Wir respektieren Ihre Privatsphäre
Wir verwenden Cookies und vergleichbare Technologien für notwendige Funktionen sowie – nur mit Ihrer Einwilligung – für Analyse und Marketing.
Sie können Ihre Einwilligung jederzeit über den Link „Cookie-Einstellungen" im Footer widerrufen.
Ihr Mitarbeiter ist seit 6 Monaten weg. Hat er noch Zugang zu Ihren Systemen?
Verwaiste Konten sind das Lieblingsziel von Angreifern. Warum klassisches Offboarding versagt – und wie Sie Lücken schließen.
Edouard Jacques
Managing Director, Cyber Culture
Eine der unbequemsten Fragen aus unseren IAM-Audits: „Wie viele Konten ehemaliger Mitarbeiter sind noch aktiv?" Die ehrliche Antwort liegt in 7 von 10 Mittelstandsumgebungen über 5 % – manchmal über 15 %. Verwaiste Konten haben oft umfangreiche Berechtigungen, kein Monitoring und stehen ganz oben auf der Wunschliste jedes Angreifers, der mit gestohlenen Zugangsdaten arbeitet.
Warum klassisches Offboarding versagt
- HR meldet Austritte oft erst zum letzten Arbeitstag, nicht zum letzten Anwesenheitstag.
- Konten existieren in mehr Systemen als der IT bekannt – Cloud-Apps, lokale Server, externe Plattformen.
- Service-Accounts und API-Tokens, die Mitarbeiter angelegt haben, bleiben nach Ausscheiden bestehen.
- Externe (Berater, Praktikanten, befristete Projektmitarbeiter) tauchen oft nicht im HR-System auf.
Drei Sofortmaßnahmen
Erstens: Konten in Active Directory und Entra ID, die seit 90 Tagen keinen Login zeigen, müssen automatisch deaktiviert werden. Wir konfigurieren diese Regel mit Ausnahmeliste in jedem Kundenprojekt.
Zweitens: Ein monatlicher HR-AD-Abgleich (Soll/Ist) deckt verwaiste Konten zuverlässig auf. Diesen Abgleich automatisieren wir per PowerShell oder über die IAM-Plattform.
Drittens: Vierteljährliche Rezertifizierung der Berechtigungen ehemaliger Mitarbeiter, die zu externen Beratern wurden – diese Übergänge sind in IAM-Audits ein klassischer Fundpunkt.
Strukturelle Lösung
Diese Ad-hoc-Maßnahmen helfen kurzfristig. Langfristig brauchen Sie einen sauberen Joiner-Mover-Leaver-Prozess (JML), idealerweise gekoppelt an HR-System und IAM-Plattform. Wir bauen JML-Prozesse in 6-8 Wochen auf, inklusive der HR-IAM-Integration.
Was bei NIS2 und ISO 27001 darauf wartet
Beide Regelwerke verlangen explizit dokumentierte Zugriffskontrollprozesse, inklusive nachvollziehbarem Offboarding. Verwaiste Konten sind in jedem zweiten Audit ein Major-Findung. Sprechen Sie uns an, wenn Sie die Frage „Wie viele verwaiste Konten haben Sie?" nicht aus dem Stand beantworten können.
Ihre nächsten Schritte
Jetzt selbst prüfen - oder direkt mit uns sprechen
CyberRisikoCheck für KMU
In 90 Minuten wissen Sie, welche Risiken in Ihrem Unternehmen die größten sind und was als Nächstes zählt.
Risiko-Check startenLieber direkt sprechen?
Buchen Sie 30 Min mit uns und besprechen Sie Ihre Situation 1:1.
Über Edouard Jacques
Managing Director, Cyber Culture
Edouard ist DevSecOps-spezialisierter Informatiker mit über 9 Jahren Erfahrung in IT- und Sicherheitsberatung. Er unterstützt Organisationen dabei, ihre Sicherheitslage durch eine proaktive, menschenzentrierte Cybersecurity-Kultur zu stärken.
Auf LinkedIn vernetzen