Skip to main content Skip to page footer
main logo
main logo
Suchen
    /
  • Über uns
    • /
  • Aktuelles
  • / Mitarbeiter-Onboarding und -Offboarding in KMU: Cybersicherheitsaspekte, die Sie nicht übersehen sollten

AKTUELLES

Mitarbeiter-Onboarding und -Offboarding in KMU: Cybersicherheitsaspekte, die Sie nicht übersehen sollten

Lesen Sie unseren Artikel und erfahren Sie einfache, umsetzbare Empfehlungen, mit denen Sie die Cyberrisiken Ihres Unternehmens erheblich reduzieren können.

Mitarbeiter sind für viele kleine und mittlere Unternehmen (KMU) das Rückgrat des täglichen Betriebs. Jeder neue Mitarbeiter trägt zum Wachstum bei, führt aber auch einen neuen digitalen Zugangspunkt ein. Ebenso können vergessene Zugriffsrechte oder nicht zurückgegebene Geräte das Unternehmen unbemerkt einem Risiko aussetzen, wenn ein Mitarbeiter das Unternehmen verlässt.

In KMU, in denen die IT-Ressourcen oft begrenzt sind, sind strukturierte Ein- und Austritte wesentliche Bestandteile einer starken Cybersicherheit und nicht nur HR-Prozesse. Dieser Artikel bietet KMU einen klaren, praktischen Überblick darüber, wie sie ihre Daten, Systeme und Abläufe sicher halten können.

Warum Onboarding und Offboarding für die Cybersicherheit wichtig sind

Jeder Mitarbeiter interagiert mit Unternehmenssystemen wie E-Mail, Cloud-Plattformen, SaaS-Anwendungen, Kommunikationswerkzeugen, freigegebenen Ordnern, VPN-Zugängen und manchmal sogar Admin-Schnittstellen.

Ohne einen konsistenten Prozess für die Zugriffsverwaltung sind KMU folgenden Risiken ausgesetzt:

  • Nach dem Ausscheiden aus dem Unternehmen verbleiben weiterhin aktive verwaiste Konten
  • Unbefugter Zugriff auf Dateien, Anmeldedaten oder Kundendaten
  • Gemeinsam genutzte Passwörter, die nicht widerrufen werden können
  • Probleme bei der Geschäftskontinuität, wenn der Zugriff verloren geht oder gelöscht wird
  • Datenlecks durch private Geräte (BYOD)

Ein gut durchdachter Prozess vom ersten bis zum letzten Tag hilft, diese Probleme zu vermeiden.

Teil 1 – Sichere Einarbeitung neuer Mitarbeiter

Die Einarbeitung bietet die beste Gelegenheit, solide Sicherheitsgewohnheiten zu etablieren und die richtigen Zugriffsrechte zuzuweisen. KMUs profitieren erheblich von einem strukturierten Ansatz.

1. Bereiten Sie sichere Geräte vor dem ersten Arbeitstag vor

Bevor der Mitarbeiter seine Arbeit aufnimmt, sollte die IT-Abteilung Folgendes bereitstellen und konfigurieren:

  • einen firmeneigenen Laptop oder PC
  • ein verwaltetes Smartphone (falls zutreffend)
  • Endpoint-Schutz (Antivirus, EDR und Geräteverschlüsselung)
  • VPN oder sicherer Fernzugriff
  • einen vorinstallierten Passwortmanager
  • automatische Updates und eingeschränkte Administratorrechte

Warum das wichtig ist:

Durch die Reduzierung von Improvisationen bei der Einrichtung werden unsichere Workarounds, wie die Installation von Software aus unbekannten Quellen oder das Speichern von Passwörtern in Browsern, verhindert.

2. Erstellen Sie persönliche Arbeitskonten – verwenden Sie niemals gemeinsam genutzte Anmeldedaten.

Jeder Mitarbeiter muss über Folgendes verfügen:

  • E-Mail-Konto
  • Cloud-Konten (Microsoft 365 / Google Workspace / etc.)
  • Zugriff auf interne Tools
  • Passwortmanager-Benutzer mit gemeinsam genutzten Tresoren/Ordnern, die für ihre Arbeit erforderlich sind.

Durch die Vermeidung gemeinsamer Anmeldungen wird der Zugriff nachvollziehbar und widerrufbar.

Wenden Sie das Prinzip der geringsten Privilegien an.

Gewähren Sie nur Zugriff auf die Tools und Ressourcen, die für die Rolle eines Mitarbeiters erforderlich sind.

Dadurch wird der Schaden begrenzt, wenn ein Konto kompromittiert wird.

3. Aktivieren Sie sofort die Multi-Faktor-Authentifizierung (MFA).

MFA sollte ein obligatorischer Schritt im Onboarding-Prozess sein, und nicht optional.

Dies gilt für:

  • E-Mail
  • VPN
  • Passwortmanager
  • Verwaltungstools
  • Cloud-Dienste

Passkeys:

Aktivieren Sie Passkeys als Authentifizierungsmethode, sofern dies unterstützt wird. Passkeys bieten eine phishing-resistente, passwortlose Anmeldeerfahrung, die biometrische Daten (Face ID, Touch ID oder Windows Hello) oder einen Hardware-Token verwendet. Passkeys sind deutlich sicherer als Einmalcodes per SMS/E-Mail oder herkömmliche Passwörter.

Warum? MFA und passwortloser Zugriff verhindern die meisten auf Anmeldedaten basierenden Angriffe, selbst wenn Passwörter gestohlen werden.

4. Richten Sie eine strukturierte Zugriffsverwaltung ein.

Verwenden Sie einen Passwortmanager oder ein Identitäts- und Zugriffsverwaltungssystem (IAM), um Zugriff zu gewähren auf:

  • SaaS-Tools
  • gemeinsam genutzte Anmeldungen (nur Lesen oder Schreiben)
  • projektspezifische Anmeldedaten
  • API-Schlüssel
  • WLAN-Passwörter
  • Anmeldungen bei Anbietern oder CRM-Zugriff

Alle Zugriffe sollten dokumentiert und überprüfbar sein.

5. Bieten Sie grundlegende Schulungen zum Thema Cybersicherheit an.

Eine 20- bis 30-minütige Schulung reicht aus, um die wichtigsten Punkte zu behandeln:

  • Erkennen von Phishing
  • Richtige Passwort-Hygiene
  • Sichere Verwendung des Passwortmanagers
  • Melden verdächtiger E-Mails oder Aktivitäten
  • Regeln für die Remote-Arbeit
  • Sicherer Umgang mit Dokumenten
  • Sicheres Anfordern neuer Zugriffe

Frühzeitige Schulungen verringern die Wahrscheinlichkeit, dass später versehentlich Sicherheitsfehler begangen werden.

Teil 2 – Sicheres Offboarding von Mitarbeitern

Wenn ein Mitarbeiter das Unternehmen verlässt, steigen die Cybersicherheitsrisiken dramatisch, wenn die Offboarding-Schritte übersehen werden. KMUs sollten das Offboarding als eine koordinierte Massnahme betrachten, an der die Personalabteilung, die IT-Abteilung, das Management und die Sicherheitsabteilung beteiligt sind.

Das Offboarding sollte immer am letzten Arbeitstag des Mitarbeiters erfolgen.

1. Konten deaktivieren und Zugriff widerrufen

Wichtige Schritte sind:

  • Zugriff auf SaaS-Konten (CRM, Projekttools, HR-Software) entfernen
  • E-Mail deaktivieren oder sperren – nicht vorzeitig löschen
  • VPN und Fernzugriff widerrufen
  • Aus gemeinsamen Passwortmanager-Gruppen oder IAM-Rollen entfernen
  • Token, API-Schlüssel und App-Autorisierungen ungültig machen

E-Mail-Tipp:

Ändern Sie das Passwort, anstatt das Postfach zu löschen.

Konfigurieren Sie:

  • E-Mail-Weiterleitung (sofern gesetzlich zulässig)
  • automatische Antwort
  • delegierten Zugriff für den Nachfolger

2. Aktualisieren Sie gemeinsam genutzte Anmeldedaten.

Wenn der ausscheidende Mitarbeiter Zugriff auf gemeinsam genutzte Anmeldedaten hatte:

  • Ändern Sie die Passwörter sofort.
  • Aktualisieren Sie sie im Passwortmanager.
  • Weisen Sie die Eigentumsrechte dem entsprechenden Team neu zu.

Gemeinsam genutzte Anmeldedaten sind eine der häufigsten Sicherheitslücken.

3. Holen Sie Unternehmensgeräte und -daten zurück.

Sammeln Sie alle unternehmenseigenen Geräte ein:

  • Laptops und Smartphones
  • Sicherheitstoken
  • USB-Sticks
  • externe Festplatten

Anschliessend:

  • Kopieren Sie arbeitsbezogene Dateien, Dokumente und Projektdaten.
  • Sammeln Sie gegebenenfalls die im Browser gespeicherten Passwörter.
  • Stellen Sie sicher, dass Kalender, Kontakte und E-Mail-Archive erhalten bleiben.
  • Entfernen oder trennen Sie Unternehmenskonten von privaten Geräten (BYOD).
  • Löschen Sie Daten oder erstellen Sie vor der Wiederverwendung ein neues Image der Geräte.

4. Entfernen Sie alle Zugriffsrechte auf Dateien und Plattformen.

Trennen Sie den Benutzer von:

  • freigegebenen Ordnern (SharePoint, Google Drive, NAS, SMB-Freigaben)
  • Kollaborationstools (Teams, Slack)
  • Projektplattformen (Jira, Confluence, ERP, CRM)
  • internen Ressourcen (Git-Repositorys, Admin-Panels, Dashboards)

Führen Sie eine schnelle Überprüfung der Aktivitäten durch für:

  • grosse Downloads
  • ungewöhnliche Datenübertragungen
  • Einladungen zur externen Freigabe

5. Übergabe und Dokumentation

Vor der endgültigen Abmeldung:

  • Übertragen Sie die für laufende Aufgaben verwendeten Anmeldedaten.
  • Stellen Sie sicher, dass der Nachfolger über die erforderlichen Zugriffsrechte verfügt.
  • Aktualisieren Sie die Dokumentation und die internen Aufzeichnungen.
  • Dokumentieren Sie Zugriffsänderungen für Audits.

Eine vollständige Übergabe verhindert Unterbrechungen.

Fazit: Sicherheit von Anfang bis Ende

KMUs glauben oft, dass Cybersicherheit grosse Budgets erfordert.

In Wirklichkeit gehören konsistente Onboarding- und Offboarding-Prozesse zu den effektivsten und kostengünstigsten Sicherheitsmassnahmen.

Durch die Festlegung klarer Verfahren können KMU:

  • das Risiko von Datenlecks verringern
  • unbefugten Zugriff verhindern
  • die Kontinuität bei Personalwechseln aufrechterhalten
  • die Einhaltung von Sicherheitsstandards gewährleisten
  • eine zuverlässige Sicherheitskultur aufbauen

Jede Neueinstellung und jeder Austritt sollte die Cybersicherheit Ihres Unternehmens stärken und nicht schwächen.

Sie wünschen weitere Informationen?

Kontaktieren Sie uns gerne.

Anfrage

Newsletter abonnieren

Mailing

E-mail