Wer ist im KMU für IT-Offboarding zuständig?

In funktionierenden KMU ist IT-Offboarding eine HR-IT-Co-Aufgabe. HR meldet die Kündigung mit Datum und letztem Arbeitstag spätestens 5 Werktage vorher. IT führt einen dokumentierten Offboarding-Workflow aus (Account deaktivieren, Geräte einsammeln, Lizenz freigeben, Dokumente übernehmen). Ohne dokumentiertes Verfahren bleibt typischerweise ein Drittel der Accounts und Lizenzen "Karteileichen".

Was kostet ein Onboarding-Tag?

Klassisches manuelles Onboarding einer neuen Person braucht 4–8 Stunden IT-Aufwand: Notebook einrichten, Software installieren, Konten anlegen, Berechtigungen setzen, Schulung. Bei IT-Stundensatz CHF 120 = CHF 480–960 pro Person. Mit Microsoft Autopilot, Intune und Entra-Gruppen-Vererbung sinkt das auf 30–60 Min IT-Touch + 1 h User-Selbstinstallation.

Was passiert mit den Mails ausgeschiedener Mitarbeiter?

In Microsoft 365: Postfach in "Shared Mailbox" umwandeln (gratis, kein Lizenzbedarf bis 50 GB), Vorgesetzten Zugriff geben für 30–90 Tage, Auto-Reply mit Verweis auf Nachfolger einrichten. Nach 90 Tagen: Inhalt archivieren (Litigation Hold oder Export nach PST/Cloud-Archiv), Postfach löschen. revDSG-Frist: nicht mehr als nötig speichern – aber Aufbewahrungspflichten beachten (OR Art. 957–958: 10 Jahre).

Wie automatisiere ich Onboarding & Offboarding?

Vier Bausteine: (1) Identity Lifecycle in Entra ID mit dynamischen Gruppen + Lifecycle Workflows, (2) Geräte-Provisionierung mit Microsoft Autopilot + Intune, (3) HR-Integration via SCIM oder Power Automate vom HR-Tool (Personio, BambooHR, Bexio HR) zu Entra, (4) Klartext-Tickets im Helpdesk (Zammad, Freshdesk). Damit braucht IT in 80% der Fälle nichts manuell zu machen.

IT-Onboarding & Offboarding für KMU 2026: Checklisten, Tools, Automatisierung

Kurz vorweg: 73% der Schweizer KMU haben "Karteileichen" – inaktive Accounts, vergessene Lizenzen, nicht zurückgegebene Geräte. Das kostet Geld (Lizenzen) und Sicherheit (alte VPN-Konten als Einfallstor). Ein dokumentierter Onboarding/Offboarding-Prozess kostet 1–2 Tage Setup und spart pro Jahr 5-stellige Beträge plus reduziert das Compliance-Risiko erheblich.

Onboarding-Checkliste in 4 Phasen

Pre-Boarding (vor Tag 1)

HR informiert IT mind. 5 Werktage vor Eintritt. IT bestellt Geräte, lizenziert vor, bereitet Konten in Entra ID vor.

Tasks: Notebook bestellen, M365-Lizenz zuweisen, Konto in Entra anlegen, dynamische Gruppen-Mitgliedschaft via "Department" und "Role" automatisch, Begrüssungs-Mail an Vorgesetzten.

Tag 1 (Erstanmeldung)

Mitarbeiter packt Notebook aus, meldet sich mit temporärem Passwort an, durchläuft Autopilot-OOBE, setzt MFA, ändert Passwort.

Tasks: Autopilot ESP zeigt Status. Intune installiert Apps automatisch (Office, Teams, Edge, branchenspezifische Software). Entra Self-Service-Passwort-Reset einrichten. Conditional-Access-Policies greifen.

Woche 1 (Einarbeitung)

Mitarbeiter erhält Einladungen zu Teams-Kanälen, SharePoint-Sites, ERP-Zugang. Schulungen zu IT-Sicherheit (Phishing, Passwortmanager).

Tasks: Buddy zugewiesen. Awareness-Training (KnowBe4, SoSafe, Hoxhunt) automatisch im Hintergrund. Helpdesk-Zugriff erklärt, erste Phishing-Simulation Woche 2.

30/60/90-Tage Check-ins

IT prüft, ob alles funktioniert. Berechtigungen werden bei Bedarf erweitert. Reibung wird gesammelt und im Onboarding-Prozess verbessert.

Tasks: 30-Tage-Survey (3 Fragen reichen), Quartals-Review der Onboarding-Dauer und -Probleme, Anpassung der Standard-Apps und Berechtigungen.

Offboarding-Checkliste – Same Day, dokumentiert

Tag X-5: HR meldet IT die Kündigung mit Letztem Arbeitstag und Übergabe-Empfänger.
Tag X (letzter Arbeitstag, Stunde X): Konto in Entra deaktivieren (NICHT löschen), MFA-Devices entfernen, Sessions revoken (Sign out everywhere).
Tag X: Postfach in Shared Mailbox umwandeln, Auto-Reply mit Vertretung-Info aktivieren, Vorgesetzter erhält Vollzugriff.
Tag X: OneDrive-Daten an Vorgesetzten übertragen (Microsoft 365 Compliance Center → "Retention for OneDrive of departed users").
Tag X: Lizenz freigeben (NCE-Annual: in Pool legen für Nachbesetzung; sonst kündigen mit nächster Periode).
Tag X: Geräte zurücknehmen, Inventarnummer abgleichen, Intune-Wipe ausführen, Festplatte sicher löschen, ggf. neu provisionieren.
Tag X: Hardware-Token, Smartcards, Schlüssel, Zutrittskarten zurückfordern.
Tag X+30: Erinnerung im Helpdesk, alle externen Konten (SaaS-Apps wie Slack, Notion, Bexio, GitHub, ChatGPT) per SSO-Audit deaktivieren.
Tag X+90: Postfach archivieren (Litigation Hold), Konto endgültig löschen oder weiter im Hold belassen wenn Rechtsstreit absehbar.
Dokumentation: Offboarding-Ticket mit allen Schritten, Zeiten und Verantwortlichen abgeschlossen.

Tools & Bausteine

Tool	Funktion	Abgedeckt durch
Microsoft Entra ID	Identity Lifecycle, dynamische Gruppen, Lifecycle Workflows	M365 Business Premium / E3+
Microsoft Intune	Geräte-Provisionierung, Wipe, App-Push	M365 Business Premium / E3+
Microsoft Autopilot	Zero-Touch-Setup neuer Notebooks	M365 Business Premium / E3+
Power Automate	HR-System ↔ Entra ↔ Intune Synchronisation	M365 Business / Stand-alone
Personio / Bexio HR	HR-System, das Onboarding triggert	Eigenständiges Tool
Helpdesk (Zammad, Freshdesk)	Tickets für jeden Onboarding/Offboarding-Schritt, Audit-Trail	Eigenständig oder M365
Passwortmanager Business	Shared Vaults für Service-Accounts, Rotation bei Offboarding	Bitwarden, 1Password, Keeper

Automatisierungs-Architektur

Ziel: HR sagt einmal "neuer Mitarbeiter ab dem 1.6. in Abteilung Verkauf" und IT muss nichts mehr klicken. Realistisch in 4 Schritten:

1. HR-System (Personio, Bexio HR, BambooHR) ist System of Record. Pflichtfelder: Eintritts-/Austrittsdatum, Abteilung, Rolle, Vorgesetzter, Standort.
2. Power Automate Flow oder SCIM-Connector: Bei neuem HR-Eintrag → Entra-User anlegen mit Properties (Department, JobTitle, Manager).
3. Entra dynamische Gruppen: "User mit Department=Verkauf" → automatisch in Gruppe "Sales-Apps", "Sales-SharePoint", "Sales-Lizenzen". Lizenz wird per Group-Based Licensing zugewiesen.
4. Intune Device Configuration: Pro Gruppe definierte App-Sets, Compliance-Policies, Conditional Access. Beim Login auf neuem Gerät → automatischer Push.
5. Lifecycle Workflows in Entra (P2 oder Governance Lizenz): Bei Austritt automatisch Konto deaktivieren, Manager benachrichtigen, Lizenz ziehen, OneDrive-Übernahme initiieren.
6. Helpdesk-Ticket wird automatisch eröffnet als Audit-Trail, IT-Mitarbeiter prüft nur und schliesst ab – keine 50 Klicks mehr.

revDSG: Was muss bleiben, was muss weg?

Personalakte: 10 Jahre nach Austritt aufbewahren (OR 958f, sozialversicherungsrelevant).
Geschäftliche E-Mails: bis 10 Jahre, sofern handelsrechtlich relevant; sonst zweckmässig löschen.
OneDrive private Inhalte: löschen oder pseudonymisieren – nicht für Geschäftszwecke aufbewahren.
Geräte-Inventar: solange Eigentum oder Lease läuft.
AD/Entra-Konto: nicht löschen, sondern deaktivieren – sonst Audit-Trail-Lücke. Endgültiges Löschen nach 1 Jahr im Hold (oder länger bei Rechtsfall).
Konten in Drittsystemen (Bexio, ChatGPT Team, Slack, GitHub): mit Audit-Liste alle deaktivieren – das ist Realität, wo die meisten KMU schwächeln.
Verarbeitungsverzeichnis (revDSG Art. 12): Onboarding/Offboarding als Verarbeitungstätigkeit aufnehmen.

Typische Stolpersteine

Konto sofort gelöscht: Audit-Trail futsch, alte Einladungs-Mails ungültig, Berechtigungen-Recovery aufwendig. Erst deaktivieren, später löschen.
Drittanbieter-Apps vergessen: GitHub, Slack, Notion, ChatGPT Team haben oft eigene Lizenzen ausserhalb von M365. SSO-Audit quartalsweise.
Service-Konten an Personen gebunden: Mitarbeiter geht, "fileserver-backup"-Job stoppt. Service-Accounts immer auf Service-Identitäten, nie Personen.
Shared-Mailbox-Sammelei: nach 10 Jahren hat man 80 inaktive Shared Mailboxes. Auto-Archive nach 90/180 Tagen, dann löschen mit Backup.
BYOD ohne Wipe-Policy: Privates Smartphone hat Firmen-Mail, Mitarbeiter geht, niemand wischt selektiv. Intune App Protection Policies (App-Wipe statt Geräte-Wipe).
Passwörter im Klartext überreicht: "Hier ist dein Passwort: Sommer2026!" – 70% der Mitarbeiter ändern es nicht. Erstanmeldung mit erzwungenem Wechsel + MFA-Setup.
Lizenz nicht freigegeben: 5–15% der M365-Lizenzen in KMU sind "Karteileichen". Quartalsweise Audit Entra ↔ HR-System.

Fazit: Identity Lifecycle ist Geld und Sicherheit

Onboarding und Offboarding sind in vielen Schweizer KMU 2026 immer noch das letzte rein manuelle Stück. Mit Entra ID, Intune, Autopilot und einem HR-Connector wird daraus ein dokumentierter Prozess, der pro Mitarbeiter-Wechsel 4–6 Stunden IT-Aufwand spart und gleichzeitig Lizenzkosten und Sicherheitsrisiko reduziert.

Wichtig: Standards definieren, Audit-Trail führen, quartalsweise Konten-Hygiene. Wer das macht, hat keine Karteileichen, keine vergessenen Lizenzen, keine ehemaligen Mitarbeiter mit aktivem VPN-Zugang.

Onboarding/Offboarding aufsetzen

Wir bauen den Identity Lifecycle in Entra ID, automatisieren die HR-Schnittstelle, richten Autopilot/Intune ein und übergeben einen dokumentierten Prozess an HR und IT.

Beratung anfragen

IT-Onboarding & Offboarding 2026:
Checklisten, Tools & Automatisierung

Onboarding-Checkliste in 4 Phasen

Pre-Boarding (vor Tag 1)

Tag 1 (Erstanmeldung)

Woche 1 (Einarbeitung)

30/60/90-Tage Check-ins

Offboarding-Checkliste – Same Day, dokumentiert

Tools & Bausteine

Automatisierungs-Architektur

revDSG: Was muss bleiben, was muss weg?

Typische Stolpersteine

Fazit: Identity Lifecycle ist Geld und Sicherheit

Onboarding/Offboarding aufsetzen

Passende Leistungen für Ihr KMU

IT-Onboarding & Offboarding 2026: Checklisten, Tools & Automatisierung

Onboarding-Checkliste in 4 Phasen

Pre-Boarding (vor Tag 1)

Tag 1 (Erstanmeldung)

Woche 1 (Einarbeitung)

30/60/90-Tage Check-ins

Offboarding-Checkliste – Same Day, dokumentiert

Tools & Bausteine

Automatisierungs-Architektur

revDSG: Was muss bleiben, was muss weg?

Typische Stolpersteine

Fazit: Identity Lifecycle ist Geld und Sicherheit

Onboarding/Offboarding aufsetzen

Passende Leistungen für Ihr KMU

IT-Onboarding & Offboarding 2026:
Checklisten, Tools & Automatisierung