Wir respektieren Ihre Privatsphäre
Wir verwenden Cookies und vergleichbare Technologien für notwendige Funktionen sowie – nur mit Ihrer Einwilligung – für Analyse und Marketing.
Sie können Ihre Einwilligung jederzeit über den Link „Cookie-Einstellungen" im Footer widerrufen.
Joiner-Mover-Leaver: IAM-Prozesse die Lücken bei Personalwechsel schließen
Eintritt, Abteilungswechsel, Austritt: drei Standardszenarien, drei Prozesslücken. Wie JML-Prozesse zuverlässig funktionieren.
Edouard Jacques
Managing Director, Cyber Culture
Joiner-Mover-Leaver (JML) ist der Lebenszyklus eines Mitarbeiters aus IAM-Sicht. Klingt trivial, ist es aber nicht: In jedem zweiten Mittelständler haben wir bei JML-Audits Prozesslücken gefunden, die zu verwaisten Konten, Überberechtigungen oder fehlenden Zugriffen am ersten Arbeitstag führen.
Joiner: Bereit am ersten Tag
Der Idealfall: HR meldet einen neuen Mitarbeiter im HR-System an. Über die HR-IAM-Integration werden automatisch Konto, E-Mail-Postfach, M365-Lizenz und Birth-Right-Berechtigungen provisioniert. Der Vorgesetzte erhält am Tag vor Eintritt den Hinweis, weitere Rollen über das Self-Service-Portal zu beantragen. Am ersten Arbeitstag ist alles bereit. Realität in 60 % der Mittelständler: drei Tickets, fünf E-Mails, halber erster Tag verloren.
Mover: Berechtigungen nachziehen
Wenn ein Mitarbeiter die Abteilung wechselt, sollten alte Berechtigungen entzogen und neue vergeben werden. Praxis: Alte Berechtigungen bleiben bestehen, neue kommen hinzu. Nach drei Karrierestationen ist der Mitarbeiter überberechtigt – der klassische „Joe Job", den jeder Auditor sucht. Lösung: Bei Wechsel werden alle Rollen entzogen und neu beantragt, Birth Rights bleiben.
Leaver: Sauber rausführen
Der kritische Schritt. Am letzten Arbeitstag: Konto deaktivieren, Sessions schließen, Token rotieren. Nach 30 Tagen: Postfach archivieren und löschen, OneDrive an Vorgesetzten übertragen. Nach 90 Tagen: Konto endgültig löschen. Dazwischen: Übergaben dokumentieren, Manager-Kalender prüfen.
Sonderfälle, die oft vergessen werden
- Externe Berater und Praktikanten – meist nicht in HR, brauchen eigenen JML-Prozess.
- Mutterschutz und Elternzeit – Konten nicht deaktivieren, aber kritische Berechtigungen pausieren.
- Rückkehr nach Auszeit – nicht alte Konten reaktivieren, sondern frischer Reonboarding-Prozess.
- Übergang vom Mitarbeiter zum externen Berater – häufig vergessen, klassischer Audit-Findung.
Aufbau in 8 Wochen
Wir bauen JML-Prozesse in 8 Wochen auf, inklusive HR-IAM-Integration, Workflow-Konfiguration und Schulung der HR- und IT-Teams. Sprechen Sie uns an, wenn neue Mitarbeiter bei Ihnen am ersten Tag warten.
Ihre nächsten Schritte
Jetzt selbst prüfen - oder direkt mit uns sprechen
CyberRisikoCheck für KMU
In 90 Minuten wissen Sie, welche Risiken in Ihrem Unternehmen die größten sind und was als Nächstes zählt.
Risiko-Check startenLieber direkt sprechen?
Buchen Sie 30 Min mit uns und besprechen Sie Ihre Situation 1:1.
Über Edouard Jacques
Managing Director, Cyber Culture
Edouard ist DevSecOps-spezialisierter Informatiker mit über 9 Jahren Erfahrung in IT- und Sicherheitsberatung. Er unterstützt Organisationen dabei, ihre Sicherheitslage durch eine proaktive, menschenzentrierte Cybersecurity-Kultur zu stärken.
Auf LinkedIn vernetzen