5 Min.
Leerer, aufgeräumter Büroarbeitsplatz nach dem Austritt eines Mitarbeiters

IT-Offboarding-Checkliste: Zugänge sicher entziehen, wenn ein Mitarbeiter geht

KI
Karl Isler in IT-Sicherheit

Ein Mitarbeiter verlässt das Unternehmen. Der letzte Arbeitstag ist im Kalender, die Übergabe läuft, vielleicht gibt es sogar eine kleine Verabschiedung. Nur eine Frage stellt sich in vielen kleinen und mittleren Unternehmen niemand: Sind eigentlich alle digitalen Zugänge weg?

Meistens nicht. Und genau das ist ein unterschätztes Sicherheitsrisiko. Diese IT-Offboarding-Checkliste zeigt, was beim Austritt lückenlos entzogen werden muss — in der richtigen Reihenfolge und revisionssicher dokumentiert.

Inhalt in Kürze

  • IT-Offboarding ist das saubere Entziehen aller Zugänge und Geräte, wenn ein Mitarbeiter geht — das Gegenstück zum Onboarding.
  • Das Risiko ist real: Laut einer Beyond-Identity-Studie behalten 83 % der Ex-Mitarbeiter Zugriff auf Konten ihres früheren Arbeitgebers, und 48 % der Unternehmen haben keinen definierten Offboarding-Prozess.
  • Die Checkliste in diesem Beitrag deckt alle Punkte ab — von Konten über Zwei-Faktor bis zur Geräterückgabe.
  • Wer den Prozess standardisiert, sperrt Zugänge punktgenau zum letzten Arbeitstag und hat für die DSGVO einen Nachweis auf Knopfdruck.

Warum Offboarding ein Sicherheitsthema ist — kein HR-Thema

Onboarding bekommt viel Aufmerksamkeit, Offboarding kaum. Dabei ist gerade der Austritt die kritische Phase. Die Zahlen sind eindeutig: Laut einer von heise online aufgegriffenen Studie behalten 83 Prozent der ehemaligen Beschäftigten Zugang zu Konten ihres früheren Arbeitgebers — und mehr als die Hälfte davon gibt an, diesen Zugang auch schon genutzt zu haben.

Der Grund ist selten böser Wille im Unternehmen, sondern fehlende Struktur. Wie datensicherheit.de berichtet, fehlt in fast der Hälfte der Unternehmen ein klar definierter Offboarding-Prozess. Konten werden „irgendwann” deaktiviert — oder eben nie.

83 %
Ex-Mitarbeiter mit Restzugriff
56 %
davon nutzten den Zugang
48 %
ohne definierten Prozess

Ein vergessenes Konto ist ein offenes Tor: für den Abfluss von Daten, für den Zugriff auf E-Mails und Kundendaten — und für Angreifer, die gestohlene Zugangsdaten systematisch ausprobieren. Für den Schutz dieser Daten bleibt das Unternehmen verantwortlich, auch nach dem Austritt.

Die IT-Offboarding-Checkliste

Arbeiten Sie diese Punkte bei jedem ausscheidenden Mitarbeiter ab — am besten zeitgleich mit dem letzten Arbeitstag. Bei Freistellungen oder Kündigungen im Streit sofort.

  • Konten deaktivieren. Windows-/Active-Directory-Konto, Microsoft 365 und alle Fachanwendungen sperren — deaktivieren, nicht sofort löschen, damit Daten und Postfach erhalten bleiben.
  • Zwei-Faktor & App-Passwörter entziehen. Registrierte Authenticator, Hardware-Token und App-spezifische Passwörter widerrufen. Sonst bleibt eine Hintertür offen.
  • VPN- und Fernzugriffe sperren. Jeder Zugang von außen ins Firmennetz muss weg — inklusive gespeicherter Zugangsdaten.
  • Cloud & Passwortsafe bereinigen. Freigaben in SharePoint, Cloud-Speichern und im gemeinsamen Passwortmanager entfernen. Geteilte Passwörter, die der Mitarbeiter kannte, ändern.
  • Geräte einsammeln oder löschen. Notebook, Smartphone und Zubehör zurücknehmen. Ist das Gerät nicht greifbar, hilft ein Remote Wipe über das MDM.
  • Lizenzen zurückbuchen. Freigewordene Software-Lizenzen zurückgeben oder dem Nachfolger zuweisen — spart bares Geld.
  • E-Mail regeln. Weiterleitung an Vorgesetzte oder das Team einrichten, Autoresponder setzen, Verteiler bereinigen.
  • Physischen Zugang zurücknehmen. Schlüssel, Chipkarten, Alarmcodes — die analoge Seite des Offboardings nicht vergessen.
  • Alles dokumentieren. Wer hat wann welchen Zugang entzogen? Diese Dokumentation ist Ihr Nachweis gegenüber der DSGVO.
Vorhängeschloss auf Tastatur als Symbol für gesperrte Zugänge beim IT-Offboarding
Wichtig:

Deaktivieren Sie Konten zuerst, statt sie sofort zu löschen. So bleiben E-Mails, Dateien und Dokumentation erhalten — für die Übergabe an den Nachfolger und als Nachweis. Löschen können Sie später kontrolliert, wenn die Aufbewahrungsfristen es zulassen.

Aus der Praxis

Das größte Problem beim Offboarding ist nicht die Technik, sondern die Zuständigkeit. Wenn niemand klar verantwortlich ist, geht es unter — bis der Ex-Mitarbeiter Monate später noch im System auftaucht. Ein guter Grundschutz beginnt genau hier: bei den Zugängen.

Zwei-Faktor-Authentifizierung ist der Schutz Nummer eins vor Ransomware. Kostet nichts, dauert 5 Minuten pro Mitarbeiter — und macht 99 % der Angriffe wirkungslos.

Jens Hagel Jens HagelGeschäftsführer, hagel IT-Services GmbH

Genauso wichtig wie das Einrichten von Zwei-Faktor ist das Entziehen beim Austritt. Ein aktiver Authenticator auf dem privaten Handy eines Ex-Mitarbeiters ist ein Risiko, das niemand auf dem Schirm hat — bis es zu spät ist. Wer Zugänge und Sicherheit ohnehin an einen Dienstleister übergibt, hat auch das automatisch abgedeckt. Mehr zu den häufigsten Lücken lesen Sie in unserem Beitrag IT-Sicherheit für kleine Unternehmen.

Vom Zettel zum automatischen Prozess

Eine Checkliste als Leitfaden hilft — aber nur, wenn sie jedes Mal konsequent und strukturiert abgearbeitet wird. Zuverlässiger und effizienter ist es, den Ablauf zu automatisieren: Onboarding und Offboarding liegen im selben System — wer neu kommt, wird angelegt; wer geht, wird mit einem Klick sauber entzogen, inklusive Geräten, Lizenzen und Nachweis.

Genau das leistet Kjello, Ihre IT-Abteilung als Service: Für Firmen ohne eigenes IT-Team übernimmt ein Hamburger Systemhaus die Zugänge, die Sicherheit und die Dokumentation. Sie stoßen den Austritt an, der Rest läuft im Hintergrund — und wenn die Aufsicht oder ein Kunde nach dem DSGVO-Nachweis fragt, holen Sie ihn mit einem Klick. Wie Onboarding und Offboarding zusammenspielen, zeigt auch unser Beitrag zum sicheren Managen externer Mitarbeiter.

Das Wichtigste: Zugänge müssen zum letzten Arbeitstag weg — restlos und dokumentiert. Ein vergessenes Konto ist ein offenes Tor. Wer den Prozess standardisiert, schließt es zuverlässig und hat den Nachweis parat.

Fazit: Der Austritt ist die kritische Phase

Beim Onboarding schaut jeder hin, beim Offboarding kaum jemand — dabei entscheidet gerade der Austritt über Ihr Sicherheitsniveau. Die Checkliste dafür ist kurz. Entscheidend ist, dass sie jedes Mal vollständig abgearbeitet wird. Am sichersten ist das, wenn es nicht an einer einzelnen Person hängt, sondern fest im Prozess verankert ist.

Zugänge im Griff — auch beim Austritt?

Wir zeigen Ihnen in 15 Minuten, wie Onboarding und Offboarding bei Ihnen zum sicheren Ein-Klick-Vorgang werden.

Festpreis-Angebot anfordern →
Karl Isler
IT-Experte & Autor, hagel IT-Services GmbH

Karl Isler ist ein erfahrener IT-Experte und Autor. Seine Fachkenntnisse in den Bereichen IT-Strategie, Cloud Computing und Datensicherheit ermöglichen es ihm, fundierte Artikel für unseren IT-Entscheider-Blog zu verfassen.

Thorsten Eckel

„Mit Hagel IT haben wir einen erfahrenen Partner, auf den wir uns jederzeit zu 100 % verlassen können.“

Thorsten Eckel
Geschäftsführer · Hanse Service
Deutschlands beste IT-Dienstleister 2026 — brand eins / Statista
Bester IT-Dienstleister
2026 — brand eins / Statista
Interne IT vs. Systemhaus: Ein ehrlicher Kosten-Nutzen-Check für Hamburger KMU
Fallstudie · Immobilien
Interne IT vs. Systemhaus: Ein ehrlicher Kosten-Nutzen-Check für Hamburger KMU
Ausgezeichnete Bewertung
Basierend auf 46 Bewertungen

„Wir arbeiten seit einiger Zeit mit hagel IT zusammen und sind absolut zufrieden. Das Team ist kompetent, freundlich und immer schnell zur Stelle, wenn Hilfe gebraucht wird. Besonders schätzen wir die individuelle Beratung, den zuverlässigen Support und die modernen IT-Lösungen, die perfekt auf unsere Bedürfnisse abgestimmt sind. Ein rundum professioneller Partner, den wir uneingeschränkt weiterempfehlen können!"

Robin Koppelmann
Sicherheit

Sicher — ohne dass Sie Experte sein müssen.

Verschlüsselung, Backup und Zwei-Faktor laufen im Hintergrund und werden monatlich geprüft. Fragt jemand nach — Versicherung, Kunde oder Behörde — haben Sie den Nachweis auf Knopfdruck.

Kjello · Sicherheits-Report
Geprüft & lückenlos dokumentiert
Sicherheits-Vertrauensanker im Portal: Audit-Trail lückenlos geprüft und Zugriffs-Delegation aktiv — beide grün bestätigt
Ergebnis
Nachweis auf Knopfdruck
Was Sie tun
Nichts
Was wir & die Automatik tun
Einrichten · überwachen · monatlich prüfen · nachweisen
Früher — Sicherheit auf Hoffnung
  • Hoffen, dass nichts passiert
  • Backup nie wirklich getestet
  • Kein Nachweis, wenn jemand fragt
  • Blindflug bei Verschlüsselung und Co.
Ein Risiko, das keiner sehen will

„Muss ich Security verstehen?“ — Nein. Sie müssen nichts einstellen und nichts überwachen. Das ist unser Job — Sie bekommen nur den grünen Haken.

Häufig gestellte Fragen

Zum IT-Offboarding gehören: alle Benutzerkonten deaktivieren, Zwei-Faktor-Token und App-Passwörter entziehen, VPN- und Fernzugriffe sperren, sämtliche Zugriffsrechte für Microsoft 365, Cloud-Dienste und den Passwortsafe entziehen, Geräte einsammeln oder aus der Ferne löschen, Lizenzen zurückbuchen, E-Mail-Weiterleitungen einrichten sowie physische Zutrittsmittel wie Schlüssel und Chipkarten zurücknehmen. Wichtig ist, dass all das dokumentiert wird.

Weil Zugänge nach dem Austritt oft aktiv bleiben. Studien zeigen, dass ein Großteil ehemaliger Mitarbeiter noch auf Konten des früheren Arbeitgebers zugreifen kann — und ein Teil davon nutzt das auch. Ein vergessenes Konto ist ein offenes Tor: für den Abfluss sensibler Daten, für Missbrauch und für Angreifer, die gestohlene Zugangsdaten ausprobieren.

Im Idealfall zum letzten Arbeitstag, punktgenau. Bei Kündigungen im Streit oder Freistellungen sofort mit Wirksamwerden. Je länger eine Berechtigung nach dem Austritt aktiv bleibt, desto größer das Risiko. Ein standardisierter Prozess sorgt dafür, dass nichts vergessen wird und alles zur richtigen Zeit passiert.

Verantwortlich für den Schutz personenbezogener Daten bleibt das Unternehmen — unabhängig davon, ob ein Ex-Mitarbeiter oder ein Angreifer über ein vergessenes Konto zugreift. Kommt es zu einem Datenschutzvorfall, muss das Unternehmen nachweisen, dass es angemessene technische und organisatorische Maßnahmen getroffen hat. Ein dokumentiertes Offboarding ist genau so ein Nachweis.