Titelbild eines Artikels zum Thema BSI IT Grundschutz

Die korrekte Verfahrensweise bezüglich des Austritts von Mitarbeitern ist im Baustein ORP 2, in der Maßnahme ORP 2. A2 des BSI-IT-Grundschutzes festgeschrieben. Wir schauen uns an, was das Bundesamt für Sicherheit in der Informationstechnik in Bezug auf die geregelte Verfahrensweise beim Weggang von Mitarbeitern (ORP 2. A2) empfiehlt, und wie Sie diese Empfehlungen mit tenfold umsetzen können.

Inhalte (verbergen)

Mitarbeiter Austritt BSI – ORP 2. A2

Die Maßnahmenempfehlung ORP 2. A2 (Geregelte Verfahrensweise beim Weggang von Mitarbeitern) löst die Maßnahme M. 3.6 der vorherigen Version des BSI-Grundschutz-Kompendiums ab. Die Maßnahme ist Teil des zweiten Themenbereichs (ORP: Organisation und Personal) des BSI-Kompendiums 2021 und befindet sich in Baustein ORP. 2 (Personal).

Der BSI-IT-Grundschutz ist eine Sammlung von Standards für das IT-Sicherheitsmanagement in Unternehmen und öffentlichen Einrichtungen. Der umfangreiche Maßnahmenkatalog umfasst technische, infrastrukturelle, organisatorische und personelle Empfehlungen.

Wir haben alle Maßnahmen, die den Bereich Identitäts- und Berechtigungsmanagement betreffen, für Sie zusammengefasst und auf ihre Umsetzbarkeit in tenfold geprüft.

Verfahrensweise beim Weggang von Mitarbeitern nach BSI

Die Maßnahme ORP 2. A2 des BSI-Grundschutz-Kompendiums besagt folgendes:

“Verlässt ein Mitarbeiter die Institution, MUSS der Nachfolger rechtzeitig eingewiesen werden. […] Ist eine direkte Übergabe nicht möglich, MUSS vom ausscheidenden Mitarbeiter eine ausführliche Dokumentation angefertigt werden. Außerdem MÜSSEN von ausscheidenden Mitarbeitern alle im Rahmen ihrer Tätigkeit erhaltenen Unterlagen, Schlüssel und Geräte sowie Ausweise und Zutrittsberechtigungen eingezogen werden. […]

Alle betroffenen Stellen innerhalb der Institution, wie z. B. das Sicherheitspersonal oder die IT-Abteilung, MÜSSEN über das Ausscheiden des Mitarbeiters informiert werden. Damit alle verbundenen Aufgaben, die beim Ausscheiden des Mitarbeiters anfallen, erledigt werden, SOLLTE hier ebenfalls eine Checkliste angelegt werden. […]”

Was bedeutet das in Bezug auf Access Management?

In Maßnahme ORP 2. A2 ist geregelt, dass für einen Mitarbeiter, der aus der Organisation ausscheidet, alle Zugangsberechtigungen und Zugriffsrechte zu entziehen bzw. zu löschen sind. Der Personalverantwortliche oder der Vorgesetzte sind dafür zuständig, den Firmenaustritt an die IT-Abteilung zu melden.

Problemfall Mitarbeiter-Austritt

In Unternehmen und anderen Organisationen, die ohne IAM-Software arbeiten, laufen die Joiner-Mover-Leaver-Prozesse manuell ab. Für die Einstellung neuer Mitarbeiter gibt es in der Regel einen recht gut organisierten Prozess, immerhin ist es wichtig, dass der neue Kollege seine Arbeit so schnell wie möglich aufnimmt. Und dafür braucht er natürlich nicht nur einen Arbeitsplatz, sondern auch alle notwendigen  Zugriffsberechtigungen.

In der Regel entstehen die Probleme durch manuelle Verwaltung aber spätestens, wenn Mitarbeiter die Abteilung wechseln oder das Unternehmen verlassen. Sind in solchen Fällen kein klarer Ablauf und klare Verantwortlichkeiten definiert, ist es eher die Regel als die Ausnahme, dass Berechtigungen zu spät oder gar nicht gelöscht werden.


In vielen Fällen erhält die IT-Abteilung die Information über den Weggang z.B. gar nicht oder nicht zeitgerecht. Entsprechende “Kartei-Leichen” werden in der Praxis dann erst im Rahmen sporadischer Überprüfungen entdeckt.

Webinar Anmeldung Icon

Melden Sie sich zu unserem Webinar an!

„Top 5 Gefahren im Access Management“ –
mit Helmut Semmelmayer, tenfold Software GmbH

Jetzt kostenlos anmelden

Melden Sie sich auch zu unserem Webinar an!

„Top 5 Gefahren im Access Management“ –
mit Helmut Semmelmayer, tenfold Software GmbH

Jetzt kostenlos anmelden

Mitarbeiter-Austritt: Was ist zu tun?

Das Benutzerkonto für zentrale Dienste wie Anmeldung, Fileserver und E-Mail ist in den meisten Fällen im Active Directory zu finden. Eine Sperre des AD-Kontos führt also dazu, dass diese Dienste nicht mehr genutzt werden können. So weit, so gut. Das Problem ist in den meisten Unternehmen und anderen Organisationen aber nicht das AD-Konto, sondern
zusätzliche, nicht mit Active Directory verknüpfte Systeme und Anwendungen. Diese sind von der Sperre im Active Directory natürlich nicht betroffen.

Wie der Gefährdungsbaustein 2.3 über “Sorglosigkeit im Umgang mit Informationen” treffend formuliert, ist es durchaus möglich, dass Zimmerkollegen das Passwort für solche Anwendungen kennen.

Für diese Personen wäre eine unbefugte Nutzung möglich, wenn nicht auch diese Zugänge für die betreffenden Anwendungen gesperrt werden. Damit eine Sperre erfolgen kann, muss allerdings eine Dokumentation darüber existieren, in welchen Systemen der ausgeschiedene Mitarbeiter angelegt wurde.

Manueller Aufwand bei Mitarbeiter-Austritt

Unternehmen, die kein Tool für Identity und Access Management einsetzen, stehen im Falle des Weggangs eines Mitarbeiters häufig vor dem Problem, dass sie manuell überprüfen müssen, in welchen Anwendungen und Systemen der betreffende Mitarbeiter (zusätzlich zum AD) ein Benutzerkonto hatte.

Darüber hinaus müssten diese Firmen und Organisationen ein unternehmensweites Verzeichnis führen, in dem jede Ausgabe von Geräten (Laptop, Mobiltelefone usw.) und Karten oder Schlüsseln vermerkt wird. Anderenfalls ist es so gut wie unmöglich, sicherzustellen, dass der Mitarbeiter tatsächlich alle Gegenstände zuverlässig zurückgibt.

Lösung in tenfold

Die notwendigen Prozesse beim Ausscheiden von Personal werden in tenfold im Optimalfall über eine direkte technische Schnittstelle zur Personalmanagement-Software realisiert. Sobald tenfold über die Schnittstelle (oder durch manuelle Eingabe auf der Oberfläche) die Information erhält, dass ein Mitarbeiter ausscheidet, sperrt die Software alle Zugänge des Mitarbeiters und entzieht automatisch sämtliche Zugriffsrechte.

Sofern die Ausgabe von Gegenständen wie Hardware oder Authentifizierungs-Tokens über Workflows in tenfold abgebildet wurde, generiert die Software auch automatisch Aufträge für die Rückholung dieser Gegenstände.

Warum tenfold?

tenfold ist mit Abstand die beste IAM-Software für mittelständische Unternehmen. Glauben Sie nicht?

Wir überzeugen Sie!

Warum tenfold?

tenfold ist mit Abstand die beste IAM-Software für mittelständische Unternehmen. Glauben Sie nicht?

Wir überzeugen Sie!