"Offboarding: Das Konto eines ehemaligen Mitarbeiters ist eine offene Tür in Ihr Unternehmen"
11 July 2026 · 6 Min. Lesezeit
Verlässt ein Mitarbeiter das Unternehmen, sammelt die Personalabteilung die Geräte ein, der Papierkram wird unterschrieben, und damit ist es meist erledigt. Der IT-Teil der Geschichte, das Stilllegen der Zugänge, wird "auf morgen" verschoben, dann auf nächste Woche, und dann vergessen. Das Ergebnis: ein Konto, das weiter Post empfängt, ein VPN, das sich weiter verbindet, und Passwörter, die der ehemalige Kollege weiterhin kennt. Bei Audits neuer Kunden finden wir regelmäßig Konten von Personen, die seit Jahren nicht mehr im Unternehmen arbeiten, und das ist nicht die Nachlässigkeit einer einzelnen Firma, sondern die Regel in kleineren Organisationen ohne formalen Prozess.
Warum das Risiko größer ist, als es aussieht
Das Konto eines ehemaligen Mitarbeiters ist für einen Angreifer ideal: Es ist legitim, hat Historie, niemand beobachtet es, und sein Passwort liegt oft seit Jahren in einer öffentlichen Datenbank geleakter Zugangsdaten. Eine Anmeldung an einem solchen Konto sieht nicht aus wie ein Einbruch, sie sieht aus wie ein Montag. Dazu kommt der menschliche Faktor: Die meisten Abgänge verlaufen friedlich, aber es braucht nur eine strittige Kündigung, damit ein aktiver Zugang zum Racheinstrument wird, vom Löschen von Dateien bis zur Kundendatenbank, die zur Konkurrenz wandert.
Und es geht nicht nur um Mitarbeiter. Dasselbe Problem entsteht durch Konten ehemaliger Dienstleister, Freelancer, Agenturen und sehr oft des vorherigen IT-Dienstleisters, der manchmal Jahre nach dem Ende der Zusammenarbeit noch Admin-Zugriff auf alles hat.
Was nach dem Abgang alles aktiv bleibt
Ein Konto zu deaktivieren ist nicht ein Klick, denn der Zugang lebt an vielen Stellen:
- Konto und Sitzungen: das Entra-ID-Konto sowie aktive Anmeldungen auf Telefon und Laptop, die auch nach einer Passwortänderung weiterfunktionieren, wenn die Sitzungen nicht widerrufen werden.
- E-Mail: Stellvertretungen für fremde Postfächer, automatische Weiterleitungen an private Adressen, geteilte Postfächer.
- Geteilte Passwörter: WLAN, gemeinsame Tool-Konten, Zugänge zu Social Media und Website, Passwörter, die "alle kannten".
- Externe Dienste: SaaS-Tools, die per Karte an der IT vorbei gekauft wurden, mit dem Konto verbundene OAuth-Apps, Zugänge bei Lieferanten.
- Geräte: das private Telefon mit Arbeitsprofil und synchronisierten OneDrive-Ordnern.
So sieht sauberes Offboarding aus
Der Prozess, den wir bei Kunden einführen, passt auf eine Checkliste und läuft am Tag des Abgangs, nicht danach: Konto deaktivieren, alle aktiven Sitzungen widerrufen, MFA-Methoden zurücksetzen, Postfach und OneDrive an Vorgesetzte oder Nachfolger übergeben, Weiterleitungen und Stellvertretungen entfernen, geteilte Passwörter rotieren, Geräte per Intune löschen und Zugänge bei externen Diensten und Lieferanten schließen. Dazu gehört die Prävention: eine vierteljährliche Überprüfung aller Konten und Zugänge, denn das Offboarding erfasst die, von denen Sie wissen, dass sie gehen, und die Überprüfung erfasst die, die der Prozess übersehen hat.
Fazit
Ein Unternehmen, das Zugänge sauber stilllegt, ist nicht paranoid, es kennt nur eine einfache Wahrheit: Jedes aktive Konto ist ein Eingang, und ein Eingang, den niemand nutzt und niemand beobachtet, ist ein Geschenk an den Angreifer. Eine Offboarding-Checkliste wird einmal erstellt, kostet eine halbe Stunde pro Abgang und schließt ein Risiko, das schon weit größere Unternehmen als Ihres zu Fall gebracht hat.
INTO MSP richtet für seine Kunden den Offboarding-Prozess, vierteljährliche Zugriffsprüfungen und die Kontrolle geteilter Passwörter über einen zentralen Vault ein. Wenn Sie nicht wissen, wie viele ehemalige Personen aktuell lebendigen Zugriff auf Ihre Systeme haben, ist das genau die Frage, die unser Audit beantwortet.
Soll das jemand für Sie regeln, ohne Drama?
INTO MSP betreut Security, Backup und IT für kleine und mittlere Unternehmen. Schritt eins: ein kurzer, unverbindlicher Check.
IT-Security → Kontakt