Verwaiste Accounts aufspüren: Wie räumst du 3 Jahre nachlässiges Offboarding auf?

Dass du heute besser offboardest, hilft nicht gegen die 23 aktiven Accounts ehemaliger Mitarbeiter, die bereits existieren. So räumst du diese Altlasten auf – ohne wochenlangen Aufwand.

Jedes Unternehmen hat sie: verwaiste Accounts. Mitarbeiter, die vor Jahren gegangen sind, aber in deinem CRM, Cloud-Speicher oder irgendeinem SaaS-Tool noch auf has_access stehen. Hier kommt die Aufräum-Aktion.

Die drei Hauptquellen

1. M365 / Google Workspace: Filter auf „last sign-in > 90 Tage" – das ist meistens der Ausgangspunkt für deine Liste verschwundener Accounts.
2. Einzelne SaaS-Tools: Logs pro Anwendung. Aufwändiger, weil nicht immer ein Standardfilter verfügbar ist.
3. Shared Spaces: Dropbox, SharePoint, Drive – Personen, die noch als Editor eingetragen sind.

Der Cleanup-Sprint

1. Tag 1: Pro System eine Liste der zweifelhaften Accounts erstellen.
2. Tag 2–3: Abgleich mit der Personalabteilung: Wer ist noch im Unternehmen, wer nicht?
3. Tag 4: Massendeaktivierung der bestätigten Ex-Mitarbeiter, 30 Tage warten vor der endgültigen Löschung.
4. Tag 5: Dokumentieren und einen formellen Offboarding-Eintrag anlegen – auch für Mitarbeiter, die schon vor Jahren ausgeschieden sind.

Risk-Flag als dauerhafte Lösung

Implementiere eine wiederkehrende Prüfung, die wöchentlich oder monatlich meldet: „Diese Person ist laut HR inaktiv, hat aber noch Access-Einträge auf has_access." In AccessGuard heißt das orphan_access-Risiko (Sev 5) – der Scanner erledigt das jede Nacht automatisch.

Siehe auch: Offboarding Pillar, periodische Access Reviews.