Key Takeaways
- Verwaiste Accounts sind eine reale Bedrohung: 89 % der ehemaligen Mitarbeitenden behalten nach dem Austritt Zugriff auf sensible Unternehmensanwendungen – mit sicherheits-, compliance- und finanziellen Risiken.
- Die Reihenfolge ist entscheidender als die Geschwindigkeit: Zugriffe in der falschen Reihenfolge zu widerrufen kann zu dauerhaftem Datenverlust oder Sicherheitslücken führen. Immer dem Prinzip folgen: erst sichern, dann übertragen, zuletzt löschen.
- 30 Minuten reichen manuell aus: Eine strukturierte Sechs-Schritte-Checkliste für Identity Provider, E-Mail, SaaS-Accounts, Geräte, Lizenzen und Dokumentation führt in einer halben Stunde zur vollständigen Zugriffssperrung.
- Sonderfälle sprengen Standardchecklisten: Remote-Mitarbeitende, BYOD-Geräte, geteilte Accounts und Auftragnehmer erfordern spezifische Offboarding-Verfahren, die die meisten Unternehmen übersehen.
- Automatisierung eliminiert das Risiko vergessener Schritte: Mit deeploi konfigurieren IT-Manager das Offboarding in 2–5 Minuten – die Plattform übernimmt Account-Deaktivierung, E-Mail-Weiterleitung, Datentransfer, Lizenz-Reharvesting und Gerätesperrung automatisch.
IT-Offboarding-Checkliste: So trennst du ausscheidende Mitarbeitende sicher vom System
Eine Mitarbeiterin kündigt am Freitag. Am Montagmorgen sind ihre Accounts noch aktiv, der Laptop liegt ungelöscht zuhause – und drei SaaS-Lizenzen werden weiter abgerechnet. Dieses Szenario spielt sich jede Woche in tausenden Unternehmen ab und schafft echte Sicherheitsrisiken. Erschreckende 91 % der Mitarbeitenden haben noch Monate nach dem Offboarding Zugriff auf Unternehmensdateien (Beyond Identity).
Dieser Artikel konzentriert sich ausschließlich auf die IT-Seite des Offboardings: Accounts sperren, Geräte zurückfordern, Lizenzen zurückgewinnen und Daten schützen. Es geht nicht um Abschiedspartys oder Exit-Interviews. Mit einem strukturierten Prozess lässt sich das gesamte IT-Offboarding in rund 30 Minuten manuell abwickeln. Mit Automatisierung über Plattformen wie Offboarding-Software kann das auf unter fünf Minuten reduziert werden.
Was passiert, wenn IT-Offboarding schiefläuft?
Schlechtes IT-Offboarding ist nicht nur ein Ärgernis. Es ist ein Sicherheits-, Compliance- und Finanzrisiko, das sich mit jeder Kündigung potenziert.
Sicherheitsrisiken durch verwaiste Accounts. Wenn ehemalige Mitarbeitende weiterhin Zugriff auf Unternehmenssysteme haben, wächst die Angriffsfläche. Eine Studie von Osterman Research ergab, dass 89 % der Mitarbeitenden noch lange nach ihrem Austritt auf sensible Unternehmensanwendungen zugreifen konnten (CurrentWare). Verwaiste Accounts werden zu leichten Zielen für Credential-Stuffing-Angriffe oder Missbrauch durch Insider – besonders wenn Passwörter nie geändert wurden.
Compliance-Risiken. Gemäß DSGVO Artikel 5(1)(f) müssen Unternehmen eine angemessene Sicherheit personenbezogener Daten gewährleisten – einschließlich des Schutzes vor unbefugtem Zugriff. Aktive Ex-Mitarbeitenden-Accounts verstoßen gegen diesen Grundsatz. Da NIS2 die Cybersicherheitspflichten in der EU ausweitet, wächst der regulatorische Druck auf Unternehmen, ein ordnungsgemäßes Access-Lifecycle-Management nachzuweisen.
Lizenzverschwendung. Jeder nicht zurückgeforderter SaaS-Seat ist verbranntes Geld. Wenn das Unternehmen nutzungsbasierte Gebühren für Tools wie Slack, Figma oder Notion zahlt, bedeutet das Nicht-Deaktivieren von Accounts, dass für Geister-User bezahlt wird. Über ein Jahr Fluktuation hinweg summieren sich die Kosten schnell – besonders für wachsende KMUs, die Dutzende von Tools verwalten.
Für HR-Teams und Gründerinnen und Gründer, die IT unbeabsichtigt mitverwalten, bleibt das Risiko oft unbemerkt, bis ein Audit oder ein Vorfall die Sache erzwingt. Proaktive Compliance- und Security-Governance verhindert diese kostspieligen Überraschungen.
Die IT-Offboarding-Checkliste: Accounts, Geräte, Daten, Lizenzen
Eine strukturierte Reihenfolge ist wichtiger als bloße Schnelligkeit. Hier ist eine priorisierte Checkliste, die sich für eine einzelne ausscheidende Person in rund 30 Minuten abarbeiten lässt.
Identity Provider oder SSO-Zugang widerrufen (Minuten 0–5). Hier anfangen. Das Deaktivieren des Accounts im Identity Provider (Google Workspace, Microsoft Entra ID, Okta) kaskadiert auf alle verbundenen Anwendungen. Diese eine Aktion schließt die Eingangstür.
E-Mail sichern (Minuten 5–12). Vor dem Löschen des Postfachs eine Weiterleitung an eine Führungskraft oder Nachfolgeperson einrichten. Eigentümerschaft von geteilten Laufwerken, Kalendern und Kontakten übertragen. Wichtige Korrespondenz archivieren, wenn Aufbewahrungsrichtlinien es erfordern.
SaaS-Accounts deaktivieren (Minuten 12–20). Eine Liste der Standalone-Tools durcharbeiten, die die Person genutzt hat: CRM, Projektmanagement, Design-Tools, Kommunikationsplattformen. Jeden Account deaktivieren und zugehörige Ressourcen wie geteilte Boards oder Team-Channels neu zuweisen.
Geräte sperren und zurückfordern (Minuten 20–25). Remote-Sperre über die MDM-Lösung einleiten. Für Mitarbeitende vor Ort das Gerät physisch einsammeln. Für Remote-Mitarbeitende einen Rückversand mit vorfrankiertem Label initiieren. Remote-Wipe in die Warteschlange stellen, sobald der Datentransfer bestätigt ist.
Lizenzen prüfen und zurückfordern (Minuten 25–28). Lizenzzuweisungen überprüfen. Seats, die mit der ausscheidenden Person verknüpft sind, downgraden oder kündigen. Lizenzen für die Neuvergabe an neue Mitarbeitende zurückgewinnen.
Dokumentieren und protokollieren (Minuten 28–30). Jeden Schritt in einem Abschlussprotokoll bestätigen. Zeitstempel für Compliance-Zwecke festhalten. Diese Dokumentation schützt beim Audit und belegt DSGVO-konformes Zugriffsmanagement.
Diese Checkliste funktioniert für einzelne Abgänge. Bei mehreren gleichzeitigen Offboardings oder häufiger Fluktuation wird automatisiertes Onboarding und Offboarding unverzichtbar, um Konsistenz zu gewährleisten.
Warum die Reihenfolge beim Widerruf entscheidend ist
Nicht alle Offboarding-Schritte sind austauschbar. Die obige Reihenfolge spiegelt kritische Abhängigkeiten wider – werden sie missachtet, entstehen Sicherheitslücken oder dauerhafter Datenverlust.
Was passiert, wenn der E-Mail-Account gelöscht wird, bevor Daten übertragen wurden: Recovery-Flows für verbundene Dienste brechen ab, geteilte Dokumente verlieren ihre Eigentümerschaft, und die Nachfolgeperson verliert Zugriff auf Kundenkommunikation. Der Schaden ist oft irreversibel.
Wenn SSO-Zugang widerrufen wird, bevor Standalone-SaaS-Accounts deaktiviert werden, die kein Single Sign-On nutzen, können manche Tools Daten hinter einem Login sperren, auf den niemand mehr zugreifen kann. Die Arbeit der Person in diesem Tool ist de facto verloren. Nur 44 % der Unternehmen stellen sicher, dass alle Zugriffsrechte innerhalb von 24 Stunden entzogen werden (TechClass).
Das Prinzip ist einfach: erst sichern, dann übertragen, zuletzt löschen. Diese Reihenfolge gewährleistet, dass Sicherheitslücken sofort geschlossen werden – bei gleichzeitiger Wahrung der Geschäftskontinuität für das Team, das die Aufgaben der ausscheidenden Person übernimmt.
So automatisierst du den IT-Offboarding-Prozess
Manuelle Checklisten funktionieren – aber sie skalieren nicht. Bei schnellem Wachstum und monatlichen Abgängen bringt die Abhängigkeit von einer Tabellenkalkulation menschliche Fehler mit sich. Die Hälfte aller Unternehmen braucht drei Tage oder länger, um Systemzugriffe nach einem Austritt zu sperren – und nur 35 % automatisieren diesen Prozess (Security Magazine).
Automatisierung verwandelt Offboarding von einem mehrstündigen Kraftakt in einen kontrollierten, wiederholbaren Workflow. So funktioniert es mit deeploi:
Der Offboarding-Prozess wird automatisch über die HR-System-Integration ausgelöst (z. B. Personio, BambooHR, HiBob, Factorial u. a.). Wenn HR eine Mitarbeiterin oder einen Mitarbeiter als ausscheidend markiert, beginnt das IT-Offboarding ohne separate Anfrage.
Die IT-Verantwortlichen konfigurieren Optionen im Dashboard: E-Mail archivieren, Weiterleitung einrichten, Daten an eine Nachfolgeperson übertragen oder löschen. Jede Entscheidung ist explizit und protokolliert.
deeploi führt den Workflow aus: Workspace-Lizenz-Downgrade, E-Mail-Weiterleitung, Datentransfer, SaaS-Deaktivierung und Geräte-Remote-Sperre – alles innerhalb von Minuten.
License-Reharvesting erfolgt automatisch – Kosten werden sofort zurückgewonnen und Seats für die nächste Neueinstellung freigegeben.
Statt 30 Minuten manueller Arbeit reduziert deeploi den IT-Aufwand auf zwei bis fünf Minuten. Der Rest läuft im Hintergrund – konsistent und lückenlos. Für IT-Teams, die Dutzende Abgänge pro Quartal verwalten, gibt das erhebliche operative Kapazitäten frei.
Sonderfälle: Remote-Mitarbeitende, private Geräte und geteilte Accounts
Standard-Offboarding setzt voraus, dass die Person vor Ort mit einem Firmen-Laptop arbeitet. Die Realität ist unordentlicher. Hier sind die Sonderfälle, die die meisten Unternehmen stolpern lassen.
Remote-Mitarbeitende. Die Geräterückgabelogistik erfordert Planung. Einen vorfrankierten Versandschein vor dem letzten Arbeitstag schicken. Wird das Gerät nicht innerhalb des vereinbarten Zeitraums zurückgegeben, dient ein Remote-Wipe über die MDM-Lösung als Fallback zum Schutz von Unternehmensdaten. Lösungen wie Zero-Touch-Deployment vereinfachen das, da Geräte, die remote bereitgestellt wurden, auch remote gelöscht werden können.
Private Geräte (BYOD). Das Entfernen von Unternehmensdaten von einem privaten Smartphone oder Laptop erfordert einen gezielten Ansatz. Mobile Application Management (MAM)-Richtlinien ermöglichen das Löschen von Unternehmens-Apps und -Daten, ohne persönliche Dateien zu berühren. Robuste Cybersicherheitsrichtlinien sollten BYOD-Offboarding-Verfahren festlegen, bevor der Fall eintritt.
Geteilte Accounts. Manche Teams teilen Zugangsdaten für Social-Media-Accounts, Analytics-Dashboards oder Legacy-Tools. Wenn jemand, der diese verwaltete, das Unternehmen verlässt: Eigentümerschaft explizit übertragen und alle Zugangsdaten sofort rotieren. Nie davon ausgehen, dass geteilte Passwörter nach einem Abgang sicher bleiben.
Auftragnehmer und Freelancer. Externe Mitarbeitende haben oft engere Zugriffsrechte, aber weniger strukturiertes Offboarding. Ihr Zugriff endet typischerweise projektbezogen, nicht nach einem Beschäftigungszeitraum. Auftragnehmer-Offboarding in den Projektabschlussprozess integrieren – nicht in den HR-Workflow.
FAQ
Was tun, wenn eine Mitarbeiterin oder ein Mitarbeiter sofort gehen muss?
Sofortiges Lockout-Protokoll auslösen. Zuerst SSO- und Identity-Provider-Zugang widerrufen, dann alle Geräte remote sperren. Datentransfer und Lizenz-Recovery danach abwickeln. Schnelligkeit ist entscheidend, um unbefugten Zugriff oder Datenexfiltration bei konfliktreichen Abgängen zu verhindern.
Wie lange sollten E-Mails und Daten ehemaliger Mitarbeitender aufbewahrt werden?
Die meisten Unternehmen bewahren E-Mails und Dateien 30 bis 90 Tage nach dem Austritt auf. Rechtliche oder regulatorische Anforderungen der jeweiligen Branche können das verlängern. Während der Aufbewahrungszeit eine automatische Weiterleitung an eine Führungskraft einrichten und Daten vor der Löschung archivieren.
Welche Accounts sollten beim Offboarding zuerst gesperrt werden?
Zuerst den Identity-Provider- oder SSO-Account sperren. Das kaskadiert auf die meisten verbundenen Anwendungen und schließt den breitesten Zugang mit einer einzigen Aktion. Danach Standalone-SaaS-Tools einzeln abarbeiten.
Was ist der Unterschied zwischen IT-Offboarding und HR-Offboarding?
HR-Offboarding umfasst Exit-Interviews, finale Gehaltsabrechnung, Beendigung von Sozialleistungen und Wissenstransfer. IT-Offboarding fokussiert sich auf den Entzug von Systemzugängen, die Rückforderung von Geräten, die Rückgewinnung von Lizenzen und die Datensicherung. Beide sollten parallel laufen – idealerweise aus demselben System ausgelöst. Die Abstimmung von HR- und IT-Workflows verhindert Lücken.
Wie offboardest du jemanden, der private Geräte für die Arbeit genutzt hat?
Mobile Application Management nutzen, um Unternehmensdaten und -Apps selektiv von privaten Geräten zu löschen. Zugriff auf Unternehmens-E-Mail, Cloud-Speicher und Kollaborationstools widerrufen. Die BYOD-Richtlinie sollte diese Verfahren vorab festlegen, damit Mitarbeitende wissen, was sie erwartet.
Kann IT-Offboarding vollständig automatisiert werden?
Ja. Plattformen wie deeploi automatisieren den gesamten Workflow – von der Account-Deaktivierung und E-Mail-Weiterleitung bis hin zur Gerätesperrung und Lizenz-Recovery. Automatisierung gewährleistet Konsistenz und eliminiert das Risiko vergessener Schritte – besonders wertvoll für Unternehmen mit häufiger Mitarbeiterfluktuation.
Die Systeme, die beim Mitarbeiter-Onboarding bereitgestellt werden, sind dieselben, die beim Offboarding widerrufen werden. Beide Prozesse auf derselben Plattform aufzubauen stellt sicher, dass nichts durch die Maschen fällt.
.png)
.jpg)
