist eben eine Art von kriminellen Vorgängen.

00:09:30: Das kann einfach passieren.

00:09:31: Natürlich ändern sich immer mal die Arten und Weisen und die Ausprägungen, aber du

00:09:36: kannst das eben relativ leicht verhindern.

00:09:39: Das leg ich dir, wie gesagt, ans Herz.

00:09:41: Gehe auf dein Google Konto verwalten, geh auf den Bereich Sicherheit und richte dir da

00:09:45: wirklich noch ein paar Sachen dazu ein.

00:09:47: Wie gesagt, ich weiß, manchmal ist das ein bisschen umständlich.

00:09:51: In der Regel ist das aber auch nur einmal am Tag oder wenn du immer die gleichen Geräte

00:09:55: verwendest, dann ist es auch manchmal nur einmal die Woche und es ist einfach sehr schnell

00:10:00: gemacht.

00:10:01: Und was ist besser?

00:10:02: Einmal diese Aufforderung nochmal bestätigen und relativ sicher sein, dass halt so etwas

00:10:07: nicht passieren kann oder du an einem Montag ins Büro kommst, du in deine Kampagnen guckst

00:10:12: und feststellst, wieso sind hier 10.000 Euro ausgegeben worden und wieso sind hier Sachen

00:10:18: ausgegeben worden auf einer Webseite, die ich überhaupt nicht kenne.

00:10:21: Da dann das Geld von Google zurückzubekommen, sehe ich als nahezu aussichtslos an, denn

00:10:26: Google stellt ja die Möglichkeit bereit, dass du diese doppelten zwei Faktor-Autentifizierungen

00:10:31: auch nutzen kannst.

00:10:32: Du musst das einfach nur machen.

00:10:34: So wie man im Auto den Airbag deaktivieren kann, sollte man nicht immer machen, sollte

00:10:39: man nur in Fällen machen, wenn da ein Baby auf der Beifahrer-Seite ist, weil wenn dann

00:10:43: ein Unfall passiert und da sitzt jemand Erwachsenes und der hat kein Airbag, dann hast du eben

00:10:47: auch theoretisch die Sicherheit gehabt, aber hast sie eben nicht genutzt.

00:10:52: Und das ist natürlich äußerst ungünstig in jedem Fall, den wir jetzt gerade besprochen

00:10:57: haben.

00:10:58: Interessieren dich einfach noch mehr solche Erfahrungswerte, interessieren dich noch mehr

00:11:01: Tipps und Tricks, dann lade ich dich herzlich an unsere Grad-Dies-School-Community, den

00:11:06: Link findest du in der Beschreibung zu dieser Folge.

00:11:09: Kommt da sehr gerne rein, wir sind inzwischen fast 200 Leute, die sich gegenseitig helfen,

00:11:14: die sich gegenseitig inspirieren, die sich gegenseitig Tipps geben rund um das ganze

00:11:18: Thema Google Ads.

00:11:19: Du bist herzlich eingeladen, klick einfach auf den Link und bewerbe dich für diese Gruppe.