Brauchen wir wirklich ein Rollen-Modell, wenn wir nur 15 MA sind?

Ja. Auch bei kleinen Teams entstehen schnell Berechtigungs-Inseln, wenn jeder Eintritt einzeln konfiguriert wird. Ein Rollen-Modell mit 4 bis 6 Rollen genügt oft und ist in einem Nachmittag definierbar.

Wer löst das Onboarding aus, HR oder IT?

HR. IT setzt um. Der Eintrittstermin und die Rolle kommen aus HR, IT konfiguriert nach Rolle. Das Drehbuch zeigt, welche Person was wann tut.

Was passiert mit der Mailbox bei Austritt?

Das hängt von Rolle und Branche ab. Typisch: Mailweiterleitung an die Vorgesetzte für 30 bis 90 Tage, dann Archivierung mit definierter Aufbewahrungsfrist. Wir dokumentieren das pro Rolle.

Können wir das selbst pflegen?

Ja. Wir liefern eine Checkliste und das Rollen-Modell. Pflege liegt bei Ihnen, mit jährlichem Review-Termin. Wer mag, übergibt die Pflege an unser Care-Mandat.

Was ist mit externen Dienstleistern und SaaS-Konten?

Die gehören ins Offboarding-Drehbuch. Wir prüfen im Audit, welche externen Tools genutzt werden und ergänzen die Liste. Vergessene SaaS-Konten sind die häufigste Datenleck-Quelle.

Onboarding und Offboarding absichern, ohne dass Konten und Geräte vergessen werden

Befund · 01

Benutzer bleiben aktiv, Geräte werden nicht sauber zurückgesetzt, Berechtigungen sind nicht dokumentiert. Wir bauen einen prüfbaren On- und Offboarding-Prozess.

Typische Anzeichen im Alltag

Konten ehemaliger Mitarbeitender sind noch aktiv
Mailweiterleitungen zeigen auf private Adressen
Berechtigungen werden beim Eintritt von Kolleg:innen kopiert
Niemand weiss, welches Gerät welche Person hat
Geräte werden nicht zurückgesetzt, sondern weitergegeben

Antwort · 02

Eintritt und Austritt sind die zwei Momente, in denen IT-Risiko entsteht oder gestoppt wird. Wer hier ohne Prozess arbeitet, erbt Altlasten in beide Richtungen.

In den meisten KMU laufen Eintritt und Austritt über Zuruf. Die Personalverantwortlichen sagen "neue Person kommt", die IT-Person legt ein Konto an, ein Gerät wird besorgt. Beim Austritt geht oft nur das Gerät zurück. Konten, Mailweiterleitungen, Berechtigungen und externe Zugänge bleiben offen.

Zielbild

Was nach 30 Tagen klar ist.

Nach 30 Tagen sollen Sie auf einer Seite zeigen können: Welche Rollen existieren, welche Rechte gehören dazu, wie ein Eintritt abläuft und wie ein Austritt nachweisbar abgeschlossen wird.

Tag 1Start

Tag 7Audit

Tag 14Befund

Tag 21Quick Wins

Tag 30Übergabe

Klarheit

Was sicher fertig ist8 Belege

Rollen-Modell mit Standard-Rechten pro Funktion

Onboarding-Checkliste mit Verantwortlichkeiten

Offboarding-Drehbuch mit Fristen

Geräte-Lifecycle dokumentiert

Inventar offener Konten und Berechtigungen

Bereinigung kritischer Altlasten

Audit-Trail-Konzept für Konten und Rechte

Schulung der HR- und IT-Verantwortlichen

Vorgehen·5 Phasen·So gehen wir Schritt für Schritt vor

Wie wir Onboarding und Offboarding zu einem sauberen Prozess machen.

Fünf Phasen vom Konten-Audit zum eingespielten Drehbuch. Reihenfolge ist nicht beliebig: Audit vor Rollen, Rollen vor Onboarding, Onboarding vor Offboarding.

Phase

Wir prüfen alle aktiven Konten, ordnen sie Personen zu und identifizieren Karteileichen. Parallel werden bestehende Rollen und ihre Rechte erfasst.

Sie bekommen: Konten-Inventar mit Person-Mapping, Liste verwaister Konten, Rollen- und Rechte-Übersicht aktuell, kritische Risiken priorisiert.

Wir liefern

Konten-Inventar mit Person-Mapping
Liste verwaister Konten
Rollen- und Rechte-Übersicht aktuell
Kritische Risiken priorisiert

Sie liefern

Mitarbeitenden-Liste mit Funktion
Zugang zu M365, Fileshare, SaaS-Tools
Bestehende HR-Prozess-Beschreibungen

Exit hier möglich · Konten-Inventar bleibt bei Ihnen

Konten · Audit● scan

6 Konten · Status

A[email protected]aktiv

B[email protected]aktiv

X[email protected]orphan

Rservice-account-01service

D[email protected]aktiv

3 aktiv · 2 verwaist · 1 servicecleaned

Phase

Statt jeden Eintritt einzeln zu konfigurieren, definieren wir Rollen (z.B. Sachbearbeitung, Buchhaltung, Geschäftsleitung) mit Standard-Rechten. Eintritt heisst dann Rolle zuweisen.

Sie bekommen: Rollen-Definition pro Funktion, Standard-Berechtigungen je Rolle, Lizenz- und Tool-Zuordnung, Eskalationsweg für Sonderrechte.

Wir liefern

Rollen-Definition pro Funktion
Standard-Berechtigungen je Rolle
Lizenz- und Tool-Zuordnung
Eskalationsweg für Sonderrechte

Sie liefern

Funktionen aus Organigramm
Liste der genutzten Tools und Lizenzen
Entscheid zu Standard-Hardware

Rollen-Katalog freigegeben · Onboarding-Phase folgt

Rollen · Matrix● mapped

4 Rollen × 5 Berechtigungen

M365FileERPAdminVPNSachbBuchhGLIT

4 Rollen · Standard-Set

Phase

Wir bauen die Onboarding-Checkliste so, dass HR, IT und Vorgesetzte ihre Schritte sehen. Geräte werden inventarisiert, ausgegeben und beim Austritt geordnet zurückgenommen.

Sie bekommen: Onboarding-Checkliste mit Verantwortlichkeiten, Geräte-Lifecycle-Prozess, Standard-Setup für Notebook und Mobile, Übergabe-Protokoll für Geräte.

Wir liefern

Onboarding-Checkliste mit Verantwortlichkeiten
Geräte-Lifecycle-Prozess
Standard-Setup für Notebook und Mobile
Übergabe-Protokoll für Geräte

Sie liefern

HR-seitige Auslöser (Eintrittstermin)
Beschaffungs-Verantwortliche
Lager- oder Logistik-Lösung

Onboarding läuft nach Drehbuch · Offboarding-Phase folgt

Onboarding · 3 Lanes● handover

HR · IT · Vorgesetzte

Eintritt

Vertrag

Konto

Notebook

MFA

Lead

Tools

Tag 1

7/7 Steps · Tag 1 ready

Phase

Austritt ist sensitiver als Eintritt. Wir definieren Fristen, Reihenfolge und Verantwortlichkeiten: wann wird der Zugang gesperrt, wer übernimmt die Mailbox, wie wird das Gerät zurückgesetzt.

Sie bekommen: Offboarding-Drehbuch mit Fristen, Mailbox-Übergabe- und Archivierungs-Prozess, Geräte-Reset- und Wipe-Anleitung, Konten- und Berechtigungs-Abbau-Sequenz.

Wir liefern

Offboarding-Drehbuch mit Fristen
Mailbox-Übergabe- und Archivierungs-Prozess
Geräte-Reset- und Wipe-Anleitung
Konten- und Berechtigungs-Abbau-Sequenz

Sie liefern

HR-seitige Auslöser (Austrittstermin)
Entscheid zu Mailbox-Aufbewahrung
Entscheid zu Datenübergabe

Drehbuch in Kraft · Schulungs-Phase folgt

Offboarding · Lockdown● sequence

D-7 → D+30 · Fristen

D−7HR · Austrittsbestätigungplan

D−1Lead · Übergabe-Gesprächbrief

D 0IT · Zugang sperrenlock

D+1IT · Mailbox → Stellvert.fwd

D+30IT · Konto + Gerät · Wipedone

Audit-Trail ok12 events

Phase

Der beste Prozess hilft nichts, wenn ihn niemand kennt. HR- und IT-Verantwortliche werden eingearbeitet, das Drehbuch dokumentiert.

Sie bekommen: Schulung HR und IT-Verantwortliche, Dokumentation als interner Standard, Audit-Trail-Konzept, Empfehlung für Review-Zyklus.

Wir liefern

Schulung HR und IT-Verantwortliche
Dokumentation als interner Standard
Audit-Trail-Konzept
Empfehlung für Review-Zyklus

Sie liefern

Verantwortliche für HR-Prozess
Endabnahme der Dokumentation

Care-Mandat ab CHF 245 / Mt oder Eigenbetrieb

Doku · Audit-Trail● live

hr-it-runbook.md3 Module

Rollen-Modellv1

On-/Offboardingv1

Review-Zyklus2 / J

08:02 hr · m.weber · onboarded · role: sachb
✓ audit · 12 events · sealed
✓ schulung · hr + it · done
! review · q2 · scheduled

Lieferumfang · Mitwirkung · Wirkung

Wer was liefert. Und was dabei besser wird.

Drei klare Spalten: was SYSINFRA übernimmt, was Sie liefern müssen, was an Risiko nachweisbar runtergeht. Damit niemand am Tag 1 überrascht wird.

Phase · Lieferumfang

Was SYSINFRA übernimmt

Konten- und Rechte-Audit

Rollen-Modell-Definition

Onboarding-Checkliste und Standard-Setup

Offboarding-Drehbuch mit Fristen

Geräte-Lifecycle-Prozess

Mailbox-Übergabe- und Archivierungs-Konzept

Schulung HR und IT-Verantwortliche

Audit-Trail-Konzept

8 Liefer-Items→ verantwortet

Phase · Mitwirkung

Was Sie liefern müssen

Mitarbeitenden-Liste mit Funktion

Zugang zu M365, Fileshare und SaaS-Tools

HR-Prozess-Auslöser (Eintritts- und Austrittsdaten)

Entscheid zu Standard-Hardware und -Tools

Verantwortliche aus HR und Vorgesetzte

Lager- oder Logistik-Lösung für Geräte

6 Input-Items→ von Ihnen

Phase · Wirkung

Risiken, die reduziert werden

Konten ehemaliger MA bleiben aktiv

Berechtigungen werden über Jahre akkumuliert

Geräte verschwinden ohne Spur

Mailboxen mit Geschäftsdaten gehen verloren

Externe Zugänge bleiben unbemerkt offen

Rolle-Rechte-Trennung nicht belegbar

Eintritt scheitert an unklarer Verantwortung

Sensitive Daten gehen beim Austritt verloren

8 Risiken→ messbar tiefer

PraxisfallAnonymisiert

So lief es bei einem KMU mit ähnlicher Ausgangslage.

Anonymisierter Praxisfall · On- und Offboarding bei einem KMU mit hoher Personalfluktuation. Ein Dienstleistungs-KMU hatte saisonal stark schwankende Mitarbeiterzahlen. Eintritte und Austritte liefen über Zuruf, dokumentiert in mehreren Mailpostfaechern und einzelnen Notizen.

01Ausgangslage

Ausgangslage.

Eintritte dauerten 2 Stunden bis 2 Tage, je nachdem wer Zeit hatte. Austritte blieben technisch offen, Konten aktiv, Mailweiterleitungen auf private Adressen, SaaS-Logins verwaist. Audit konnte Berechtigungen nicht belegen.

02Vorgehen

Vorgehen.

Aktive Konten erfasst, auf Personen gemappt, Karteileichen bereinigt, Adminrechte reduziert. Rollen-Modell mit Standard-Berechtigungen definiert. Onboarding-Checkliste HR/IT/Vorgesetzte und Offboarding-Drehbuch mit Fristen eingeführt.

03Ergebnis

Ergebnis.

Eintrittstag ist heute eine Rollen-Zuweisung, kein Konfigurations-Akt. Austritte sind innerhalb von 24 Stunden technisch abgeschlossen, dokumentiert und nachweisbar. Die HR-Abteilung löst Prozesse aus, IT setzt um.

▸Lesson

Lesson.

Eintritt und Austritt sind die zwei Momente, in denen IT-Risiko entsteht oder gestoppt wird. Ohne Rollen-Modell und ohne Drehbuch wird beides zur Frage von Einzelpersonen-Gedaechtnis.

Branche: digitales ProduktGrösse: KMUQuelle: SYSINFRA-Mandat 2024Details anonymisiert

Passende Leistungen

Passende Leistungen in diesem Szenario.

SGF / WORK

Managed Workplace & M365

Tenant-Hardening, Conditional Access, Geräteverwaltung. Identitäten + Cloud-Desktop aus einer Hand.

SGF / HOST

Hosting & Betrieb

Managed Hosting in europäischen Rechenzentren. SLA, Backup, Monitoring, Incident-Pager inklusive.

SGF / INFRA

Infrastructure

Netzwerk, Hypervisor, Cloud-Ops beim Kunden. Setup, Care und Migration mit Rollback-Pfad.

SGF / WEB

Web & Commerce

Websites und Shops, Wartung, Performance, DSG-konform. Saubere Betriebsstrukturen.

FAQ · zuletzt geprüft 2026-04-28

Was wir oft im Erstgespräch hören.

Geprüft und ehrlich beantwortet. Bei Unklarheit: 30-Min-Erstgespräch direkt buchen.

SYSINFRA · Erstgesprächonline · antwortet meist innert 24 h

Alle Antworten Erstgespräch buchen

Heute · 2026-06-02

Auto-Play läuft · klicken Sie links eine Frage an30-Min-Erstgespräch buchen →

Drei Wege zu uns

Drei Wege, einer wird passen.

Termin, Preise zum Selbst-Lesen, oder direkt anrufen, wie es am besten für Sie passt.

30-Min Erstgespräch · technische Klärung.

Wir prüfen mit Ihnen den aktuellen Stack, hören die offenen Punkte und sagen ehrlich, ob ein Wechsel sich lohnt oder nicht. Online via Microsoft Teams, kostenlos und unverbindlich.

SYSINFRAWerktagsantwort ≤ 4 h · Mo bis Fr 08:00 bis 18:00

Termin buchen →Verfügbar werktags · 30 min · CH-Zeit

Anfrage schreiben

Detaillierte Anfrage via Kontaktformular.

Längere Beschreibung Ihres Setups, Anhänge möglich (Screenshots, Verträge, Systemlisten). Wir lesen, sortieren und antworten mit nächstem sinnvollem Schritt.

Freie Beschreibung statt fixem Slot
Anhänge bis 10 MB pro Datei
Antwort werktags ≤ 4 h
Optionales Erstgespräch im Anschluss

Anfrage öffnen →

Telefon · jetzt

+41 55 552 83 30

Mo bis Fr · 08:00 bis 18:00 · CH-Zeit

E-Mail[email protected]

Antwort werktags≤ 4 h

Notfall ausserhalb Geschäftszeiten? SLA-Pager-Eskalation →

Onboarding und Offboarding absichern, ohne dass Konten und Geräte vergessen werden

Was nach 30 Tagen klar ist.

Wie wir Onboarding und Offboarding zu einem sauberen Prozess machen.

Ist-Stand und Rollen-Audit.

Rollen-Modell definieren.

Onboarding-Checkliste und Geräte-Lifecycle.

Offboarding-Drehbuch.

Schulung und Übergabe.

Wer was liefert. Und was dabei besser wird.

Was SYSINFRA übernimmt

Was Sie liefern müssen

Risiken, die reduziert werden

So lief es bei einem KMU mit ähnlicher Ausgangslage.

Ausgangslage.

Vorgehen.

Ergebnis.

Lesson.

Passende Leistungen in diesem Szenario.

Managed Workplace & M365

Hosting & Betrieb

Infrastructure

Web & Commerce

Was wir oft im Erstgespräch hören.

Drei Wege, einer wird passen.

30-Min Erstgespräch · technische Klärung.

Detaillierte Anfrage via Kontaktformular.

+41 55 552 83 30