Sicheres Offboarding: 10-Punkte-Checkliste für IT-Admins

Warum Offboarding sicherheitskritisch ist

Beim Onboarding gibt es klare Anreize, sauber zu arbeiten – die neue Person soll produktiv werden. Beim Offboarding fehlen diese Anreize: Der Mitarbeiter ist weg, der direkte Druck verschwindet, und im Alltagsstress rutschen kleine Lücken durch. Genau diese Lücken werden zu Sicherheitsvorfällen, wenn:

• jemand das Unternehmen im Konflikt verlässt und Zugang behält;
• geteilte Klartext-Passwörter weiterhin gültig sind;
• private Geräte mit synchronisierten Daten nicht bereinigt werden;
• vergessene Cloud-Konten weiter laufen.

Die 10-Punkte-Checkliste

1. SSO-Konto deaktivieren (nicht löschen). Erst deaktivieren, damit aktive Sessions sofort beendet werden. Löschen erst nach Abschluss aller anderen Schritte – sonst verlieren Sie den Audit-Trail.
2. Aktive Sessions beenden. In Google Workspace, Microsoft 365, Slack & Co. die laufenden Sessions zwangsweise terminieren.
3. 2FA-Geräte entfernen. Hardware-Keys einsammeln, TOTP-Apps in den Admin-Tools deaktivieren.
4. Geteilte Passwörter rotieren. Der wichtigste und am häufigsten vergessene Schritt. Welche Logins kannte die Person? Jeden einzelnen ändern – auch wenn die Person „freundlich" gegangen ist.
5. Tresor-Zugriff entziehen. Alle Team-Tresore: Mitgliedschaft entfernen. In einem modernen Passwort-Manager passiert das mit einem Klick gleichzeitig.
6. Persönliche Tresor-Daten exportieren oder löschen. Was war beruflich, was privat? Diese Trennung muss vor der Deaktivierung erfolgen.
7. API-Tokens und Service-Accounts widerrufen. Tokens, die diese Person erstellt hat (GitHub, AWS, CI/CD), müssen widerrufen werden. Hier sitzen die heimlichen Backdoors.
8. Hardware zurücknehmen oder remote zurücksetzen. Laptop, Telefon, Token. MDM-Wipe als Option, wenn das Gerät nicht physisch zurückkommt.
9. E-Mail-Postfach umleiten. Aliase auf einen verbliebenen Kollegen. Wichtig: nicht das Postfach löschen, sondern für 6–12 Monate behalten – Compliance-relevant.
10. Audit-Log archivieren. Wer hat in den letzten 90 Tagen worauf zugegriffen? Diese Information ist nur jetzt vollständig verfügbar – nach dem Löschen weg.

Was oft vergessen wird

Drei Lücken sehen wir immer wieder:

• Geteilte Klartext-Passwörter aus dem Wiki/der Slack-History. SSO-Deaktivierung schützt nicht, wenn das Notion-Wiki noch das alte Admin-Passwort enthält und der Ex-Mitarbeiter es auswendig kennt.
• Privat synchronisierte Kalender und Kontakte. iCloud, Google-Account auf dem privaten Smartphone – diese Daten verschwinden nicht durch SSO-Deaktivierung.
• Dritt-Apps mit OAuth-Zugriff. Plug-ins und Tools, die der Mitarbeiter „mal eben" angebunden hat. Im Workspace-Admin nach offenen OAuth-Bindings suchen.

Wie man das in 15 Minuten erledigt

Mit einem zentralen Passwort-Tresor läuft das Offboarding so:

1. Im Admin-Panel den Nutzer deaktivieren – alle Tresor-Zugriffe sind sofort weg.
2. Das System listet automatisch alle Passwörter, die die Person sehen konnte.
3. Diese Liste an die zuständige Person zur Rotation übergeben (oder per Generator direkt neue Passwörter setzen).
4. Audit-Log der letzten 90 Tage als PDF exportieren – für die Personalakte.

Ohne ein solches Tool dauert genau dieser Vorgang typischerweise mehrere Stunden, weil verstreute Passwörter aus Slack, Wiki und Mail mühsam zusammengesucht werden müssen.

Offboarding ist der härteste Stresstest für Ihre Passwort-Architektur. Wenn es chaotisch wird, war die Architektur das Problem – nicht der ausscheidende Mitarbeiter.