· Rexoma Team · IT-Sicherheit · 6 min read
IT-Offboarding: Zugänge sicher entziehen, wenn Mitarbeiter gehen
Ein vergessenes Konto ist ein offenes Scheunentor. So bauen KMU einen IT-Offboarding-Prozess auf, der beim Austritt eines Mitarbeiters wirklich alle Zugänge schließt.
Ein Mitarbeiter kündigt, der letzte Arbeitstag verstreicht, das Team ist erleichtert, dass die Übergabe geklappt hat – und niemand denkt mehr an das E-Mail-Postfach, das VPN-Zertifikat oder den Zugriff auf das Firmen-CRM. Genau in dieser Lücke zwischen Austritt und vollständigem Zugangsentzug entstehen reale Risiken: von versehentlichem Datenabfluss bis zum gezielten Missbrauch durch verärgert ausgeschiedene Mitarbeiter. Für KMU in Dresden und Sachsen, in denen IT oft nebenbei mitverwaltet wird, ist ein sauberes IT-Offboarding eine der günstigsten und wirksamsten Sicherheitsmaßnahmen überhaupt.
Warum IT-Offboarding oft vernachlässigt wird
Onboarding bekommt in den meisten Betrieben Aufmerksamkeit: Neue Mitarbeiter brauchen einen Laptop, ein E-Mail-Konto, Zugriff auf die richtigen Systeme – das ist gut organisiert, weil sonst am ersten Arbeitstag nichts funktioniert. Beim Austritt fehlt dieser Druck. Der Rechner wird eingesammelt, der Hausausweis abgegeben, und die IT-Seite läuft „irgendwann noch mit”. Genau das ist das Problem.
In der Praxis sammeln sich über Jahre digitale Zugänge an, die kein einzelner Verantwortlicher mehr vollständig überblickt: das persönliche Microsoft-365-Konto, der Zugriff auf die Buchhaltungssoftware, ein eigener SSH-Schlüssel auf dem Server, die Mitgliedschaft in mehreren Cloud-Diensten, ein Login im Kundenportal des Webhosters, gespeicherte Zugangsdaten in Bitwarden oder einem anderen Passwortmanager, Zugriff auf Slack, Teams oder ein CRM. Jeder dieser Zugänge, der nach dem Austritt aktiv bleibt, ist ein Konto, das niemand mehr überwacht – ein ideales Ziel, falls die Zugangsdaten in falsche Hände geraten, und ein Risiko, falls der ehemalige Mitarbeiter im Streit gegangen ist.
Die typischen Lücken beim Mitarbeiteraustritt
Vergessene Nebenkonten
Das Hauptkonto in Microsoft 365 oder Google Workspace wird meist zuverlässig deaktiviert. Vergessen werden dagegen Nebenzugänge: ein separates Login beim Hosting-Provider, ein Account im Ticketsystem, Zugriff auf eine Marketing-Plattform, ein Test-Zugang zu einer SaaS-Anwendung, die eigentlich schon nicht mehr genutzt wird.
Geteilte Zugangsdaten
In vielen kleineren Betrieben existieren noch gemeinsam genutzte Logins – ein Social-Media-Account, ein Shared-Postfach, ein Zugang zum WLAN-Gästenetz. Scheidet ein Mitarbeiter aus, der diese Daten kannte, müsste eigentlich jedes betroffene Passwort geändert werden. In der Praxis passiert das selten.
Mobile Geräte und BYOD
War das private Smartphone per Mobile Device Management eingebunden oder hatte es Zugriff auf das Firmen-E-Mail-Konto, muss dieser Zugriff beim Austritt technisch entfernt werden – nicht nur durch die Bitte, die App zu löschen.
VPN-Zertifikate und SSH-Schlüssel
Wer WireGuard oder ein anderes VPN für den Fernzugriff nutzt, vergibt oft individuelle Zertifikate oder Schlüsselpaare. Diese laufen technisch unbegrenzt weiter, wenn sie nicht aktiv widerrufen werden – unabhängig davon, ob das zugehörige Benutzerkonto gesperrt wurde.
Physischer Zugang mit digitaler Wirkung
Zutrittskarten, Transponder für die Serverraum-Tür oder Zugangscodes für Alarmanlagen zählen selten zur „IT”, gehören aber in denselben Offboarding-Prozess, weil sie Zugriff auf dieselbe Infrastruktur ermöglichen.
Was ein vollständiger IT-Offboarding-Prozess leisten muss
Ein funktionierender Offboarding-Prozess beantwortet drei Fragen zuverlässig: Welche Konten und Zugänge hat diese Person überhaupt, welche davon müssen sofort und welche erst nach einer Übergangsfrist deaktiviert werden, und wer bestätigt, dass tatsächlich alles erledigt ist.
Schritt 1: Zugangsinventar führen
Ohne eine aktuelle Liste aller Systeme, auf die ein Mitarbeiter Zugriff hat, ist vollständiges Offboarding unmöglich. Ein zentrales IT-Asset- und Zugriffsverzeichnis – und sei es zunächst nur eine gepflegte Tabelle – ist die Grundvoraussetzung. Idealerweise wird jeder neue Zugang direkt beim Onboarding dort eingetragen.
Schritt 2: Checkliste mit klaren Fristen
Nicht jeder Zugang muss zur gleichen Sekunde gesperrt werden. Sinnvoll ist eine Priorisierung: E-Mail-Konto, VPN-Zugang und Zugriff auf sensible Systeme (Buchhaltung, Kundendaten, Admin-Konten) werden am letzten Arbeitstag deaktiviert. Das E-Mail-Postfach selbst bleibt oft aus organisatorischen Gründen noch einige Wochen mit Weiterleitung bestehen, aber ohne dass sich der ehemalige Mitarbeiter noch einloggen kann.
Schritt 3: Passwörter und geteilte Zugänge zurücksetzen
Jeder Zugang, den der ausscheidende Mitarbeiter kannte und der nicht personalisiert ist, muss ein neues Passwort erhalten. Ein Passwortmanager mit zentraler Rechteverwaltung – etwa Bitwarden im Team-Einsatz – macht diesen Schritt deutlich schneller, weil sich Freigaben mit wenigen Klicks entziehen lassen, statt jedes Passwort manuell zu suchen.
Schritt 4: Multi-Faktor-Authentifizierung und Geräte einbeziehen
Registrierte MFA-Geräte, Authenticator-Apps und hinterlegte Telefonnummern des ausscheidenden Mitarbeiters müssen aus allen Konten entfernt werden – sonst bleibt eine Hintertür offen, selbst wenn das Passwort geändert wurde.
Schritt 5: Abschlussprotokoll und Verantwortlichkeit
Am Ende steht eine Bestätigung: eine unterschriebene oder digital dokumentierte Checkliste, die festhält, wer wann welchen Zugang entzogen hat. Das schützt im Streitfall auch das Unternehmen selbst und erfüllt nebenbei Anforderungen, die im Rahmen von DSGVO oder NIS2 ohnehin dokumentiert werden müssen.
Warum das für ostdeutsche KMU besonders relevant ist
In Betrieben mit 5 bis 150 Mitarbeitern gibt es selten eine eigene Personalabteilung, die eng mit der IT verzahnt ist – oft erfährt die IT-Betreuung erst spät oder informell vom Austrittsdatum. Gerade in Sachsen, wo viele KMU externe IT-Dienstleister statt einer eigenen IT-Abteilung beschäftigen, braucht es einen klar definierten Meldeweg: Personalabteilung oder Geschäftsführung informiert die IT rechtzeitig vor dem letzten Arbeitstag, nicht erst danach. Ohne diesen Prozess bleibt Offboarding Zufall – und Zufall ist in der IT-Sicherheit der schlechteste Ratgeber.
Praxis-Tipp: Offboarding automatisieren
Wer regelmäßig Personalwechsel hat, profitiert von Automatisierung. Mit Tools wie n8n lassen sich Workflows bauen, die bei einem Austrittsdatum automatisch Konten in mehreren Systemen sperren, Verantwortliche benachrichtigen und den Fortschritt protokollieren. Das reduziert die Fehleranfälligkeit manueller Checklisten erheblich und sorgt dafür, dass auch bei Urlaubs- oder Krankheitsvertretung nichts vergessen wird.
Sie suchen Unterstützung in Dresden? Rexoma hilft KMU dabei, einen belastbaren IT-Offboarding-Prozess aufzubauen – von der zentralen Zugriffsverwaltung über automatisierte Workflows bis zur sauberen Dokumentation für DSGVO und NIS2. Melden Sie sich für eine unverbindliche Erstberatung.
FAQ: Häufige Fragen zum IT-Offboarding
Wann sollte der Zugangsentzug beim Mitarbeiteraustritt spätestens erfolgen?
Kritische Zugänge wie VPN, Admin-Konten und Zugriff auf sensible Daten sollten spätestens am letzten Arbeitstag deaktiviert werden. Bei Kündigungen durch den Arbeitgeber oder in angespannten Trennungssituationen ist ein sofortiger Entzug noch am Tag der Kündigung ratsam.
Was passiert mit dem E-Mail-Postfach nach dem Austritt?
Üblich ist eine automatische Weiterleitung oder Abwesenheitsnotiz für einen begrenzten Zeitraum, meist wenige Wochen. Das Postfach selbst wird für den ehemaligen Mitarbeiter gesperrt, bleibt aber für die Übergabe laufender Vorgänge intern zugänglich, bevor es endgültig archiviert oder gelöscht wird.
Wie verhindert man vergessene Zugänge bei vielen Cloud-Diensten?
Ein zentrales Zugriffsverzeichnis, das bei jedem neuen Dienst gepflegt wird, ist die wichtigste Maßnahme. Ergänzend hilft Single Sign-On: Läuft der Zugriff auf möglichst viele Anwendungen über ein zentrales Konto, genügt oft dessen Deaktivierung, um den Großteil der Systeme abzudecken.
Gilt IT-Offboarding auch für externe Dienstleister und Freelancer?
Ja, und hier wird es besonders häufig übersehen. Externe erhalten oft projektbezogenen Zugriff, der nach Projektende nicht automatisch abläuft. Solche Zugänge sollten von vornherein befristet vergeben oder spätestens beim Projektabschluss geprüft und entzogen werden.
Ist IT-Offboarding auch datenschutzrechtlich relevant?
Ja. Ein nicht entzogener Zugang, über den nach Austritt weiterhin personenbezogene Daten einsehbar sind, kann datenschutzrechtlich als unzureichende technische und organisatorische Maßnahme gewertet werden. Ein dokumentierter Offboarding-Prozess ist deshalb auch ein Baustein der DSGVO-Compliance.
Rexoma IT