Austritt ist ein Sicherheitsereignis
Ein gekündigter oder ausgetretener Mitarbeiter ohne sauberes Offboarding ist eines der unterschätzten Risiken im KMU. Aktive Konten, persönliche Geräte mit Firmen-Mailbox, externe Sharing-Links auf Privat-Mailadressen, OneDrive-Synchronisation auf Privat-Laptops, das sind keine Theoriefälle.
Offboarding ist kein HR-Thema, das nebenbei läuft. Es ist ein definierter IT-Prozess mit messbaren Schritten.
Pflichtschritte beim Austritt
| Schritt | Wann | Was |
|---|---|---|
| Konto sperren | Letzter Arbeitstag | Sign-in blockieren, MFA neu erzwingen |
| Sessions invalidieren | Sofort | Alle aktiven Sessions trennen |
| Geräte | Tag 0 | Firmengeräte zurück, BYOD remote-wipen oder selektiv löschen |
| Mail-Weiterleitung | Tag 0 oder definiert | Auf Vorgesetzte oder Vertretung |
| Daten sichern | Vor Löschung | OneDrive-Inhalte übernehmen, Mailbox-Archiv |
| Externe Sharing-Links | Tag 0 | Vom ausscheidenden Konto erstellte Links prüfen |
| Lizenz freigeben | Nach 30–90 Tagen | Je nach Aufbewahrungspflicht |
| Konto löschen | Nach Aufbewahrungsfrist | Endgültig, dokumentiert |
Was oft falsch läuft
Konto bleibt aktiv. „Wir wissen ja nicht, was noch kommt." Ergebnis: monatelang aktive Konten ohne aktive Person.
Lizenz nicht freigegeben. Kostet weiter, nutzt niemand.
Sharing-Links übersehen. Die ausgeschiedene Person hat einer externen Mail Lese-/Schreibrechte gegeben. Die bleiben.
OneDrive-Daten weg. Konto wird gelöscht, niemand hat die Inhalte gesichert.
MFA-Methode bleibt. Ehemaliges Privat-Handy kann theoretisch noch authentifizieren.
Beispiel aus dem KMU-Alltag
Ein Mitarbeiter verlässt eine Anwaltskanzlei. Konto wird „mal stehen gelassen". Drei Monate später entdeckt die IT, dass ein externer Sharing-Link mit Schreibrechten auf eine private Adresse aktiv ist, gesetzt vom ehemaligen Mitarbeiter. Der Schaden: keiner. Das Risiko: real.
Konkrete Empfehlung
Definieren Sie einen Offboarding-Standardprozess auf einer Seite Papier:
- HR meldet Austritt mit Datum
- IT führt Tag-0-Schritte durch (sperren, Sessions, Geräte)
- Vorgesetzter erhält Datenübernahme
- Lizenzfreigabe nach 30 Tagen, mit Reminder
- Endgültige Löschung dokumentiert
Wichtig: Der Prozess muss nachweisbar laufen, nicht „Hans macht das schon".
Wann wir helfen
Wir definieren den Offboarding-Prozess, automatisieren Schritte (Lizenz, Mailbox-Konvertierung, Sharing-Audit) und führen ihn ggf. selbst durch. Teil von Managed Workplace & Microsoft 365. Siehe auch Mitarbeiterwechsel als Sicherheitsrisiko.
Häufige Fragen
Wie lange Mailbox aufbewahren? Je nach Branche 30 Tage bis mehrere Jahre. Steuerlich, vertraglich oder regulatorisch unterschiedlich.
Was tun mit OneDrive? Vor Löschung an Vorgesetzte oder Nachfolge übergeben.
Mail-Weiterleitung dauerhaft? Begrenzt auf 1–3 Monate. Danach Vertretung im Tenant einrichten.
Kann man Konten reaktivieren? Innerhalb von 30 Tagen meistens ja. Danach wird es aufwendig.
Was kostet das pro Austritt? Bei sauberem Prozess gering, die Schäden ohne Prozess sind teurer.