- Der User Lifecycle umfasst drei Phasen: Onboarding (Eintritt), Rollenwechsel (interne Versetzung) und Offboarding (Austritt).
- Beim Onboarding braucht ein neuer Mitarbeiter am ersten Arbeitstag funktionierende Zugänge - das erfordert einen standardisierten Prozess mit mindestens fünf Tagen Vorlauf.
- Der Rollenwechsel ist die fehleranfälligste Phase: Alte Berechtigungen müssen aktiv entzogen werden, sonst entsteht Privilege Creep.
- Beim Offboarding müssen alle Accounts am letzten Arbeitstag deaktiviert, Daten gesichert und Hardware zurückgenommen werden.
- Berechtigungsprofile als Vorlagen und eine AD-Integration reduzieren den manuellen Aufwand und minimieren Fehler.
Ein Problem, das jedes Unternehmen kennt
Montagmorgen, 8:30 Uhr. Die neue Kollegin im Vertrieb sitzt an ihrem Schreibtisch und kann nichts tun. Kein E-Mail-Zugang, kein Passwort für das CRM, kein VPN-Token fürs Homeoffice. Die IT wusste nicht, dass heute jemand anfängt, weil die Information irgendwo zwischen Personalabteilung und Teamleitung hängengeblieben ist. Die neue Mitarbeiterin verbringt ihren ersten Tag damit, Formulare auszufüllen und zu warten. Kein guter Start.
Drei Monate später: Ein Entwickler wechselt intern vom Projektteam A ins Projektteam B. Er bekommt die neuen Zugänge für sein neues Projekt, aber die alten bleiben aktiv. Nach einem Jahr hat er Zugriff auf vier verschiedene Projektumgebungen, obwohl er nur in einer arbeitet. Niemand hat daran gedacht, die alten Rechte zu entziehen, weil kein Prozess dafür existiert.
Und dann der kritischste Fall: Ein Mitarbeiter verlässt das Unternehmen im Streit. Sein letzter Arbeitstag ist ein Freitag. Am Montag danach kann er sich immer noch ins VPN einwählen, weil die IT den Account erst am Dienstag deaktiviert. Der ehemalige Mitarbeiter hat übers Wochenende noch auf seinem privaten Laptop gearbeitet und sich diverse Kundenlisten heruntergeladen.
All diese Szenarien passieren regelmäßig. Nicht weil die Beteiligten nachlässig wären, sondern weil es keinen definierten Prozess gibt, der den gesamten Lebenszyklus eines Benutzeraccounts abdeckt. Genau das ist User Lifecycle Management: die systematische Steuerung von IT-Berechtigungen vom ersten bis zum letzten Tag eines Mitarbeiters.
Warum der User Lifecycle sicherheitsrelevant ist
Der User Lifecycle berührt direkt mehrere Anforderungen der ISO 27001 und NIS2:
ISO 27001 Annex A.5.15 (Zugriffskontrolle) verlangt, dass der Zugang zu Informationen und Systemen formalisiert und kontrolliert ist. Das schließt explizit die Vergabe, Änderung und den Entzug von Zugriffsrechten ein.
ISO 27001 Annex A.6.1 bis A.6.5 (Personalsicherheit) adressiert den gesamten Mitarbeiterlebenszyklus: Screening vor der Einstellung, Sicherheitsbewusstsein während des Arbeitsverhältnisses und Maßnahmen bei Beendigung oder Änderung der Beschäftigung.
NIS2 Artikel 21 fordert Personalsicherheit und Zugriffskontrolle als Mindestmaßnahme, einschließlich der Berücksichtigung von Einstellung und Ausscheiden von Mitarbeitern.
Ein nicht deaktivierter Account eines ehemaligen Mitarbeiters ist nicht nur ein theoretisches Risiko. Es ist ein Audit-Finding, das sofort ins Auge fällt, und es ist ein Einfallstor für Angriffe, das in der Praxis regelmäßig ausgenutzt wird.
Phase 1: Onboarding - der erste Tag zählt
Das Onboarding beginnt nicht am ersten Arbeitstag des neuen Mitarbeiters. Es beginnt in dem Moment, in dem der Arbeitsvertrag unterschrieben wird. Zwischen Vertragsunterschrift und erstem Arbeitstag liegen oft mehrere Wochen, und genau diese Zeit brauchst du, um alles vorzubereiten.
Der Zeitplan vor dem ersten Tag
Spätestens 10 Arbeitstage vor Eintritt sollte die Personalabteilung die IT über den neuen Mitarbeiter informieren. Die Information muss mindestens enthalten: Name, Abteilung, Funktion/Rolle, Vorgesetzter, Standort/Arbeitsplatz und geplanter erster Arbeitstag.
Spätestens 5 Arbeitstage vor Eintritt legt die IT auf Basis der definierten Berechtigungsprofile alle Accounts an, richtet den Arbeitsplatz ein und bereitet die Hardware vor. Wenn du mit einem rollenbasierten Berechtigungskonzept arbeitest (und das solltest du), ist dieser Schritt weitgehend standardisiert: Neue Mitarbeiterin im Vertrieb Innendienst? Rolle "Vertrieb Innendienst" zuweisen, fertig.
Am Tag vor dem Eintritt prüft die IT, ob alles funktioniert: Können die Zugänge genutzt werden? Ist der Arbeitsplatz eingerichtet? Funktioniert der VPN-Zugang? Liegt die Hardware bereit?
Die Onboarding-Checkliste
Für jeden neuen Mitarbeiter wird eine standardisierte Checkliste durchgearbeitet. Diese Checkliste hat vier Bereiche:
Bereich 1: IT-Accounts und Zugänge
| Aufgabe | Verantwortlich | Erledigt |
|---|---|---|
| Active-Directory-Konto anlegen | IT | ☐ |
| E-Mail-Konto einrichten | IT | ☐ |
| Rolle/Berechtigungsprofil zuweisen | IT (nach Genehmigung durch Fachabteilung) | ☐ |
| VPN-Zugang einrichten (falls Homeoffice) | IT | ☐ |
| MFA-Token/App konfigurieren | IT + Mitarbeiter | ☐ |
| Zugänge zu Fachanwendungen einrichten (ERP, CRM etc.) | IT | ☐ |
| Telefon/Softphone konfigurieren | IT | ☐ |
| Drucker/Scanner zuweisen | IT | ☐ |
Bereich 2: Hardware und Arbeitsplatz
| Aufgabe | Verantwortlich | Erledigt |
|---|---|---|
| Laptop/Desktop bereitstellen und konfigurieren | IT | ☐ |
| Festplattenverschlüsselung aktiviert | IT | ☐ |
| Diensthandy bereitstellen (falls vorgesehen) | IT | ☐ |
| Arbeitsplatz einrichten (Monitor, Tastatur, Maus) | IT / Facility | ☐ |
| Zutrittskarte/Schlüssel aushändigen | Facility / Empfang | ☐ |
| Inventarisierung der Hardware dokumentieren | IT | ☐ |
Bereich 3: Schulungen und Einweisungen
| Aufgabe | Verantwortlich | Erledigt |
|---|---|---|
| IT-Sicherheitsschulung (Grundlagen) | ISB / IT | ☐ |
| Einweisung in die IT-Nutzungsrichtlinie | Vorgesetzter / IT | ☐ |
| Phishing-Awareness-Schulung | ISB | ☐ |
| Einweisung in abteilungsspezifische Systeme | Fachabteilung | ☐ |
| Datenschutzunterweisung | Datenschutzbeauftragter | ☐ |
Bereich 4: Richtlinien und Kenntnisnahme
| Aufgabe | Verantwortlich | Erledigt |
|---|---|---|
| Informationssicherheitsrichtlinie ausgehändigt und unterschrieben | ISB / HR | ☐ |
| IT-Nutzungsrichtlinie ausgehändigt und unterschrieben | HR | ☐ |
| Passwort-Richtlinie zur Kenntnis genommen | HR / IT | ☐ |
| Vertraulichkeitsvereinbarung/NDA unterschrieben | HR | ☐ |
| Datenschutzerklärung für Mitarbeiter unterschrieben | HR / DSB | ☐ |
Warum die Kenntnisnahme von Richtlinien so wichtig ist
Die unterschriebene Kenntnisnahme der Sicherheitsrichtlinien ist kein bürokratischer Selbstzweck. Sie dient zwei konkreten Zwecken:
Erstens zeigt sie dem Auditor, dass jeder Mitarbeiter über die geltenden Regeln informiert wurde. Ein Berechtigungskonzept, das nur in einer Schublade liegt und von dem die Mitarbeiter nichts wissen, ist wertlos.
Zweitens schafft sie eine rechtliche Grundlage. Wenn ein Mitarbeiter gegen die IT-Sicherheitsrichtlinie verstößt, musst du nachweisen können, dass er sie kannte. Ohne unterschriebene Kenntnisnahme ist dieser Nachweis schwierig.
Der Sonderfall: Externe Mitarbeiter
Freelancer, Berater, Leiharbeiter und Praktikanten brauchen einen angepassten Onboarding-Prozess. Die wesentlichen Unterschiede:
- Berechtigungen sind grundsätzlich befristet (auf die Vertragslaufzeit)
- Der Zugriff beschränkt sich auf die für den Auftrag notwendigen Systeme
- Eine erweiterte Vertraulichkeitsvereinbarung ist zwingend erforderlich
- Die Zutrittsberechtigung ist auf die notwendigen Räumlichkeiten beschränkt
- Der Account erhält eine spezielle Kennzeichnung im Active Directory (z.B. Präfix "EXT-"), damit externe Accounts jederzeit identifizierbar sind
Phase 2: Rollenwechsel - die unterschätzte Gefahr
Von den drei Phasen des User Lifecycle ist der Rollenwechsel die fehleranfälligste. Beim Onboarding wird etwas Neues aufgebaut, beim Offboarding wird alles abgebaut. Beides ist konzeptionell einfach. Aber beim Rollenwechsel muss gleichzeitig etwas entfernt und etwas Neues hinzugefügt werden. Und genau das Entfernen wird in der Praxis regelmäßig vergessen.
Was einen Rollenwechsel auslöst
Ein Rollenwechsel im Sinne des Berechtigungsmanagements liegt vor, wenn sich die Funktion eines Mitarbeiters ändert. Das kann verschiedene Ursachen haben:
- Wechsel in eine andere Abteilung (z.B. vom Vertrieb ins Produktmanagement)
- Beförderung mit neuen Verantwortlichkeiten (z.B. vom Sachbearbeiter zum Teamleiter)
- Übernahme zusätzlicher Aufgaben (z.B. Projektleitung neben der regulären Tätigkeit)
- Rückkehr aus einer temporären Funktion (z.B. nach einer Projektphase oder Elternzeitvertretung)
- Umstrukturierung der Abteilung
Das Problem: Privilege Creep
Privilege Creep ist das schrittweise Ansammeln von Berechtigungen über die Zeit. Es entsteht fast ausschließlich bei Rollenwechseln, die ohne vollständigen Berechtigungsabgleich durchgeführt werden.
Ein Beispiel: Maria arbeitet seit acht Jahren im Unternehmen. Sie hat im Einkauf angefangen, war dann zwei Jahre in der Qualitätssicherung, hat anschließend ein SAP-Einführungsprojekt geleitet und ist jetzt Teamleiterin im Vertrieb. Bei jedem Wechsel hat sie neue Rechte bekommen. Aber niemand hat die alten Rechte entzogen. Das Ergebnis: Maria hat Zugriff auf Einkaufsdaten, QS-Protokolle, SAP-Administrationsfunktionen und Vertriebsdaten. Sie braucht für ihre aktuelle Funktion nur Letzteres.
Marias Account ist ein Sicherheitsrisiko. Nicht weil Maria böse Absichten hat, sondern weil ihr Account bei einer Kompromittierung einen unverhältnismäßig großen Schadensbereich hat. Und weil der Auditor bei der Rezertifizierung sofort fragt: Warum hat eine Vertriebsleiterin Admin-Zugang zum ERP?
Der Rollenwechsel-Prozess
Ein sauberer Rollenwechsel-Prozess stellt sicher, dass alte Rechte konsequent entzogen und neue Rechte korrekt vergeben werden.
Schritt 1: Auslöser und Meldung. Der Vorgesetzte oder die Personalabteilung informiert die IT über den bevorstehenden Rollenwechsel. Die Meldung enthält: Mitarbeiter, bisherige Funktion/Rolle, neue Funktion/Rolle, Datum des Wechsels.
Schritt 2: Soll-Ist-Vergleich. Die IT erstellt eine Gegenüberstellung: Welche Berechtigungen hat der Mitarbeiter aktuell (Ist), und welche braucht er in der neuen Rolle (Soll)? Daraus ergeben sich drei Kategorien:
| Kategorie | Aktion | Beispiel |
|---|---|---|
| Berechtigungen, die bleiben | Keine Änderung | E-Mail, Intranet, Zeiterfassung |
| Berechtigungen, die hinzukommen | Neue Rechte vergeben (mit Genehmigung) | CRM-Zugriff für die neue Vertriebsrolle |
| Berechtigungen, die wegfallen | Alte Rechte entziehen | Zugriff auf QS-Protokolle aus der vorherigen Rolle |
Schritt 3: Genehmigung. Der neue Vorgesetzte genehmigt die Berechtigungen der neuen Rolle. Der alte Vorgesetzte bestätigt, dass die Berechtigungen der alten Rolle entzogen werden können. Bei Unklarheiten (etwa ob der Mitarbeiter bestimmte alte Rechte für eine Übergangsphase noch braucht) klärt die IT mit beiden Vorgesetzten.
Schritt 4: Umsetzung. Am Tag des Rollenwechsels werden gleichzeitig die neuen Berechtigungen aktiviert und die alten deaktiviert. Nicht nacheinander, nicht "wenn wir dazu kommen", sondern am selben Tag.
Schritt 5: Übergangsfrist (nur wenn nötig). In manchen Fällen ist eine Übergangsfrist sinnvoll, in der der Mitarbeiter sowohl alte als auch neue Rechte hat. Das gilt etwa, wenn er noch laufende Vorgänge abschließen muss. Diese Übergangsfrist muss explizit genehmigt, befristet (maximal 30 Tage) und dokumentiert sein.
Schritt 6: Dokumentation. Der gesamte Vorgang wird dokumentiert: Auslöser, Soll-Ist-Vergleich, Genehmigungen, umgesetzte Änderungen, eventuelle Übergangsfristen.
Beförderung als besonderer Rollenwechsel
Beförderungen werden im Berechtigungsmanagement oft falsch behandelt. Der Reflex ist: Der Mitarbeiter bekommt zusätzliche Rechte für seine neue Führungsaufgabe. Die alten Rechte bleiben, weil er ja "auch noch die operative Arbeit macht". Ergebnis: Der frischgebackene Teamleiter hat seine operativen Rechte plus Management-Rechte, also deutlich mehr Berechtigungen als nötig.
Der richtige Ansatz: Auch eine Beförderung ist ein vollständiger Rollenwechsel. Der Mitarbeiter bekommt die Teamleiter-Rolle, die alle nötigen Berechtigungen enthält. Wenn ein Teamleiter tatsächlich noch operative Aufgaben übernimmt, muss die Teamleiter-Rolle diese Rechte enthalten. Die alte operative Rolle wird trotzdem entzogen, und die nötigen operativen Rechte sind in der neuen Rolle definiert.
Phase 3: Offboarding - kein Spielraum für Fehler
Das Offboarding ist die Phase, in der Fehler die gravierendsten Konsequenzen haben. Ein vergessener Account beim Onboarding ist ärgerlich, aber ungefährlich. Ein vergessener Account beim Offboarding ist ein offenes Scheunentor.
Warum das Timing entscheidend ist
Die Deaktivierung aller Accounts muss am letzten Arbeitstag erfolgen. Nicht am nächsten Werktag, nicht wenn die IT dazu kommt, sondern am letzten Arbeitstag. Bei einer fristlosen Kündigung muss die Deaktivierung sofort erfolgen, idealerweise während das Gespräch noch läuft oder unmittelbar danach.
Das klingt hart, ist aber die einzig sichere Vorgehensweise. Ein ehemaliger Mitarbeiter, der sich nach seinem letzten Tag noch in Systeme einloggen kann, stellt ein Risiko dar, das sich leicht vermeiden lässt. Das gilt unabhängig davon, ob der Mitarbeiter im Guten oder im Bösen geht. Die IT kann nicht beurteilen, wie die Trennung verlaufen ist, und sie muss es auch nicht. Der Prozess ist für alle gleich.
Die Offboarding-Checkliste
Das Offboarding hat drei Bereiche: Account-Deaktivierung, Datenübergabe und Hardware-Rückgabe.
Bereich 1: Account-Deaktivierung
| Aufgabe | Zeitpunkt | Verantwortlich |
|---|---|---|
| Active-Directory-Konto deaktivieren | Letzter Arbeitstag, 18:00 Uhr | IT |
| E-Mail-Konto deaktivieren, Abwesenheitsnotiz einrichten | Letzter Arbeitstag | IT |
| VPN-Zugang sperren | Letzter Arbeitstag | IT |
| Alle Fachanwendungszugänge sperren (ERP, CRM etc.) | Letzter Arbeitstag | IT |
| MFA-Token deregistrieren | Letzter Arbeitstag | IT |
| Zugang zu Cloud-Diensten und SaaS-Anwendungen sperren | Letzter Arbeitstag | IT |
| Zutrittskarte deaktivieren | Letzter Arbeitstag | Facility |
| Aus Verteilerlisten und Gruppen entfernen | Innerhalb von 3 Tagen | IT |
| Passwörter für geteilte Accounts ändern (falls vorhanden) | Letzter Arbeitstag | IT |
Der letzte Punkt verdient besondere Aufmerksamkeit. Geteilte Accounts (ein gemeinsamer Login für einen Dienst, ein Team-Passwort für einen Zugang) sind generell problematisch und sollten vermieden werden. Aber wenn sie existieren, müssen beim Ausscheiden eines Mitarbeiters, der Zugang hatte, die Passwörter geändert werden.
Bereich 2: Datenübergabe und -sicherung
| Aufgabe | Zeitpunkt | Verantwortlich |
|---|---|---|
| Laufende Vorgänge an Nachfolger oder Vertretung übergeben | Vor dem letzten Arbeitstag | Mitarbeiter + Vorgesetzter |
| E-Mail-Postfach sichern (Archiv) | Am letzten Arbeitstag | IT |
| Persönliche Laufwerke sichern und dem Vorgesetzten bereitstellen | Am letzten Arbeitstag | IT |
| Geschäftliche Daten auf privaten Geräten löschen (BYOD) | Am letzten Arbeitstag | IT + Mitarbeiter |
| Weiterleitung/Abwesenheitsnotiz für E-Mails einrichten | Am letzten Arbeitstag | IT (nach Absprache mit Vorgesetztem) |
Bereich 3: Hardware-Rückgabe
| Aufgabe | Zeitpunkt | Verantwortlich |
|---|---|---|
| Laptop zurücknehmen | Letzter Arbeitstag | IT |
| Diensthandy zurücknehmen | Letzter Arbeitstag | IT |
| Zutrittskarte/Schlüssel zurücknehmen | Letzter Arbeitstag | Facility / Empfang |
| Sonstige Hardware (Headset, Docking Station, Monitor) zurücknehmen | Letzter Arbeitstag | IT |
| Rückgabe im Inventar dokumentieren | Innerhalb von 3 Tagen | IT |
| Laptop auf Werkseinstellungen zurücksetzen | Innerhalb von 5 Tagen | IT |
Sonderfälle beim Offboarding
Fristlose Kündigung oder Freistellung. Bei einer sofortigen Trennung muss die Personalabteilung die IT unmittelbar informieren. Die Account-Deaktivierung erfolgt noch während der Mitarbeiter im Haus ist oder sobald die Trennung ausgesprochen wurde. Im Idealfall gibt es einen vorab definierten Notfallprozess, der mit einem einzigen Anruf ausgelöst werden kann.
Langzeiterkrankung oder Elternzeit. Hier wird der Account nicht deaktiviert, aber die Berechtigungen werden auf ein Minimum reduziert. E-Mail-Zugang und grundlegende Intranet-Funktionen bleiben aktiv, Zugriff auf Fachanwendungen wird gesperrt. Bei Rückkehr werden die Berechtigungen nach dem normalen Genehmigungsprozess wieder aktiviert.
Tod eines Mitarbeiters. Ein sensibler Fall, der trotzdem einen klaren Prozess braucht. Accounts werden deaktiviert, das E-Mail-Postfach wird gesichert und dem Vorgesetzten bereitgestellt, Hardware wird eingesammelt. Die Personalabteilung koordiniert, die IT setzt um.
Wechsel zu einem Konkurrenten. Manche Unternehmen haben verschärfte Offboarding-Regeln für Mitarbeiter, die zu einem direkten Wettbewerber wechseln. Das kann eine sofortige Sperrung bei Bekanntwerden des Wechsels umfassen oder eine besondere Prüfung der Daten, auf die der Mitarbeiter in den letzten Wochen zugegriffen hat.
E-Mail-Handling nach dem Austritt
Eine häufige Frage: Was passiert mit dem E-Mail-Konto nach dem Austritt? Die E-Mail-Adresse eines Mitarbeiters ist gleichzeitig eine geschäftliche Kontaktadresse, über die Kunden, Lieferanten und Partner kommunizieren.
Die empfohlene Vorgehensweise:
Sofort: Automatische Abwesenheitsnotiz einrichten. Inhalt: "Frau/Herr [Name] ist nicht mehr für [Unternehmen] tätig. Bitte wenden Sie sich an [Alternative Kontaktperson] unter [E-Mail]."
30 bis 90 Tage: E-Mails an das Konto werden an den Nachfolger oder Vorgesetzten weitergeleitet. Die Abwesenheitsnotiz bleibt aktiv.
Nach 90 Tagen: Das Konto wird endgültig deaktiviert. E-Mails an diese Adresse werden mit einer Unzustellbarkeitsbenachrichtigung beantwortet. Das Postfach wird archiviert und nach der definierten Aufbewahrungsfrist (oft 6 bis 10 Jahre wegen handels- und steuerrechtlicher Aufbewahrungspflichten) gelöscht.
Berechtigungsprofile als Vorlagen
Wenn du für jede Phase des User Lifecycle standardisierte Berechtigungsprofile nutzt, reduzierst du den manuellen Aufwand erheblich und minimierst Fehler. Ein Berechtigungsprofil ist im Grunde eine Schablone, die definiert, welche Zugänge und Rechte ein Mitarbeiter in einer bestimmten Funktion braucht.
Aufbau eines Berechtigungsprofils
Ein vollständiges Berechtigungsprofil enthält alle Informationen, die die IT braucht, um einen Account einzurichten oder anzupassen:
Profil: Vertrieb Innendienst
| Kategorie | Detail |
|---|---|
| AD-Gruppe | GRP_Vertrieb_Innendienst |
| E-Mail-Verteiler | vertrieb@firma.de, innendienst@firma.de |
| Netzlaufwerke | \\server\vertrieb (RW), \\server\marketing (R), \\server\allgemein (R) |
| ERP | Modul Vertrieb (RW), Modul Lager (R) |
| CRM | Vollzugriff (eigene Kunden), Lesezugriff (alle Kunden) |
| DMS | Ordner Vertrieb (RW), Ordner Vorlagen (R) |
| VPN | Ja, Homeoffice-Berechtigung |
| MFA | Pflicht |
| Drucker | Drucker-Vertrieb-EG |
| Telefon | Nebenstelle aus Pool Vertrieb |
| Software | Office 365, PDF-Editor, Angebotskalkulation |
Wenn ein neuer Mitarbeiter im Vertrieb Innendienst anfängt, nimmt die IT dieses Profil und richtet alles entsprechend ein. Es gibt keinen Interpretationsspielraum, keine Rückfragen und keine vergessenen Zugänge.
Profile pflegen und aktualisieren
Berechtigungsprofile sind nicht statisch. Wenn ein neues System eingeführt wird, müssen alle betroffenen Profile aktualisiert werden. Wenn eine Abteilung umstrukturiert wird, ändern sich möglicherweise die Profile. Jede Änderung an einem Profil muss dokumentiert werden: Was wurde geändert, wann, von wem und warum.
Ein praktischer Tipp: Führe eine jährliche Überprüfung aller Berechtigungsprofile durch, idealerweise im Rahmen der regulären Rezertifizierung. Lade die Abteilungsleiter ein und gehe gemeinsam durch: Stimmen die Profile noch? Fehlen Zugänge? Sind Rechte enthalten, die nicht mehr benötigt werden?
Automatisierung durch AD-Integration
Je mehr Schritte des User Lifecycle manuell ausgeführt werden, desto höher ist die Fehlerquote. Active Directory (oder ein vergleichbares Verzeichnisdienstsystem) bietet vielfältige Möglichkeiten, den Prozess zu automatisieren.
Was sich automatisieren lässt
Gruppenmitgliedschaft steuert Berechtigungen. Die zentrale Idee: Ein Mitarbeiter wird einer AD-Gruppe zugeordnet, und die Gruppenmitgliedschaft steuert automatisch die Berechtigungen in nachgelagerten Systemen. ERP, CRM, DMS und andere Anwendungen lesen die Gruppenmitgliedschaft aus dem AD und gewähren oder verweigern den Zugriff entsprechend.
Dadurch wird der Rollenwechsel deutlich einfacher. Statt in fünf verschiedenen Systemen manuell Rechte zu ändern, verschiebst du den Mitarbeiter im AD von der Gruppe "Vertrieb Innendienst" in die Gruppe "Produktmanagement", und die angebundenen Systeme übernehmen die neuen Berechtigungen automatisch.
Automatische Account-Deaktivierung. Im Active Directory lässt sich ein Ablaufdatum für Accounts setzen. Für befristete Mitarbeiter, externe Berater und temporäre Berechtigungen ist das Gold wert. Der Account wird zum definierten Datum automatisch deaktiviert, ohne dass jemand daran denken muss.
Provisioning-Skripte. Für das Onboarding lassen sich PowerShell-Skripte erstellen, die auf Knopfdruck einen vollständigen Account anlegen: AD-Konto, E-Mail, Gruppenmitgliedschaften, Home-Verzeichnis. Der IT-Administrator gibt Name, Abteilung und Rolle ein, und das Skript erledigt den Rest.
Monitoring und Alerts. Automatische Benachrichtigungen, wenn ein Account seit 60 Tagen nicht genutzt wurde, wenn eine temporäre Berechtigung bald abläuft oder wenn ein Mitarbeiter gleichzeitig in Gruppen ist, die einen Segregation-of-Duties-Konflikt darstellen.
Was sich nicht automatisieren lässt
Die fachliche Genehmigung lässt sich nicht sinnvoll automatisieren. Ein Mensch muss entscheiden, ob ein Mitarbeiter eine bestimmte Berechtigung braucht. Das Gleiche gilt für die Überprüfung bei der Rezertifizierung und für die inhaltliche Übergabe bei Offboarding und Rollenwechsel.
Die Automatisierung ersetzt also nicht den Prozess, sie unterstützt ihn. Die Entscheidungen treffen weiterhin Menschen, aber die Umsetzung der Entscheidungen erfolgt schneller, konsistenter und mit weniger Fehlern.
Kosten-Nutzen-Betrachtung
Für ein Unternehmen mit 100 Mitarbeitern lohnt sich die Automatisierung fast immer. Rechne mit etwa 10 bis 15 Personalwechseln pro Jahr (Eintritte, Austritte, interne Wechsel). Wenn jeder Wechsel manuell 2 bis 4 Stunden IT-Aufwand verursacht, sind das 20 bis 60 Stunden pro Jahr. Ein gut konfiguriertes AD mit Provisioning-Skripten reduziert das auf 30 bis 60 Minuten pro Wechsel. Dazu kommt die reduzierte Fehlerquote, die sich schwer in Euro beziffern lässt, aber bei einem Sicherheitsvorfall durch einen vergessenen Account schnell teuer wird.
Der Audit-Trail: Lückenlose Nachvollziehbarkeit
Jede Berechtigungsänderung im User Lifecycle muss nachvollziehbar dokumentiert sein. Das ist keine optionale Fleißarbeit, sondern eine Kernanforderung jedes ISMS und eine der ersten Prüfpunkte im Audit.
Was dokumentiert werden muss
Für jede Berechtigungsänderung braucht der Audit-Trail folgende Informationen:
| Information | Beispiel |
|---|---|
| Was wurde geändert? | Account thomas.mueller: Rolle geändert von "Einkauf" zu "Vertrieb Innendienst" |
| Wann wurde die Änderung vorgenommen? | 2026-03-10, 14:22 Uhr |
| Wer hat die Änderung durchgeführt? | IT-Administrator K. Schmidt |
| Wer hat die Änderung genehmigt? | Vertriebsleitung S. Weber (Ticket #2026-0312) |
| Was war der Auslöser? | Interner Wechsel zum 01.04.2026 |
| Welche konkreten Rechte wurden geändert? | AD-Gruppen: entfernt aus GRP_Einkauf, hinzugefügt zu GRP_Vertrieb_Innendienst. ERP: Modul Einkauf deaktiviert, Modul Vertrieb aktiviert. CRM: Vollzugriff aktiviert. |
Wo der Audit-Trail gespeichert wird
Der Audit-Trail kann an verschiedenen Stellen geführt werden, je nach Infrastruktur:
Ticket-System. Wenn jede Berechtigungsänderung über ein Ticket abgewickelt wird, entsteht der Audit-Trail quasi automatisch. Das Ticket enthält den Antrag, die Genehmigung, die Umsetzung und die Bestätigung.
Active-Directory-Logs. Windows Server protokolliert Änderungen an Benutzerkonten und Gruppenmitgliedschaften. Diese Logs müssen an ein zentrales Log-Management-System weitergeleitet werden, damit sie nicht auf dem Server selbst verlorengehen oder manipuliert werden können.
ISMS-Tool. Ein ISMS-Tool wie ISMS Lite dokumentiert Richtlinienänderungen mit Versionierung, Freigabe-Workflow und Audit-Trail. So lässt sich nachweisen, wann welche Berechtigungsrichtlinie gültig war und wer sie freigegeben hat. ISMS Lite kostet 500 Euro pro Jahr für alle Module, ohne Benutzerlimits.
Entscheidend ist nicht, welches System du verwendest, sondern dass der Audit-Trail vollständig, manipulationssicher und durchsuchbar ist. Der Auditor wird nach einem konkreten Mitarbeiter fragen und sehen wollen, welche Berechtigungsänderungen wann von wem genehmigt wurden.
Aufbewahrungsfristen
Audit-Trail-Daten sollten mindestens so lange aufbewahrt werden wie das Arbeitsverhältnis dauert, plus eine Nachlaufzeit von mindestens drei Jahren. Für regulierte Branchen können längere Fristen gelten. Im Zweifel orientiere dich an den handelsrechtlichen Aufbewahrungsfristen (6 bis 10 Jahre), dann bist du auf der sicheren Seite.
Den User Lifecycle in der Praxis verankern
Ein User-Lifecycle-Prozess funktioniert nur, wenn alle Beteiligten ihn kennen und einhalten. Die IT allein kann das nicht leisten, weil die auslösenden Ereignisse (Neueinstellung, Versetzung, Kündigung) in der Personalabteilung und den Fachabteilungen stattfinden.
Die wichtigsten Erfolgsfaktoren
Frühzeitige Information. Die Personalabteilung muss die IT rechtzeitig über alle Personalveränderungen informieren. Das klingt selbstverständlich, scheitert aber in der Praxis erstaunlich oft. Eine einfache Lösung: Ein standardisiertes Formular, das HR bei jeder Personalveränderung ausfüllt und an die IT sendet. Noch besser: Eine automatische Benachrichtigung aus dem HR-System.
Klare Verantwortlichkeiten. Für jeden Schritt im Prozess muss klar sein, wer verantwortlich ist. Nicht "die IT", sondern eine konkrete Rolle oder Person. Nicht "der Vorgesetzte", sondern der direkte Vorgesetzte der neuen (nicht der alten) Abteilung.
Verbindlichkeit. Der Prozess muss verbindlich sein. Wenn ein Vorgesetzter einen neuen Mitarbeiter einstellt, ohne die IT zu informieren, muss es Konsequenzen geben. Nicht als Strafe, sondern als Signal: Dieser Prozess ist nicht optional.
Regelmäßige Überprüfung. Mindestens einmal jährlich solltest du prüfen, ob der Prozess funktioniert: Werden alle Neueinstellungen rechtzeitig gemeldet? Werden beim Rollenwechsel alte Rechte konsequent entzogen? Werden beim Offboarding alle Accounts am letzten Arbeitstag deaktiviert? Die Rezertifizierung der Berechtigungen liefert hier wertvolle Daten.
Kennzahlen für das User Lifecycle Management
Um die Qualität deines User-Lifecycle-Prozesses messbar zu machen, bieten sich folgende Kennzahlen an:
| Kennzahl | Zielwert | Was sie aussagt |
|---|---|---|
| Zeit bis zur vollständigen Account-Einrichtung bei Onboarding | < 1 Arbeitstag vor Eintritt | Effizienz des Onboarding-Prozesses |
| Anteil der Rollenwechsel mit vollständigem Berechtigungsabgleich | 100 % | Konsequenz beim Entziehen alter Rechte |
| Zeit bis zur Account-Deaktivierung nach Austritt | 0 Tage (am letzten Arbeitstag) | Sicherheit beim Offboarding |
| Anteil aktiver Accounts ohne zugehörigen aktiven Mitarbeiter | 0 % | Verwaiste Accounts (sollten nicht existieren) |
| Durchschnittliche Dauer einer Rezertifizierung | < 5 Arbeitstage | Effizienz der Überprüfung |
Diese Kennzahlen lassen sich quartalsweise erheben und zeigen dir, wo der Prozess gut funktioniert und wo nachgebessert werden muss. Mit einem ISMS-Tool wie ISMS Lite kannst du die zugehörigen Controls und Richtlinien verwalten, versionieren und zur Überprüfung vorlegen — die operative Messung der KPIs erfolgt in deinen IT-Systemen (Ticketsystem, AD-Logs, HR-Tool). Für den Auditor sind solche Zahlen ein starkes Signal: Hier wird nicht nur ein Prozess auf Papier definiert, sondern er wird gemessen und verbessert.
Weiterführende Artikel
- Berechtigungskonzept erstellen: Rollen, Rechte und Genehmigungsworkflow
- Die wichtigsten ISMS-Rollen: ISB, CISO, Risikoeigner – wer macht was?
- Zugangs- und Zutrittskontrollrichtlinie: Physisch und logisch
- Security Awareness Programm aufbauen: Was Mitarbeiter wirklich wissen müssen
- Schulungsnachweise im ISMS: Was dokumentiert werden muss
Der User Lifecycle ist kein glamouröses Thema. Aber er ist einer der Bereiche, in denen sich professionelles Informationssicherheitsmanagement am deutlichsten vom Improvisieren unterscheidet. Jede Berechtigungsänderung folgt einem definierten Prozess, jede Entscheidung ist nachvollziehbar, und kein ehemaliger Mitarbeiter hat nach seinem letzten Arbeitstag noch Zugang zu deinen Systemen. Das ist der Anspruch, und mit den richtigen Prozessen, Vorlagen und ein wenig Automatisierung ist er auch für ein Unternehmen mit 100 Mitarbeitern erreichbar.