Wenn Mitarbeiter das Unternehmen verlassen, ist schnelles Handeln gefragt. Allen voran müssen Zugänge zu IT-Systemen gesperrt werden, damit sich ehemalige Angestellte nicht länger einloggen können. Andernfalls tun sich enorme Risiken auf, die das Unternehmen im Ernstfall teuer zu stehen kommen.
Wenn sich frühere Mitarbeiter weiterhin in IT-Systeme einloggen können
Ehemalige Mitarbeiter, die sich von außerhalb Zugriff auf Systeme und Daten verschaffen, sind nicht nur eine theoretische Gefahr. Untersuchungen aus dem Feld der IT-Sicherheit bestätigen diese Art von Missbrauch. Es kommt überraschend häufig vor, dass sich frühere Angestellte in Systeme einloggen.
Meist haben es die „Angreifer“ relativ leicht. Im Zeitalter des Home-Office haben viele Arbeitgeber die technisch notwendigen Voraussetzungen für den Zugriff aus der Ferne geschaffen. Oft genügt die Kenntnis über Zugangs-Url sowie Benutzername und Passwort. Anschließend können die Nutzer beispielsweise auf ihre E-Mail Postfächer zugreifen oder Daten rund um Aufträge und Kunden abrufen.
Im Ernstfall droht Gefahr
In zahlreichen Fällen sind die einstigen Mitarbeiter einfach nur neugierig. Sie möchten sehen, ob Ihre Zugangsdaten noch funktionieren und was sich in ihrem einstigen Aufgabenbereich getan hat. Doch selbst wenn sie keinen direkten Schaden anrichten, ist solch ein Verhalten nicht tolerierbar. Sollte auf personenbezogene Daten zugegriffen werden können, droht ein Datenschutzvorfall.
Noch gefährlicher sind ehemalige Mitarbeiter, die mit Vorsatz handeln. Eines der häufigsten Motive ist Rache. Die Täter fühlen sich oft unfair behandelt, weil sie z.B. vor ihrer Kündigung bei einer Beförderung übergangen wurden oder Mobbing ausgesetzt waren. Ebenso kann Gier ein Antrieb sein.
Sobald sich ausgeschiedene Mitarbeiter vorsätzlich Zugang zu Systemen verschaffen, tut sich ein breites Spektrum an Risiken auf:
- Einschränkung oder Sperrung von Systemen und Anwendungen
- Diebstahl oder Löschung von Daten
- Datenschutzvorfälle
Das Thema Haftung ist kein Grund, diese Risiken nicht ernst zu nehmen. Zwar ist es möglich, ehemalige Mitarbeiter für solch ein Fehlverhalten haftbar zu machen. Doch im Ernstfall ist dies nur ein schwacher Trost, wenn der entstandene Schaden gravierend ausfällt. Es drohen:
- Verringerte Produktivität: Systeme und Maschinen sind längere Zeit nicht nutzbar, durch den Ausfall droht ein immenser wirtschaftlicher Schaden.
- Aufwände zur Schadensbehebung: Zusätzliche Kosten für Systemwiederherstellung und Data-Recovery.
- Bußgelder: Im Fall einer Datenpanne kann die zuständige Aufsichtsbehörde ein Bußgeld verhängen.
- Imageschaden: Kunden und potenzielle Kunden verlieren das Interesse an den Produkten oder Leistungen des Unternehmens.
Abgestimmte Offboarding-Prozesse versprechen Abhilfe
Die genannten Risiken lassen sich durch eine gute Vorbereitung verringern. Der Lösungsansatz besteht darin, alle Konten und Zugänge ausscheidender Mitarbeitern zu schließen oder einzuschränken. So wird ehemaligem Personal die Möglichkeit genommen, sich Zugriff zu Systemen zu verschaffen.
So simpel dieser Ratschlag auch klingen mag, die praktische Umsetzung stellt Unternehmen vor eine große Herausforderung. Es kam z.B. schon vor, dass Führungskräfte die Schließung / Absicherung von Mitarbeiterkonten angefordert haben, die Umsetzung jedoch mehrere Tage oder gar Wochen auf sich warten ließ. In der Zwischenzeit konnten sich die gekündigten Mitarbeiter einloggen und Schäden anrichten.
Entsprechend besteht die Notwendigkeit, einen ganzheitlichen Offboarding-Prozess zu entwickeln und implementieren. Er gibt vor, welche exakten Schritte zu vollziehen sind, damit alle bedachten Risiken geschlossen werden. Zugleich sind Verantwortlichkeiten geregelt, um Verzögerungen und ähnliche Schwierigkeiten auszuschließen.
Beitrag zur IT-Security
Die Gestaltung von Offboarding-Prozessen muss individuell, ganz nach den Bedürfnissen des Unternehmens erfolgen. Im Hinblick auf die IT-Sicherheit können verschiedene Maßnahmen notwendig sein, wie z.B.
- Sperrung oder Änderung von Nutzerkonten, ggf. Änderung von Passwörtern
- Deaktivieren oder Umleiten von Telefonnummern (auch für Mobilgeräte, insbesondere im Hinblick auf die 2-Faktor-Authentisierung)
- Einziehen von Hardware, wie z.B. Laptops, Smartphones, USB-Sticks
- Einziehen von Hilfsmitteln für Zugangskontrollen, wie z.B. Zugangskarten / Chipkarten
Ein sicheres Ausscheiden aller Mitarbeiter lässt sich nicht immer anhand einer einzigen Offboarding-Liste gewährleisten. Je nach Tätigkeit und Abteilungszugehörigkeit können unterschiedliche Anforderungen bestehen. So ist es z.B. nicht ungewöhnlich, dass Mitarbeiter aus der IT-Abteilung über umfassendere Zugänge zu Daten verfügen, als andere Mitarbeiter. Entsprechend kann es sich empfehlen, je nach Abteilung verschiedene Offboarding-Listen / Protokolle zu führen.
Als bewährtes Hilfsmittel, das Offboarding-Listen sinnvoll ergänzt, hat sich die Inventarliste bewährt. Auf solch einer Liste ist festgehalten, welche Objekte (z.B. Laptops oder Smartphones) an einen Mitarbeiter ausgehändigt wurden. Sie erleichtert ein zügiges und sicheres Offboarding, da alle Objekte und ggf. damit in Verbindung stehenden Maßnahmen, erfasst sind.
Tipps aus der Praxis
Kollegen über Ausscheiden informieren
Je nach Organisations- und Arbeitsform im Unternehmen ist nicht gewiss, dass Teammitglieder und andere Kollegen über das Ausscheiden eines Mitarbeiters zeitnah erfahren. Jedoch ist es ratsam, sie über die Beendigung des Arbeitsverhältnisses zu informieren. Solch eine Maßnahme stellt sicher, dass Kollegen der betroffenen Personen nicht unbewusst Zugang zu Daten verschaffen.
Protokollierung als vorbeugende Maßnahme
Das Risiko von Angriffen durch sogenannte Innentäter lässt sich verringern, indem wichtige Geschäftsprozesse (z.B. das Einsehen oder Ändern von Daten) protokolliert werden. Wenn Mitarbeiter über die Protokollierung Bescheid wissen, hat sie eine abschreckende Wirkung.
Löschung privater Daten durch den Mitarbeiter
Ein gerne übersehenes Thema sind private Daten, die Mitarbeiter auf ihren Devices speichern. Ausscheidende Mitarbeiter sollten rechtzeitig dazu aufgefordert werden, solche Daten für sich privat zu sichern oder zu löschen. Dasselbe gilt für private E-Mails, die sich im beruflichen Postfach befinden. Mittels früher Berücksichtigung dieses Prozesses lässt sich sicherstellen, dass die betroffene Person keine Herausgabe zu einem späteren Zeitpunkt fordert, was sich dann schwierig gestalten könnte.
Nicht erst am Tag des Ausscheidens aktiv werden
Leider trennen sich Arbeitnehmer und Arbeitgeber nicht immer im Guten. Deshalb kann es sich empfehlen, bestimmte Accounts eines ausscheidenden Mitarbeiters schon vor dem letzten Arbeitstag einzuschränken oder gar zu schließen.