Blog › Betrieb

Offboarding

Die vollständige IT-Offboarding-Checkliste (mit Vorlage)

Wenn jemand das Unternehmen verlässt, hat IT 24 Stunden, um Zugänge zu entziehen, 14 Tage, um Assets zurückzufordern, und 30 Tage, um jeden losen Faden zu schliessen. Überspringen Sie einen Schritt, und Sie haben eine Sicherheitslücke, einen Compliance-Befund oder eine Verlängerungsüberraschung erzeugt. Hier ist die Checkliste, die alle schliesst.

InventorIA Team

Veröffentlicht 27. Apr. 2026 · 10 Min. Lesezeit

IT-Offboarding ist ein Prozess, den jeder in irgendeiner Form hat, aber nur wenige aufgeschrieben haben. Das Ergebnis ist ungleichmässige Ausführung: Power-User werden ordentlich verarbeitet, der Auftragnehmer in einer anderen Zeitzone wird vergessen, der Manager mit dem meisten Kontext hat IT erst am dritten Tag informiert.

Die untenstehende Checkliste ist die getestete, sequenzierte Version. Kopieren Sie sie unverändert oder passen Sie sie Ihrem Stack an — aber schreiben Sie sie an einem Ort auf, den Ihr künftiges Ich finden kann.

T-7 Tage (Vorabankündigung)

Vorbereitung vor dem Austritt

Nur bei geplanten Austritten. Überspringen Sie dies bei sofortiger Kündigung.

HR benachrichtigt IT über Austrittsdatum und letzten Arbeitstag.
IT ruft die Asset- und Zugangszusammenfassung des Nutzers aus dem Inventar ab.
Vorgesetzter identifiziert kritisches Wissen/Daten, die der Nutzer besitzt; Übergabeplan wird erstellt.
Vorgesetzter identifiziert Nachfolger für eigene Anbieterbeziehungen und Verträge.
Entscheidung: E-Mail weiterleiten an wen, Abwesenheitstext, Kalenderübergabe, Slack-DM-Weiterleitung.
Asset-Rückgabelogistik bestätigt (im Büro vs. Kurier-Kit für Remote-Mitarbeiter).

T-0 (letzter Arbeitstag)

Zugangsenentzug am Austrittstag

Das 24-Stunden-Fenster, in dem die meisten Schäden entstehen oder nicht.

Identity-Provider-Konto (Google, Microsoft, Okta) am Ende des Arbeitstages deaktivieren. Dies muss sich automatisch auf jedes verbundene SaaS kaskadieren.
MFA-Token, Hardware-Schlüssel (YubiKey) und Authenticator-App-Sitzungen widerrufen.
Erzwungene Abmeldung von aktiven SaaS-Sitzungen (Slack, Notion, Salesforce usw.).
Passwörter für gemeinsam genutzte Konten zurücksetzen, auf die der Nutzer Zugriff hatte.
VPN-, RDP-, Jump-Box- und SSH-Schlüsselzugriff widerrufen.
Aus Produktionszugriffslisten entfernen (AWS IAM, GCP IAM, Kubernetes RBAC, Datenbankkonten).
Admin-Zugriff auf Stripe, Zahlungsdienstleister, Hosting-Konten, Domain-Registrare widerrufen.
E-Mail-Abwesenheitsantwort mit Übergabekontakt einrichten; Weiterleitung an Vorgesetzten konfigurieren.
Kalender übertragen / Meeting-Eigentümerschaft neu zugewiesen.
Asset-Rückgabe geplant mit bestätigter Abholung oder verschicktem Versandetikett.

Der am häufigsten versäumte Schritt

SaaS-Apps, die nicht mit Ihrem IdP verbunden sind. Tools, die sich direkt mit E-Mail/Passwort authentifizieren (oder Apps, für die sich der Nutzer mit seiner Firmen-E-Mail angemeldet hat, die aber persönlich bezahlt werden), werden nicht deaktiviert, wenn Sie das IdP-Konto deaktivieren. Diese explizit pro Nutzer auflisten.

T+1 bis T+14 (Woche eins und zwei)

Asset-Rückforderung und Lizenzbereinigung

Der Hebel, bei dem die meisten Kosteneinsparungen — und Audit-Befunde — liegen.

Hardware-Rückgabe verfolgt: Laptop, Monitore, Peripheriegeräte, Smartphone, Sicherheitsschlüssel, Ausweise. Jeder Artikel im Asset-Register abgehakt.
Zurückgegebene Hardware nach zertifiziertem Löschstandard datenlöschend behandelt. Löschzertifikat gegen den Asset-Datensatz gespeichert.
Geräte entweder als „im Pool / zur Neuzuweisung verfügbar" oder „zur Aussonderung vorgemerkt" markiert — basierend auf dem Garantiestatus.
Bezahlte SaaS-Seats über alle Lizenzen, die der Nutzer hatte, zurückgefordert. Dies sollte automatisch via IdP-Kaskade erfolgen — überprüfen Sie, ob es geschehen ist.
Tier-lizenzierte Produkte (Microsoft E5, Salesforce Enterprise, Adobe Creative Cloud) explizit herabgestuft oder neu zugewiesen.
Eigenständig abgerechnetes SaaS (das nicht im IdP) manuell gekündigt oder neu zugewiesen.
Eigene Verträge einem neuen internen Eigentümer zugewiesen. Keinen Vertrag auf „IT@unternehmen.com" zurückfallen lassen.
E-Mail-Weiterleitung für 30 Tage aktiv für verpasste Korrespondenz.
Personenbezogene Daten gemäss lokalem Arbeitsrecht exportiert (oft 30 Tage zur Bereitstellung auf Anfrage).

T+15 bis T+30 (Abschluss)

Audit-Protokoll und abschliessende Prüfungen

Die Arbeit, die Sie gegenüber einem Prüfer in einem Jahr vertretbar macht.

Jedes System überprüfen, das den Nutzer hätte gehabt haben können. Eine „nach E-Mail suchen"-Durchsicht über das SaaS-Portfolio durchführen. Alles Übersehene hier bereinigen.
Sicherstellen, dass die E-Mail des Nutzers in keiner aktiven Zugriffs-Matrix oder gemeinsamen Ordner-Berechtigungsliste mehr erscheint.
Bestätigen, dass Hardware vollständig ausgemustert oder neu zugewiesen ist; nichts über 30 Tage in „ausstehende Rückgabe".
Abschliessenden Zugangsentzugsbericht erstellt und gegen den Offboarding-Datensatz des Nutzers gespeichert.
E-Mail-Weiterleitung abgeschaltet; Postfach gemäss Aufbewahrungsrichtlinie archiviert.
Löschung personenbezogener Daten durchgeführt, wenn der Nutzer es unter DSGVO/CCPA beantragt hat, mit aufbewahrtem Nachweis.
Offboarding-Ticket mit angehängtem Audit-Protokoll geschlossen.

Die 5 Offboarding-Kennzahlen, die es wert sind, verfolgt zu werden

Taggleiche Zugangsentzugsrate. Ziel: 100% des IdP-verbundenen Zugangs am Ende des Tages entzogen.
14-Tage-Asset-Rückgaberate. Ziel: 90%+ für im Büro, 80%+ für Remote.
Mittlere Zeit bis zur Lizenzrückforderung. Ziel: taggleich für IdP-verbundene, 7 Tage für eigenständige.
Geister-Asset-Anzahl. Geräte, die deaktivierten Nutzern zugewiesen sind. Ziel: 0.
Audit-Befunde beim Offboarding. Ziel: 0 pro Audit-Zyklus.

Sonderfälle

Auftragnehmer und Agenturen

Haben oft kürzere Engagements, aber denselben Zugang. Verträge mit Enddaten im System markieren; Offboarding-Workflow automatisch bei Engagement-Ende auslösen, nicht nur bei Kündigung.

Unfreiwillige Kündigungen

Zugangsentzug läuft vor dem Meeting, das die Nachricht überbringt. Hardware-Abholung im Voraus geplant. E-Mail-Abwesenheitsantwort gesetzt, aber Inhalt von HR und Legal geprüft.

Fusionen / Übernahmen / Veräusserungen

Massen-Offboarding erfordert dasselbe Playbook skaliert. Piloten in kleinen Batches zuerst; die Randfälle im grossen Massstab sind dieselben wie im Einzelfall, aber 100× parallel.

Tod eines Mitarbeiters

Mit Sensibilität behandeln. Die meisten Schritte gelten weiterhin, aber in einem langsameren Zeitplan. Mit HR und Familie bei der Behandlung personenbezogener Daten eng abstimmen.

Tools, die das ermöglichen

Die Checkliste funktioniert mit Menschen ohne Tools, aber die Fehlerrate steigt bei jedem Schritt. Das richtige Setup:

Ein IdP (Google / Microsoft / Okta), der sich auf jedes verbundene SaaS kaskadiert.
Eine IT-Asset-Management-Plattform, die Hardware-Rückgabe-SLAs verfolgt.
Ein Offboarding-Ticket-Workflow, der das Schliessen blockiert, bis jeder Schritt abgehakt ist.
Eine monatliche Abstimmung, die Geister markiert.

InventorIA deckt Schritte 2 und 4 nativ ab — in dem Moment, in dem der IdP einen Nutzer als inaktiv markiert, werden Hardware-Rückforderung, Lizenzrückforderung und Vertrags-Neuzuweisung automatisch ausgelöst. Das Audit-Protokoll schreibt sich von selbst.

Offboarding ohne verpassten Schritt durchführen

InventorIA erstellt den audit-bereiten Offboarding-Bericht automatisch aus Ihrem IdP-Signal. Kostenlos für 10 Nutzer.

Kostenlos starten →