Onboarding- und Offboarding-Richtlinie – SME

Die Onboarding- und Offboarding-Richtlinie (P07S) dient als kritische Kontrolle für Organisationen, die den vollständigen Lebenszyklus von Benutzerzugriff in einer sicheren, konformen und auditierbaren Weise verwalten möchten. Diese Richtlinie ist speziell auf kleine und mittlere Unternehmen (KMU) zugeschnitten, wie durch das „S“ in der Dokumentnummer und die Zuweisung von Verantwortung an Rollen wie General Manager und Office Manager/HR angezeigt wird, statt an Spezialistenteams wie einen dedizierten Chief Information Security Officer (CISO) oder ein Security Operations Center (SOC). Dennoch erfüllt sie die Anforderungen zentraler Rahmenwerke einschließlich ISO/IEC 27001:2022. Zweck der Richtlinie ist es, Prozesse für das Onboarding neuer Mitarbeiter und Auftragnehmer sowie Drittdienstleister zu definieren, zu standardisieren und zu dokumentieren und zugleich robuste Kontrollen für deren Beendigungsprozess oder interne Versetzung sicherzustellen. Sie setzt bei der Zugriffsbereitstellung das Prinzip der minimalen Berechtigung durch, nutzt Checklisten zur formalen Verifizierung der Ausgabe und Rückgabe von Vermögenswerten und schreibt dokumentierte Protokolle für Konto- und Asset-Änderungen vor. Beendigungsprozess-Aktivitäten fokussieren auf den umgehenden Entzug von Zugriffsrechten, die Rückführung von Unternehmens-IKT-Assets sowie den sicheren Abschluss digitaler Identitäten, um das Risiko von unbefugtem Zugriff oder Datenexposition zu steuern. Rollen und Verantwortlichkeiten sind so festgelegt, dass sie zu typischen KMU-Strukturen passen. Der General Manager trägt die Programmaufsicht und genehmigt hochprivilegierten Zugriff, der Office Manager oder das Personalwesen initiiert Onboarding/Offboarding und pflegt die Checklisten, und IT (interner oder externer Anbieter) verwaltet Konten und Hardware. Abteilungsleiter stellen sicher, dass Benachrichtigungen über Rollenänderungen umgesetzt werden, während jeder Mitarbeiter oder Auftragnehmer zur Einhaltung von Sicherheitsschulungsmaßnahmen sowie der Prozesse zur Rückgabe von Vermögenswerten verpflichtet ist. Die Governance-Anforderungen sind robust und verlangen die Nutzung von Onboarding-/Offboarding-Checklisten, die Pflege eines Zugriffskontrollregisters und eines Inventars der Werte sowie die sofortige Behandlung von Notfall-Deaktivierungen. Verfahren für Ausnahmebehandlung und Risikobehandlung sind klar definiert und schreiben Dokumentation, Benachrichtigung an den General Manager sowie kompensierende Kontrollen vor, wenn Standardschritte aufgrund operativer Dringlichkeit übersprungen werden. Die Durchsetzung und Einhaltung erfolgt durch regelmäßige Überwachung, Stichprobenprüfungen und klare Konsequenzen bei Nichteinhaltung, wie gezielte Nachschulung oder Eskalation. Durch die ausdrückliche Anforderung jährlicher Überprüfungen, reaktionsschneller Aktualisierungen bei Prozess- oder regulatorischen Änderungen sowie der Kommunikation von Richtlinienänderungen an sämtliches Personal unterstützt diese Richtlinie einen Prozess der kontinuierlichen Verbesserung. Sie ist so strukturiert, dass KMU die Anforderungen an Compliance, Integrität und Datenschutz effizient erfüllen können – auch in Organisationen ohne komplexe Sicherheitsstrukturen.