|

IT-Onboarding und Offboarding: Checkliste für Berliner KMU

ByAnthony Stewart

Onboarding und Offboarding sind zwei der Prozesse mit dem höchsten Hebel, die ein KMU-IT-Team systematisieren kann. Jede Neueinstellung ist ein Zugangsbereitstellungsereignis. Jedes Ausscheiden ist ein Zugangsentzugsereignis. Wenn diese ad hoc ablaufen — durch verstreute Anfragen, vergessene Konten und manuelle Passwort-Resets — ist das Ergebnis: Zugangswildwuchs, verbleibende Berechtigungen, verschwendete Lizenzen und DSGVO-Exposure.

Diese Checkliste deckt die IT-Seite beider Prozesse für ein Berliner KMU mit Microsoft 365 ab, mit Hinweisen darauf, wo Automatisierung sinnvoll ist und wo manuelle Schritte unvermeidlich sind.

Warum das über Komfort hinausgeht

  • Offboarding ist eine DSGVO-Pflicht. Wenn ein Mitarbeiter das Unternehmen verlässt, sind Sie verpflichtet, unbefugten Zugriff auf personenbezogene Daten zu verhindern. Ein aktives Microsoft-365-Konto eines ausgeschiedenen Mitarbeiters ist ein offener Zugangspunkt zu Kundendaten, internen Kommunikationen und möglicherweise Gehalts- oder Personaldaten.
  • Verbleibende Zugriffsrechte sind eine Hauptursache für Datenexfiltration. Die meisten Insider-Vorfälle ereignen sich in dem Zeitraum, nachdem jemand beschlossen hat zu gehen, aber bevor der Zugriff entzogen wurde.
  • Lizenzkosten summieren sich. Eine Microsoft 365 Business Premium Lizenz kostet etwa 22 € pro Benutzer und Monat. Das Vergessen, Lizenzen von ausgeschiedenen Mitarbeitern zurückzufordern, ist ein häufiger, unsichtbarer Kostenverlust.
  • Produktivität neuer Mitarbeiter beginnt beim Login. Ein strukturierter Onboarding-Prozess, bei dem Konten, Geräte und Zugriffsrechte am ersten Tag bereit sind, macht einen wesentlichen Unterschied.

IT-Onboarding-Checkliste

Vor dem Startdatum (T-3 bis T-1 Werktage)

  • ☐ Microsoft-365-Benutzerkonto mit korrektem Anzeigenamen, UPN und Berufsbezeichnung erstellen
  • ☐ Microsoft-365-Lizenz entsprechend der Rolle zuweisen
  • ☐ Zu relevanten Microsoft-365-Gruppen und Teams-Kanälen hinzufügen
  • ☐ Zugriff auf geteilte Postfächer einrichten, falls erforderlich
  • ☐ Zu relevanten SharePoint-Sites und Dokumentbibliotheken hinzufügen
  • ☐ VPN / Fernzugangsdaten erstellen, falls anwendbar
  • ☐ Gerät bestellen und konfigurieren: Betriebssysteminstallation, Verschlüsselung aktiviert (BitLocker), Intune-Registrierung, Basis-Compliance-Richtlinie angewendet
  • ☐ Temporäres Passwort setzen und Zurücksetzen beim ersten Login verlangen
  • ☐ MFA-Einrichtungsanleitung vorbereiten

Erster Tag

  • ☐ Microsoft Authenticator / MFA-Einrichtung abschließen
  • ☐ Bestätigen, dass Microsoft-365-Apps zugänglich und korrekt lizenziert sind
  • ☐ IT-Sicherheitsgrundlagen durchgehen: Phishing-Bewusstsein, Passwort-Manager-Einrichtung, wie verdächtige E-Mails gemeldet werden
  • ☐ Bestätigen, dass das Gerät in Intune registriert ist und als konform angezeigt wird
  • ☐ IT-Kontaktdaten und Eskalationspfad bereitstellen

Erste Woche

  • ☐ OneDrive Known Folder Move korrekt synchronisiert (Dokumente, Desktop, Bilder)
  • ☐ Freigegebene Laufwerke / SharePoint-Zugriff funktional
  • ☐ Zu zusätzlichen Tools oder SaaS-Plattformen hinzufügen (für das Offboarding dokumentieren)
  • ☐ Alle gewährten Systeme und Zugriffsebenen erfassen — wird zur Offboarding-Checkliste

IT-Offboarding-Checkliste

Das Offboarding sollte beginnen, sobald eine Kündigung oder Entlassung bestätigt ist — nicht am letzten Tag. Bei unfreiwilligen Kündigungen sollten IT-Maßnahmen gleichzeitig mit oder unmittelbar nach dem Benachrichtigungsgespräch stattfinden.

Sofortmaßnahmen (innerhalb einer Stunde bei Entlassungen)

  • ☐ Microsoft-365-Konto deaktivieren (nicht löschen — Postfach und Daten aufbewahren)
  • ☐ Aktive Sitzungen widerrufen (Entra ID → Benutzer → Sitzungen widerrufen)
  • ☐ Passwort des Kontos ändern
  • ☐ Aus Verteilerlisten und geteilten Postfächern entfernen
  • ☐ VPN / Fernzugangsdaten widerrufen
  • ☐ Alle anderen aktiven Konten deaktivieren: Branchenanwendungen, CRM, Buchhaltungssoftware usw.

Innerhalb von 24-48 Stunden

  • ☐ Auto-Reply für das Postfach einrichten, der auf den entsprechenden Kollegen verweist
  • ☐ E-Mail-Weiterleitung an den direkten Vorgesetzten oder designierten Nachfolger konfigurieren (zeitlich begrenzt — typischerweise 30-90 Tage)
  • ☐ OneDrive-Daten an Manager oder Nachfolger übertragen
  • ☐ Eigentümerschaft von Teams, SharePoint-Sites und geteilten Dateien übertragen
  • ☐ Admin-Rollen oder erhöhte Berechtigungen des Kontos prüfen und sofort entfernen
  • ☐ Unternehmensgerät einziehen: Löschen und zurücksetzen, in den Bestand zurückführen

Innerhalb von 30 Tagen

  • ☐ Microsoft-365-Lizenz zurückfordern
  • ☐ Zugriff auf alle SaaS-Tools prüfen und entfernen
  • ☐ Das Microsoft-365-Konto gemäß Ihrer Datenaufbewahrungsrichtlinie formell löschen oder archivieren
  • ☐ Offboarding-Abschluss mit Zeitstempel dokumentieren — relevant für DSGVO und NIS2-Prüfungsbereitschaft

Automatisierung mit Microsoft 365

Für Unternehmen, die regelmäßig Mitarbeiter ein- und ausgliedern, bietet Microsoft 365 mehrere Automatisierungsmöglichkeiten:

  • Entra ID Lifecycle Workflows. Automatisieren Sie die Kontoerstellung vor dem Start, Aufgaben am ersten Tag und die Kontodeaktivierung beim Ausscheiden auf Basis von HR-Systemdaten oder geplanten Auslösern.
  • Dynamische Microsoft-365-Gruppen. Weisen Sie Benutzer Gruppen und damit SharePoint/Teams-Zugriff basierend auf Attributen wie Abteilung oder Berufsbezeichnung zu. Neue Mitarbeiter erhalten automatisch entsprechenden Zugriff; beim Ausscheiden werden sie entfernt.
  • Intune Autopilot. Vorkonfigurieren Sie die Gerätebereitstellung, sodass neue Hardware sich selbst bereitstellt.

DSGVO-Überlegungen zu Mitarbeiterdaten

Wenn ein Mitarbeiter das Unternehmen verlässt, werden seine Daten nicht automatisch zu Ihrem dauerhaften Eigentum. Die DSGVO verlangt eine dokumentierte Aufbewahrungsrichtlinie für personenbezogene Daten von Mitarbeitern, einschließlich E-Mail, Personaldaten und Zugriffsprotokollen. Typische Aufbewahrungsfristen nach deutschem Recht: Personalakten bis zu 10 Jahre, Lohnunterlagen 10 Jahre.

Die praktische Konsequenz: Bevor Sie das Konto eines ausgeschiedenen Mitarbeiters löschen, stellen Sie sicher, dass Daten gegen Ihre Aufbewahrungsrichtlinie geprüft wurden, geschäftsrelevante Inhalte übertragen wurden und die Löschung dokumentiert ist.

Kostenlos für Berliner KMU

Wie sicher ist Ihre IT wirklich?

Wir prüfen Ihre Sicherheitslage, Microsoft-365-Konfiguration, Netzwerkresilienz und Compliance-Lücken — und liefern Ihnen einen schriftlichen Bericht ohne Verpflichtung.

Kostenlose IT-Analyse anfordern →

Keine Verpflichtung. Schriftlicher Bericht inklusive. Ca. 45 Minuten Ihrer Zeit.

Den Prozess richtig aufstellen

Der Onboarding-/Offboarding-Prozess ist eines der ersten Dinge, die wir bei einer IT-Analyse prüfen — weil er ein zuverlässiger Indikator dafür ist, wie rigoros die Zugriffskontrolle im gesamten Unternehmen verwaltet wird. Wenn Sie eine strukturierte Prüfung Ihres aktuellen Zugriffsverwaltungs- und Offboarding-Prozesses möchten, umfasst unsere kostenlose IT-Analyse dies als Teil der Prüfung der betrieblichen Resilienz.

Similar Posts