Wenn jemand neu anfängt oder das Unternehmen verlässt, ist die IT-Seite des Wechsels selten das erste, woran man denkt. Verständlich. Onboarding bedeutet Einarbeitung, Offboarding bedeutet Übergabe, und beide Prozesse sind menschlich komplex genug. Trotzdem ist der IT-Teil nicht nebensächlich. Ein neuer Mitarbeiter ohne funktionierenden Zugang ist am ersten Tag handlungsunfähig. Und ein ausgeschiedener Mitarbeiter, dessen Konten noch offen sind, ist ein Risiko, das sich leise aufbaut.
Was beim IT-Onboarding vorbereitet sein muss
Wer am ersten Arbeitstag anfängt, sollte sofort arbeiten können. Das klingt selbstverständlich, ist es aber nicht. In vielen Unternehmen läuft das nach dem gleichen Muster: Der Laptop ist noch nicht da, das Konto wurde noch nicht eingerichtet, niemand weiß genau, welche Software der neue Kollege braucht. Der erste Tag wird zur Warteschleife.
Das lässt sich verhindern, wenn die Vorbereitung nicht am Tag des Eintritts anfängt, sondern eine bis zwei Wochen vorher.
Benutzerkonto und E-Mail-Adresse sollten vor dem ersten Arbeitstag angelegt sein, nicht danach. Das schließt den Zugang zu Microsoft 365 oder einem entsprechenden System, die Unternehmens-E-Mail-Adresse und die Einbindung in die relevanten Teams-Channels ein.
Lizenzen müssen zugewiesen sein. Eine M365-Lizenz ist schnell vergessen, und dann sitzt jemand vor einem Gerät ohne Outlook, ohne Teams, ohne OneDrive. Welche Lizenzen gebraucht werden, hängt von der Rolle ab.
Gerät einrichten heißt: Betriebssystem aktuell, Sicherheitssoftware aktiv, Firmen-Apps installiert, Benutzer eingerichtet. Wenn das Gerät über Microsoft Intune verwaltet wird, passiert ein großer Teil davon automatisch beim ersten Einloggen.
Berechtigungen sind der Punkt, der am häufigsten zu großzügig gelöst wird. Der neue Mitarbeiter bekommt Admin-Rechte, weil das einfacher ist, oder Zugang zu Ordnern, die er eigentlich gar nicht braucht. Das erleichtert das Onboarding kurzfristig und schafft langfristig ein unübersichtliches Berechtigungsnetz.
Accounts für Fachanwendungen: ERP, Buchhaltung, CRM, Projektmanagement-Tool. Diese Zugänge werden oft vergessen, weil sie außerhalb der Standard-IT-Umgebung liegen.
Tabelle: IT-Onboarding und Offboarding im Überblick
| Schritt | Onboarding (neuer Mitarbeiter) | Offboarding (ausscheidender Mitarbeiter) |
|---|---|---|
| Benutzerkonto | Anlegen, E-Mail konfigurieren | Konto sperren, nicht sofort löschen |
| M365-Lizenz | Zuweisen | Lizenz entfernen oder deaktivieren |
| Gerät | Einrichten, ausliefern | Zurücknehmen, Daten sichern, zurücksetzen |
| Berechtigungen | Minimal notwendige vergeben | Alle entziehen, auch Drittanbieter |
| VPN-Zugang | Einrichten wenn nötig | Sofort deaktivieren |
| Gruppenpostfach/weiterleiten | Relevante Verteiler hinzufügen | Weiterleitungsregel prüfen oder einrichten |
| Passwörter | Initialkennwort setzen, Änderung erzwingen | Eigene Passwörter in Shared-Konten ändern |
| Fachanwendungen | Zugänge anlegen | Zugänge in allen Systemen sperren |
| Daten | Freigaben einrichten | Wichtige Daten an Nachfolger übergeben oder archivieren |
| Dokumentation | Zuständigkeiten festhalten | IT-Dokumentation aktualisieren |
Diese Tabelle ist kein vollständiges Protokoll für jedes Unternehmen. Sie ist ein Startpunkt. Was genau drin ist, hängt von der eigenen IT-Landschaft ab.
Was beim IT-Offboarding wirklich zählt
Das Offboarding ist der kritischere Teil. Nicht weil das Onboarding unwichtig wäre, sondern weil vergessene Zugänge aktiv Schaden anrichten können, während ein schlecht vorbereitetes Onboarding nur Arbeit kostet.
Konten sperren, nicht löschen. Das ist der häufigste Fehler. Wenn man das Konto eines ausgeschiedenen Mitarbeiters sofort löscht, sind alle damit verbundenen Daten weg, E-Mails, OneDrive-Inhalte, Kalendereinträge. Besser ist: Konto sperren, Zugang damit verhindern, Daten für eine definierte Zeit aufbewahren, dann geordnet löschen oder archivieren.
Geräterückgabe und Datensicherung. Das Gerät gehört dem Unternehmen und muss zurück. Bevor es zurückgesetzt wird, sollten Daten gesichert sein, die noch relevant sind. Auf dem Gerät bleiben möglicherweise lokale Dateien, die nicht in der Cloud synchronisiert wurden.
Alle Zugänge, wirklich alle. Das ist der aufwendigste Teil. M365 und VPN sind klar. Aber was ist mit dem Zugang zum Zeiterfassungssystem, zum Webshop-Backend, zur Buchhaltungssoftware, zum externen Kundenportal? Jedes System, das der Mitarbeiter je genutzt hat, muss geprüft werden. Eine Liste der Systeme zu führen, auf die Mitarbeiter Zugang haben, zahlt sich spätestens beim Offboarding aus.
Weiterleitungsregeln einrichten. Die E-Mail-Adresse des ausgeschiedenen Mitarbeiters läuft weiter. Kunden und Partner schreiben noch Monate an die alte Adresse. Eine Weiterleitung an den Nachfolger oder eine Sammeladresse verhindert, dass Anfragen ins Leere laufen.
Das Sicherheitsrisiko vergessener Zugänge
Laut verschiedenen Erhebungen haben nach Mitarbeiteraustritten in einem relevanten Teil der Unternehmen die ausgeschiedenen Mitarbeiter noch Wochen oder Monate danach aktiven Zugang zu Systemen. Die genauen Zahlen variieren je nach Studie, aber die Grundaussage ist konsistent: Es passiert öfter als Unternehmen denken, weil der Offboarding-Prozess unter Zeitdruck stattfindet oder einfach nicht klar geregelt ist.
Was kann passieren? Im besten Fall nichts. Im schlechtesten Fall loggt sich jemand mit schlechter Absicht in ein System ein, das er offiziell schon längst nicht mehr nutzen sollte. Oder ein Datenschutzprüfer fragt nach aktiven Zugängen ehemaliger Mitarbeiter. Beides ist unangenehm.
Die DSGVO schreibt vor, dass der Zugang zu personenbezogenen Daten an die Beschäftigung gebunden ist. Wer das Unternehmen verlässt, darf keine aktiven Zugänge mehr haben. Das ist keine graue Zone.
Automatisierung über Microsoft 365 und Intune
Viele KMU machen Onboarding und Offboarding noch weitgehend manuell: Techniker sitzt beim neuen Mitarbeiter, richtet Konto ein, installiert Software, erklärt Zugänge. Das dauert, und es hängt daran, dass der richtige Mensch zur richtigen Zeit verfügbar ist.
Wer Microsoft 365 und Intune einsetzt, kann einen großen Teil davon automatisieren.
Für das Onboarding bedeutet das: Ein neues Gerät wird mit dem Unternehmenskonto verknüpft, meldet sich an, und Intune rollt automatisch alle nötigen Apps aus, setzt Sicherheitsrichtlinien durch und konfiguriert den Zugang zu Firmendaten. Der Mitarbeiter meldet sich an und kann loslegen, ohne dass ein Techniker dabei ist.
Für das Offboarding lässt sich über M365 in wenigen Schritten das Konto sperren, alle aktiven Sessions beenden, das Gerät remote zurücksetzen und die Lizenz deaktivieren. Wenn das als Prozess einmal sauber aufgesetzt ist, ist das Offboarding eine Sache von Minuten statt Stunden.
Das setzt voraus, dass alle Geräte tatsächlich in Intune eingebunden sind und die Verwaltung sauber eingerichtet wurde. In vielen KMU ist das nicht der Fall, weil der bisherige IT-Dienstleister das nie strukturiert hat. Der Aufwand, das nachzuholen, ist in der Regel überschaubar und zahlt sich bei jedem Mitarbeiterwechsel aus.
Ein strukturierter Prozess statt Ad-hoc-Reaktion
Das Ziel ist ein Prozess, der unabhängig davon funktioniert, wie viel gerade los ist. Mitarbeiterwechsel passieren selten dann, wenn man gut vorbereitet ist. Jemand kündigt kurzfristig, oder ein neuer Mitarbeiter fängt früher an als geplant, oder beides gleichzeitig.
Ein gutes IT-Onboarding und Offboarding braucht deshalb drei Dinge:
Eine Checkliste, die vollständig ist und nie verkürzt wird, weil gerade Stress herrscht. Eine klare Verantwortlichkeit, also eine Person, die die Liste durchgeht und abhakt. Und einen IT-Dienstleister, der eingebunden wird, wenn ein Wechsel ansteht, und nicht erst dann angerufen wird, wenn schon drei Wochen vergangen sind.
ITCC unterstützt KMU beim Aufbau und der laufenden Pflege von Onboarding- und Offboarding-Prozessen, von der initialen Einrichtung in M365 und Intune bis zur Abwicklung einzelner Mitarbeiterwechsel. Wenn Sie gerade merken, dass Ihr Prozess Lücken hat, ist ein kurzes Gespräch ein guter Startpunkt.
Häufige Fragen
Verwandte Themen
- StrategieBackup-Strategien für Unternehmen: 3-2-1 und ransomware-sicher
Wie die 3-2-1-Regel funktioniert, was Immutable Backups leisten, warum Sync kein Backup ist und wie M365-Daten wirklich gesichert werden.
- StrategieCloud oder eigener Server: Die Entscheidung für KMU
Wann ein lokaler Server noch sinnvoll ist, wann Cloud die bessere Wahl ist und was Datenschutz, Kosten und Internetabhängigkeit dabei wirklich bedeuten.
- StrategieWenn der IT-Betreuer ausfällt: Das Klumpenrisiko der Ein-Mann-Bude
Was passiert, wenn das gesamte IT-Wissen bei einer Person liegt. Wie KMU das Klumpenrisiko erkennen, bewerten und mit dem richtigen Partner absichern.