Ein Mitarbeiter verlässt das Unternehmen. Der letzte Arbeitstag ist im Kalender, die Übergabe läuft, vielleicht gibt es sogar eine kleine Verabschiedung. Nur eine Frage stellt sich in vielen kleinen und mittleren Unternehmen niemand: Sind eigentlich alle digitalen Zugänge weg?
Meistens nicht. Und genau das ist ein unterschätztes Sicherheitsrisiko. Diese IT-Offboarding-Checkliste zeigt, was beim Austritt lückenlos entzogen werden muss — in der richtigen Reihenfolge und revisionssicher dokumentiert.
Inhalt in Kürze
- IT-Offboarding ist das saubere Entziehen aller Zugänge und Geräte, wenn ein Mitarbeiter geht — das Gegenstück zum Onboarding.
- Das Risiko ist real: Laut einer Beyond-Identity-Studie behalten 83 % der Ex-Mitarbeiter Zugriff auf Konten ihres früheren Arbeitgebers, und 48 % der Unternehmen haben keinen definierten Offboarding-Prozess.
- Die Checkliste in diesem Beitrag deckt alle Punkte ab — von Konten über Zwei-Faktor bis zur Geräterückgabe.
- Wer den Prozess standardisiert, sperrt Zugänge punktgenau zum letzten Arbeitstag und hat für die DSGVO einen Nachweis auf Knopfdruck.
Warum Offboarding ein Sicherheitsthema ist — kein HR-Thema
Onboarding bekommt viel Aufmerksamkeit, Offboarding kaum. Dabei ist gerade der Austritt die kritische Phase. Die Zahlen sind eindeutig: Laut einer von heise online aufgegriffenen Studie behalten 83 Prozent der ehemaligen Beschäftigten Zugang zu Konten ihres früheren Arbeitgebers — und mehr als die Hälfte davon gibt an, diesen Zugang auch schon genutzt zu haben.
Der Grund ist selten böser Wille im Unternehmen, sondern fehlende Struktur. Wie datensicherheit.de berichtet, fehlt in fast der Hälfte der Unternehmen ein klar definierter Offboarding-Prozess. Konten werden „irgendwann” deaktiviert — oder eben nie.
Ein vergessenes Konto ist ein offenes Tor: für den Abfluss von Daten, für den Zugriff auf E-Mails und Kundendaten — und für Angreifer, die gestohlene Zugangsdaten systematisch ausprobieren. Für den Schutz dieser Daten bleibt das Unternehmen verantwortlich, auch nach dem Austritt.
Die IT-Offboarding-Checkliste
Arbeiten Sie diese Punkte bei jedem ausscheidenden Mitarbeiter ab — am besten zeitgleich mit dem letzten Arbeitstag. Bei Freistellungen oder Kündigungen im Streit sofort.
- Konten deaktivieren. Windows-/Active-Directory-Konto, Microsoft 365 und alle Fachanwendungen sperren — deaktivieren, nicht sofort löschen, damit Daten und Postfach erhalten bleiben.
- Zwei-Faktor & App-Passwörter entziehen. Registrierte Authenticator, Hardware-Token und App-spezifische Passwörter widerrufen. Sonst bleibt eine Hintertür offen.
- VPN- und Fernzugriffe sperren. Jeder Zugang von außen ins Firmennetz muss weg — inklusive gespeicherter Zugangsdaten.
- Cloud & Passwortsafe bereinigen. Freigaben in SharePoint, Cloud-Speichern und im gemeinsamen Passwortmanager entfernen. Geteilte Passwörter, die der Mitarbeiter kannte, ändern.
- Geräte einsammeln oder löschen. Notebook, Smartphone und Zubehör zurücknehmen. Ist das Gerät nicht greifbar, hilft ein Remote Wipe über das MDM.
- Lizenzen zurückbuchen. Freigewordene Software-Lizenzen zurückgeben oder dem Nachfolger zuweisen — spart bares Geld.
- E-Mail regeln. Weiterleitung an Vorgesetzte oder das Team einrichten, Autoresponder setzen, Verteiler bereinigen.
- Physischen Zugang zurücknehmen. Schlüssel, Chipkarten, Alarmcodes — die analoge Seite des Offboardings nicht vergessen.
- Alles dokumentieren. Wer hat wann welchen Zugang entzogen? Diese Dokumentation ist Ihr Nachweis gegenüber der DSGVO.
Deaktivieren Sie Konten zuerst, statt sie sofort zu löschen. So bleiben E-Mails, Dateien und Dokumentation erhalten — für die Übergabe an den Nachfolger und als Nachweis. Löschen können Sie später kontrolliert, wenn die Aufbewahrungsfristen es zulassen.
Aus der Praxis
Das größte Problem beim Offboarding ist nicht die Technik, sondern die Zuständigkeit. Wenn niemand klar verantwortlich ist, geht es unter — bis der Ex-Mitarbeiter Monate später noch im System auftaucht. Ein guter Grundschutz beginnt genau hier: bei den Zugängen.
Zwei-Faktor-Authentifizierung ist der Schutz Nummer eins vor Ransomware. Kostet nichts, dauert 5 Minuten pro Mitarbeiter — und macht 99 % der Angriffe wirkungslos.
Genauso wichtig wie das Einrichten von Zwei-Faktor ist das Entziehen beim Austritt. Ein aktiver Authenticator auf dem privaten Handy eines Ex-Mitarbeiters ist ein Risiko, das niemand auf dem Schirm hat — bis es zu spät ist. Wer Zugänge und Sicherheit ohnehin an einen Dienstleister übergibt, hat auch das automatisch abgedeckt. Mehr zu den häufigsten Lücken lesen Sie in unserem Beitrag IT-Sicherheit für kleine Unternehmen.
Vom Zettel zum automatischen Prozess
Eine Checkliste als Leitfaden hilft — aber nur, wenn sie jedes Mal konsequent und strukturiert abgearbeitet wird. Zuverlässiger und effizienter ist es, den Ablauf zu automatisieren: Onboarding und Offboarding liegen im selben System — wer neu kommt, wird angelegt; wer geht, wird mit einem Klick sauber entzogen, inklusive Geräten, Lizenzen und Nachweis.
Genau das leistet Kjello, Ihre IT-Abteilung als Service: Für Firmen ohne eigenes IT-Team übernimmt ein Hamburger Systemhaus die Zugänge, die Sicherheit und die Dokumentation. Sie stoßen den Austritt an, der Rest läuft im Hintergrund — und wenn die Aufsicht oder ein Kunde nach dem DSGVO-Nachweis fragt, holen Sie ihn mit einem Klick. Wie Onboarding und Offboarding zusammenspielen, zeigt auch unser Beitrag zum sicheren Managen externer Mitarbeiter.
Fazit: Der Austritt ist die kritische Phase
Beim Onboarding schaut jeder hin, beim Offboarding kaum jemand — dabei entscheidet gerade der Austritt über Ihr Sicherheitsniveau. Die Checkliste dafür ist kurz. Entscheidend ist, dass sie jedes Mal vollständig abgearbeitet wird. Am sichersten ist das, wenn es nicht an einer einzelnen Person hängt, sondern fest im Prozess verankert ist.
Zugänge im Griff — auch beim Austritt?
Wir zeigen Ihnen in 15 Minuten, wie Onboarding und Offboarding bei Ihnen zum sicheren Ein-Klick-Vorgang werden.
Festpreis-Angebot anfordern →