Was ist Offboarding?

Was ist Offboarding? (inkl. IT Checkliste Offboarding)

Das technische Offboarding ist ein geordneter Prozess im Unternehmen, um ausscheidende Mitarbeiter von all ihren Konten und Zugriffsrechten zu entkoppeln. IT-Offboarding ist ein wichtiger Teil der rollenbasierten Zugriffskontrolle zur Gewährleistung von IT-Sicherheit und Compliance durch strukturiertes Identitätsmanagement.

Laut Osterman Research¹ behalten fast 90 % der ausgeschiedenen Mitarbeiter den Zugriff auf ihre Unternehmensanwendungen. Fast 50 % loggten sich nach dem Ausscheiden aus dem Unternehmen nochmals in ein Konto ein.

Diese Statistiken allein verdeutlichen schon die Notwendigkeit für einen strukturierten technischen Offboarding-Prozess. Ex-Mitarbeiter, die mit aktiven Netzwerkkonten oder Accounts in einer (Cloud-) Anwendung des Unternehmens auf vertrauliche Informationen zugreifen, bringen Sicherheitsrisiken mit sich und verstoßen gegen Datenschutzvorschriften. Beim operativen Offboarding müssen des Weiteren Kommunikation und Arbeitsabläufe nach dem Ausscheiden eines Mitarbeiters angepasst werden.

Ist der Offboarding-Prozess nicht gründlich genug, laufen die E-Mails und Anrufe für den fehlenden Mitarbeiter ins Leere, Interessenten werden vergessen, Supportanfragen ignoriert, Aufträge pausiert. Wenn es wegen mangelnder Kommunikation zwischen HR- und IT-Abteilung zu Verzögerungen kommt, fallen notwendige Anpassungen durch die Maschen. Das führt zu Ineffizienzen, unzufriedenen Kunden, verpassten Chancen und negativen Ergebnissen.

Offboarding sollte ein Teil der IT-Sicherheits- und Personalmanagement-Richtlinien eines Unternehmens sein. Selbst wenn Mitarbeiter das Unternehmen einvernehmlich verlassen, muss der Offboarding-Prozess sicherstellen, dass die Ex-Mitarbeiter keinen Zugriff auf Unternehmensanwendungen, E-Mails und andere potenziell sensible Daten behalten.

Best Practices fürs Offboarding

Die besten Offboarding-Prozesse beginnen in der Regel mit dem Onboarding.

Beim Offboarding kommt es vor allem darauf an, wie schnell und wie gründlich es durchgeführt wird.  Wenn der Onboarding-Prozess mit der Erstellung von Benutzerkonten und Rechtezuweisung klaren, identifizierbaren Prozessen mit protokollierten Aktivitäten folgt, verringert sich der Aufwand für ein ordnungsgemäßes Offboarding erheblich.

Laufen die technischen Onboarding- und Provisioning-Prozesse in Ihrem Unternehmen nach vorgegebenen Konfigurationen sogar automatisch, ist auch das erforderliche Offboarding mühelos automatisierbar. Automatisiertes Offboarding (und Onboarding) basiert auf Benutzerrollen und Attributen, die auf Basis eines Rollenmodells dargestellt werden. Wenn HR-Mitarbeiter den Status eines ausscheidenden Mitarbeiters im Personalsystem aktualisieren, kann eine Automatisierungslösung anhand des Rollenmodells jedes Konto und jede Berechtigung sofort oder nach einer definierten Zeitspanne entsprechend anpassen.

IT Checkliste Offboarding

Im Personalmanagement ist das Kommen und Gehen von Mitarbeitern eine routinemäßige und vorhersehbare Realität. Es ist notwendig und selbstverständlich für diese Ereignisse einen Plan zu haben. Gleiches sollte für das technische Offboarding durch die IT-Abteilung gelten.

Voraussetzung ist, dass die IT frühestmöglich über anstehende Austritte informiert wird. Oft ein leidiges Thema in Unternehmen ohne strukturierten Offboarding-Prozess. Hier ist die Personalabteilung gefragt, die diesen Informationsschritt ins operative Offboarding (Exit Management) einplanen muss. Nahtlos läuft die Kommunikation, wenn das technische Offboarding durch ein IAM-System mittels Schnittstelle zum Personalsystem automatisiert wird.

Schon durch eine einfache Checkliste lässt sich das technische Offboarding optimieren:

Checkliste PDF kostenlos downloaden

• Deaktivierung aller Accounts
  • AD-Benutzerkonto mit Gruppenzuordnungen
  • ERP-Account
  • CRM-Account
  • Exchange-Konto
  • Account im Mitarbeiterportal
  • Intranet-Account
  • Konto für Adobe-Programme
  • Accounts in Cloud-Anwendungen (Office 365, Projektmanagement-Tools, Google Drive etc.)
  • VPN oder sontige Remote-Zugriffe
  • Sonstige Accounts
• Entzug der Zugriffsrechte
  • Filesystem
  • Abteilungslaufwerke
  • Entfernen Sie Zugänge für betriebliche Cloud-Services von privaten Endgeräten
  • Bei Einsatz einer Single-Sign-On-Lösung: Überprüfen Sie alle Apps, die im Portal des Mitarbeiters gespeichert sind.
  • Bei Einsatz einer Lösung zur Verwaltung mobiler Geräte: Löschen Sie das Gerät oder die Apps aus der Ferne.
• Weiterleitung aller E-Mail- und Telefonkonten
  • Richten Sie eine automatische Weiterleitung an den entsprechenden Vertreter ein
  • Oder gewähren Sie dem Vorgesetzten des scheidenden Mitarbeiters Zugang, um Daten zu sammeln, nach neuen Mitteilungen zu suchen und Arbeitsabläufe neu zu priorisieren.
• Rückgabe aller Unternehmensressourcen und -materialien:
  • Laptop, Maus, Tastatur, Monitor, etc.
  • Diensthandy
  • Tankkarte
  • Ausweise
  • Schlüssel
  • MFA-Tokens
• Daten DSGVO-konform löschen
  • Löschen Sie ggf. verbliebene private Dateien und Dokumente von Firmengeräten.
  • Nach Ablauf gesetzlicher Aufbewahrungsfristen müssen personenbezogene Daten des Ex-Mitarbeiter gelöscht werden. Es sollte ein entsprechendes Löschkonzept bestehen.

Gegebenenfalls müssen einige Zugriffsrechte sofort entzogen werden, wenn der Mitarbeiter z. B. freigestellt wird oder aufgrund von Wechsel zur Konkurrenz der Zugriff auf unternehmenssensible Daten unterbunden werden soll. Andere Daten und Zugänge sollte für eine Übergangszeit noch aufbewahrt bzw. nur deaktiviert, aber nicht gelöscht werden.

zum Blog: 5 Gründe für automatisiertes Offboarding

Offboarding: Der Teufel steckt oft im Detail

Beim gesamten User Lifecycle Management ist es wichtig auf Details zu achten. So werden gerade im Nachgang des Offboarding-Prozesses folgende Punkte gerne vergessen. Diese können Sie ebenfalls in Ihre Offboarding-Checkliste integrieren oder direkt im automatisierten Prozess ihrer Offboarding-Lösung konfigurieren.

• Ein oft übersehener Schritt ist das Ausblenden des Ex-Mitarbeiters aus dem Mail-Verzeichnis. So erscheinen seine Kontaktinformationen nicht mehr, wenn Mitarbeiter die alte E-Mail-Adresse in Diensten wie E-Mail und Kalender eingeben.
• Einen Auto-Responder auf dem E-Mail-Konto des ehemaligen Mitarbeiters einzurichten, vervollständigt den Austritt. So werden auch die Absender informiert, die nicht proaktiv kontaktiert wurden. Außerdem lässt sich hier unkompliziert hinterlegen, wer stattdessen zuständig ist.
• Wenn eine Single-Sign-On-Plattform verwendet wird: Überprüfen Sie die im Portal des Mitarbeiters gespeicherten Anwendungen. So können Sie feststellen, ob Anwendungen ohne Wissen oder Genehmigung des IT-Teams verwendet wurden. Gegebenenfalls ist es möglich, Unternehmensanwendungen aus der Ferne vom privaten Gerät des Mitarbeiters zu löschen.
• Bei der endgültigen Löschung eines Benutzerkontos sollte ein Archiv für die Unterlagen des Unternehmens angelegt werden. Es gibt Fälle, die einen Zugriff zu einem späteren Zeitpunkt erforderlich machen.

 

¹ Osterman Research, „Do Ex-Employees Still Have Access to Your Company Data?“, 2014