Montagmorgen, halb neun. Der neue Azubi steht im Empfang, motiviert und pünktlich. Und dann? Kein Laptop, kein E-Mail-Konto, keine Ahnung, wo er sich anmelden soll. Die Kollegin, die ihn einarbeiten will, sitzt selbst noch auf dem Ticket beim IT-Dienstleister und wartet auf ein Passwort. Der erste Eindruck ist ruiniert, bevor der junge Mensch überhaupt seinen Schreibtisch gesehen hat.
Solche Szenen kennst du wahrscheinlich. IT-Onboarding klingt nach einer Kleinigkeit, die man nebenbei erledigt. In Wahrheit entscheidet dieser Prozess darüber, wie schnell jemand produktiv wird, wie sicher deine Firmendaten sind und ob du im Ernstfall nachweisen kannst, wer wann auf was zugreifen durfte. Gerade in kleinen und mittleren Unternehmen, wo niemand hauptberuflich nur die IT betreut, geht das gerne schief.
In diesem Artikel schauen wir uns an, was ein sauberes IT-Onboarding ausmacht: von der digitalen Identität über die Geräte bis zur Sicherheitseinweisung. Wir gehen dabei auf die Besonderheiten bei Azubis ein, die durch mehrere Abteilungen wandern. Und wir vergessen die Kehrseite nicht, das Offboarding, wenn jemand das Unternehmen wieder verlässt. Alles möglichst konkret und ohne Fachchinesisch.

Warum ein strukturiertes IT-Onboarding kein Luxus ist
Viele Geschäftsführer denken beim Onboarding zuerst an Willkommensmappe und Kaffeeküche. Die IT läuft irgendwie mit. Genau das ist das Problem. Wenn jeder neue Zugang improvisiert wird, entstehen über die Jahre Wildwuchs, Sicherheitslücken und ein Berg an Aufwand, den keiner mehr überblickt.
Sicherheit fängt bei den Zugriffsrechten an
Das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, hat für dieses Thema einen eigenen Baustein in seinem IT-Grundschutz-Kompendium. Er heißt ORP.4 „Identitäts- und Berechtigungsmanagement“. Das Ziel formuliert das BSI klar: Benutzer sollen ausschließlich auf die IT-Ressourcen und Informationen zugreifen können, die sie für ihre Arbeit benötigen und für die sie autorisiert sind. Allen anderen wird der Zugriff verwehrt.¹
Das klingt selbstverständlich, ist es in der Praxis aber selten. Ein neuer Sachbearbeiter bekommt schnell mal Zugriff auf ein ganzes Laufwerk, weil das einfacher ist, als genau zu überlegen, was er wirklich braucht. Der Azubi wird kurzerhand in die gleiche Berechtigungsgruppe gesteckt wie ein erfahrener Kollege. Und schon kann jemand Gehaltslisten oder Kundenverträge einsehen, der damit nichts zu tun hat.
Wenn dann ein Konto gekapert wird, etwa durch eine Phishing-Mail, hat der Angreifer genau diese Rechte. Je mehr jemand darf, desto größer der Schaden. Deshalb ist die Frage, wer worauf zugreifen darf, keine Formalie, sondern der Kern deiner IT-Sicherheit.
Nachvollziehbarkeit spart dir im Ernstfall den Kopf
Der zweite Grund ist Dokumentation. Wenn du strukturiert vorgehst, weißt du jederzeit, welche Person welche Zugänge und welches Gerät hat. Das brauchst du nicht nur, wenn etwas schiefgeht, sondern auch bei einer Prüfung, bei Fragen des Datenschutzes oder wenn ein Mitarbeiter das Unternehmen verlässt.
Ohne diese Übersicht wird jedes Offboarding zum Ratespiel. War da noch ein VPN-Zugang? Hatte die Person Zugriff auf das Buchhaltungsprogramm? Ein sauberes Onboarding legt die Grundlage dafür, dass du diese Fragen später in Minuten statt in Tagen beantworten kannst.

Du hast das Gefühl, dass bei euch niemand mehr wirklich überblickt, wer auf welche Systeme zugreifen kann? Wir von IT-Deol schauen uns das mit dir gemeinsam an und bringen Struktur in die Berechtigungen, bevor daraus ein Sicherheitsrisiko wird.
IT-Onboarding – Die digitale Identität als Fundament
Bevor jemand auch nur eine E-Mail schreiben kann, braucht er eine digitale Identität im Unternehmen. Das ist mehr als nur ein Login. Es ist der Ausweis, mit dem sich die Person gegenüber allen Systemen zu erkennen gibt.
Benutzerkonto anlegen, aber richtig
Ein Benutzerkonto ist der zentrale Ankerpunkt. Über dieses Konto meldet sich der neue Kollege am Rechner an, ruft E-Mails ab, öffnet Dateien und nutzt Programme. In vielen KMU läuft das heute über Microsoft 365 und die dahinterliegende Verwaltung, Microsoft Entra ID.
Wichtig ist, dass ein Konto pro Person existiert und niemand sich hinter einem Sammel-Login versteckt. Nur so lässt sich jede Aktion einer Person zuordnen. Das BSI betont in ORP.4 ausdrücklich, dass Benutzerkennungen und Berechtigungen nur nach dem tatsächlichen Bedarf und der Notwendigkeit zur Aufgabenerfüllung vergeben werden sollen. Das ist das Prinzip der minimalen Rechtevergabe, oft auch „so wenig wie möglich, so viel wie nötig“ genannt.¹ Wie sich das im Alltag konkret umsetzen lässt, beschreibt das BSI in eigenen Umsetzungshinweisen zum Baustein ORP.4.⁵
Rollen statt Einzelfallentscheidungen
Wenn du bei jedem neuen Mitarbeiter von Hand überlegst, welche Rechte er bekommt, machst du dir das Leben unnötig schwer und produzierst Fehler. Besser ist ein Rollenkonzept. Du legst einmal fest, was eine „Sachbearbeitung Vertrieb“ oder eine „Buchhaltung“ typischerweise braucht, und weist der Person diese Rolle zu.
Der neue Kollege erbt dann automatisch genau die Zugriffe, die zu seiner Aufgabe gehören. Das ist schneller, weniger fehleranfällig und leichter zu dokumentieren. Ändert sich die Aufgabe, wechselst du die Rolle, statt einzelne Rechte mühsam zusammenzusuchen. Genau dieser Ansatz macht später auch das Offboarding einfach, weil du beim Entzug der Rolle alles auf einmal wegnimmst.
Denk auch daran, dass ein normaler Mitarbeiter kein Administrator sein muss. Wer täglich mit Standardrechten arbeitet, kann versehentlich weniger kaputtmachen und bietet Angreifern weniger Angriffsfläche. Administratorrechte gehören nur an die Stellen, die sie wirklich brauchen.

Geräte bereitstellen ohne Chaos
Sobald die Identität steht, braucht der neue Mensch ein Gerät. Und hier trennt sich die improvisierte IT von der durchdachten. Ein Laptop, den jemand am ersten Tag noch schnell von Hand einrichtet, kostet Zeit, ist selten einheitlich konfiguriert und hat oft nicht alle Sicherheitseinstellungen, die er haben sollte.
Automatische Einrichtung mit Windows Autopilot
Microsoft bietet für Windows-Geräte eine Lösung, die genau dieses Problem angeht: Windows Autopilot. Das ist laut Microsoft eine Sammlung von Technologien, um neue Geräte einzurichten und vorzukonfigurieren, damit sie einsatzbereit sind.² Der Clou: Der Laptop wird nicht mehr mühsam neu aufgesetzt. Stattdessen wird die vom Hersteller vorinstallierte Windows-Version in einen geschäftsbereiten Zustand überführt, mit den Einstellungen, Richtlinien und Programmen deiner Firma.²
Aus Sicht des neuen Mitarbeiters ist das angenehm einfach. Microsoft beschreibt, dass er im Grunde nur das Gerät mit einem Netzwerk verbinden und sich mit seinen Zugangsdaten anmelden muss. Alles Weitere läuft automatisch ab.² Für dich als Geschäftsführer heißt das: weniger Zeit für die IT, ein einheitlicher Standard und ein Azubi, der am ersten Tag ein fertig eingerichtetes Notebook auf dem Tisch hat statt eine Baustelle.
Es gibt auch eine neuere Variante, die Windows Autopilot Gerätevorbereitung. Praktisch nebenbei sorgt sie dafür, dass Nutzer standardmäßig als normale Anwender ohne Administratorrechte angelegt werden.³ Das passt genau zum Gedanken der minimalen Rechte, den wir eben besprochen haben.
Geräte verwalten mit Microsoft Intune
Ein Gerät einzurichten ist das eine. Es dauerhaft im Griff zu behalten das andere. Dafür gibt es Microsoft Intune, ein Dienst zur Geräteverwaltung. Beim sogenannten Enrollment, also der Aufnahme des Geräts in die Verwaltung, wird laut Microsoft ein Zertifikat installiert, über das Intune anfängt, die Richtlinien deiner Organisation durchzusetzen.⁴
Konkret kannst du damit zum Beispiel Konfigurationsrichtlinien verteilen, die arbeitsgerechte Einstellungen auf den Geräten vornehmen, oder Compliance-Regeln festlegen, die ein Gerät erfüllen muss.⁴ Microsoft empfiehlt außerdem, mit einer Basislinie an Pflichtrichtlinien für alle zu starten und diese je nach Gruppe und Anwendungsfall zu ergänzen.⁴ Das ist ein guter Rat gerade für KMU: erst ein solides Fundament für alle, dann die Feinheiten.
Intune verwaltet nicht nur Windows-Rechner, sondern auch Smartphones und Tablets, egal ob mit Android, iOS oder anderen Systemen.⁴ Wenn dein Team also Diensthandys nutzt, gehören die genauso in den Onboarding-Prozess wie der Laptop.

Wir helfen dir, mit Autopilot und Intune einen einheitlichen, sicheren Standard aufzusetzen, der euch bei jedem neuen Mitarbeiter Zeit spart. Sprich uns an, wir betreuen KMU in der Region Köln und Bonn.
Sicherheit und Einweisung gehören zusammen
Ein sauber eingerichtetes Konto und ein fertiges Gerät sind die halbe Miete. Die andere Hälfte ist der Mensch davor. Denn die beste Technik nützt wenig, wenn der neue Kollege sein Passwort auf einen Zettel schreibt oder auf die erste Phishing-Mail hereinfällt.
Mehr als ein Passwort: Multi-Faktor-Authentifizierung
Ein Passwort allein ist heute kein ausreichender Schutz mehr. Zu leicht wird es erraten, abgefischt oder aus einem geleakten Datensatz wiederverwendet. Deshalb gehört zum Onboarding, dass für die wichtigen Zugänge eine zweite Bestätigung dazukommt, die Multi-Faktor-Authentifizierung. Das ist zum Beispiel eine Bestätigung per App auf dem Smartphone zusätzlich zum Passwort.
Der Aufwand ist gering, der Sicherheitsgewinn hoch. Ein gestohlenes Passwort allein reicht dann nämlich nicht mehr aus, um an deine Daten zu kommen. Richte das am besten gleich am ersten Tag ein, solange der neue Mitarbeiter ohnehin seine Konten einrichtet.
Auch beim IT-Onboarding – Security-Awareness von Anfang an
Der erste Arbeitstag ist der beste Moment, um Grundregeln zu vermitteln. Woran erkenne ich eine verdächtige E-Mail? Was mache ich, wenn ich versehentlich auf einen Link geklickt habe? Wo darf ich Firmendaten speichern und wo nicht? Diese Einweisung muss nicht stundenlang sein. Wichtig ist, dass sie stattfindet und dass der neue Kollege weiß, an wen er sich bei Unsicherheit wenden kann.
Gerade bei Azubis lohnt sich das doppelt. Sie bringen oft eine große Selbstverständlichkeit im Umgang mit digitalen Geräten mit, aber nicht unbedingt das Gespür dafür, wo im beruflichen Umfeld die Gefahren lauern. Eine kurze, verständliche Einführung wirkt hier Wunder und schützt dein Unternehmen vor teuren Fehlern.

Die Besonderheit bei Azubis
Auszubildende sind ein Sonderfall, der in vielen Onboarding-Konzepten untergeht. Sie starten meist mit wenig Vorerfahrung und durchlaufen im Laufe ihrer Ausbildung mehrere Abteilungen. Genau das macht ihre IT-Ausstattung anspruchsvoller, als man auf den ersten Blick denkt.
Rechte, die mitwandern
Ein Azubi im kaufmännischen Bereich sitzt vielleicht die ersten drei Monate im Einkauf, danach im Vertrieb, dann in der Buchhaltung. Bei jedem Wechsel ändern sich die Aufgaben und damit die benötigten Zugriffe. Wenn du hier nicht aufpasst, sammelt der Azubi mit jedem Stationswechsel neue Rechte an, ohne dass die alten wieder verschwinden. Am Ende der Ausbildung hat er dann Zugriff auf halb das Unternehmen.
Das BSI adressiert genau diesen Punkt. Bei personellen Veränderungen sollen nicht mehr benötigte Berechtigungen entfernt werden.¹ Für den Azubi bedeutet das: Beim Wechsel von einer Abteilung in die nächste bekommt er die neuen Rechte, und die alten werden ihm wieder entzogen. Das Rollenkonzept, das wir vorhin besprochen haben, macht das übrigens deutlich leichter. Du tauschst einfach die Rolle „Azubi Einkauf“ gegen „Azubi Vertrieb“, statt einzelne Berechtigungen zu jonglieren.
Befristete und rotationsbedingte Zugänge
Weil Azubis rotieren und die Ausbildung ohnehin befristet ist, bietet es sich an, Zugänge von vornherein mit einem Ablaufdatum oder einer Überprüfung zu versehen. So stellst du sicher, dass nichts vergessen wird. Ein Zugang, der nur für die aktuelle Station gilt, verschwindet automatisch, wenn die Zeit dort vorbei ist.
Das reduziert nicht nur das Sicherheitsrisiko, sondern auch deinen Verwaltungsaufwand. Statt regelmäßig manuell aufzuräumen, arbeitest du mit Zugängen, die sich selbst begrenzen. Am Ende der Ausbildung, wenn der oder die Auszubildende übernommen wird oder das Unternehmen verlässt, hast du eine klare Ausgangslage und musst nicht mühsam rekonstruieren, was über die Jahre alles dazugekommen ist.
Offboarding: der oft vergessene Zwilling
Über das Onboarding wird viel geredet. Das Offboarding, also der geordnete Rückzug der Zugänge und Geräte beim Ausscheiden, fällt dagegen häufig hinten runter. Dabei ist es sicherheitstechnisch mindestens genauso wichtig. Ein Konto, das nach dem Weggang eines Mitarbeiters weiterlebt, ist eine offene Tür.
Rechte zuverlässig entziehen
Wenn jemand das Unternehmen verlässt, müssen seine Zugänge weg. Nicht irgendwann, sondern zum richtigen Zeitpunkt. Das gilt für das E-Mail-Konto genauso wie für den Zugriff auf Fachanwendungen, das VPN oder Cloud-Dienste. Das BSI ist an dieser Stelle eindeutig: Nicht mehr benötigte Benutzerkennungen und Berechtigungen sollen bei personellen Veränderungen entfernt werden.¹
Hier zahlt sich alles aus, was du beim Onboarding richtig gemacht hast. Wenn du weißt, welche Rolle die Person hatte und welche Rechte daran hingen, kannst du diese sauber und vollständig entziehen. Ohne diese Vorarbeit tastest du dich im Nachhinein durch alle Systeme und hoffst, nichts zu übersehen.

Geräte einsammeln und zurücksetzen
Neben den Rechten geht es um die Geräte. Ein Laptop oder Diensthandy muss zurück und darf keine Firmendaten mehr enthalten, bevor es weitergegeben wird. Über eine Geräteverwaltung wie Intune lässt sich ein Gerät aus der Ferne bereinigen, was das Zurücksetzen deutlich erleichtert und dafür sorgt, dass keine sensiblen Daten in falsche Hände geraten.
Auch hier gilt: Wer beim Onboarding weiß, welches Gerät zu welcher Person gehört, hat beim Offboarding keine Mühe. Die Verbindung von Person, Konto und Gerät, die du am Anfang sauber aufgebaut hast, trägt bis zum letzten Arbeitstag.
Struktur beim IT-Onboarding zahlt sich aus
Ein gutes IT-Onboarding ist kein Selbstzweck und auch kein Thema nur für Großkonzerne. Es sorgt dafür, dass neue Mitarbeiter und Azubis schnell arbeiten können, dass deine Daten geschützt sind und dass du jederzeit den Überblick behältst, wer worauf zugreifen darf.
Die Bausteine im Überblick
Die Bausteine dafür sind überschaubar: eine saubere digitale Identität, ein durchdachtes Rollenkonzept nach dem Prinzip der minimalen Rechte, automatisch eingerichtete und verwaltete Geräte, Multi-Faktor-Authentifizierung und eine kurze, ehrliche Sicherheitseinweisung. Bei Azubis kommt hinzu, dass die Rechte mit ihnen durch die Abteilungen wandern und sich nicht anhäufen. Und am Ende steht immer das Offboarding, das genauso zuverlässig funktionieren muss wie der Empfang.
Einmal aufsetzen, dauerhaft profitieren
Wenn du diese Punkte einmal sauber aufsetzt, arbeitet die Struktur danach für dich. Jeder neue Mensch im Team ist schneller startklar, und du sparst dir das Improvisieren am Montagmorgen. Der Azubi, der eingangs frustriert im Empfang stand, hätte mit einem solchen Prozess einfach seinen fertig eingerichteten Laptop bekommen und losgelegt.

Wenn du möchtest, richten wir von IT-Deol dir einen Ablauf ein, der vom ersten bis zum letzten Tag greift und dir Sicherheit gibt. Wir sind dein IT-Partner für KMU in Köln, Bonn und der Region.
Häufige Fragen zum Thema
Was gehört zu einem IT-Onboarding neuer Mitarbeiter?
Zu einem IT-Onboarding gehört mehr als ein E-Mail-Konto: ein eigenes Benutzerkonto, passende Zugriffsrechte, ein eingerichtetes Gerät, die Absicherung mit einer zweiten Anmeldung und eine kurze Einweisung in die wichtigsten Regeln. All das sollte am ersten Arbeitstag bereitstehen, nicht erst nach Tagen. Wenn diese Schritte einem festen Ablauf folgen, wird aus einem hektischen Start ein reibungsloser. Ein strukturiertes IT-Onboarding sorgt dafür, dass niemand mehr improvisieren muss.
Warum reicht es nicht, einfach ein E-Mail-Konto anzulegen?
Ein E-Mail-Konto ist nur ein kleiner Teil dessen, was ein neuer Mitarbeiter braucht, und sagt nichts darüber aus, worauf er zugreifen darf. Ohne klare Rechtevergabe bekommt er entweder zu wenig, dann kann er nicht arbeiten, oder zu viel, dann entsteht ein Sicherheitsrisiko. Auch das Gerät, die Absicherung und die Einweisung fehlen dann noch. Ein strukturiertes IT-Onboarding denkt all diese Punkte von Anfang an zusammen.
Was ist das Prinzip der minimalen Rechtevergabe?
Das Prinzip besagt, dass jede Person nur die Zugriffe erhält, die sie für ihre Aufgabe wirklich braucht, und keine darüber hinaus. Das BSI formuliert in seinem Baustein ORP.4 genau dieses Ziel: Zugriff nur dort, wo er nötig und autorisiert ist. So bleibt der Schaden klein, falls ein Konto einmal übernommen wird. Ein strukturiertes IT-Onboarding setzt dieses Prinzip über klare Rollen statt einzeln vergebener Rechte um.
Wie richte ich neue Geräte schnell ein?
Für Windows-Geräte gibt es Windows Autopilot, das neue Geräte vorkonfiguriert einsatzbereit macht. Der Mitarbeiter verbindet das Gerät mit dem Netzwerk, meldet sich mit seinen Zugangsdaten an, und der Rest läuft automatisch ab. Deine IT muss kein Gerät mehr mühsam von Hand aufsetzen, und der Standard ist überall gleich. In einem strukturierten IT-Onboarding sorgt das dafür, dass am ersten Tag ein fertiges Notebook auf dem Tisch steht.
Was ist bei Azubis anders?
Auszubildende starten meist mit wenig Vorerfahrung und durchlaufen im Lauf ihrer Ausbildung mehrere Abteilungen. Ihre Zugriffsrechte müssen deshalb mitwandern: Beim Wechsel bekommen sie die neuen Rechte, und die alten werden wieder entzogen. Mit einem Rollenkonzept tauschst du einfach die Rolle, statt einzelne Berechtigungen zu jonglieren. Ein strukturiertes IT-Onboarding macht diese Rotation planbar, statt sie jedes Mal neu zu organisieren.
Warum ist das Offboarding genauso wichtig?
Wenn jemand das Unternehmen verlässt, müssen seine Zugänge zuverlässig und zum richtigen Zeitpunkt entfernt werden, vom E-Mail-Konto bis zum VPN. Das BSI ist hier eindeutig: Nicht mehr benötigte Kennungen und Berechtigungen sollen bei personellen Veränderungen entfernt werden. Vergessene Konten sind ein beliebtes Einfallstor, weil sie niemand mehr im Blick hat. Ein strukturiertes IT-Onboarding denkt das Offboarding deshalb von Anfang an mit.
Wie verwalte ich Diensthandys und Tablets?
Auch mobile Geräte gehören in den Onboarding-Prozess, nicht nur der Laptop. Mit einem Verwaltungsdienst wie Microsoft Intune lassen sich Windows-Rechner, Smartphones und Tablets über eine Oberfläche einrichten und absichern. So gelten überall dieselben Sicherheitsregeln, egal ob Android oder iOS. Ein strukturiertes IT-Onboarding bezieht Diensthandys von Beginn an mit ein, statt sie später nachzupflegen.
Was hat Sicherheit mit Onboarding zu tun?
Sehr viel, denn der erste Arbeitstag legt fest, wie sicher jemand von Anfang an arbeitet. Eine zweite Anmeldestufe, minimale Rechte und eine kurze Einweisung in typische Gefahren wie Phishing gehören dazu. Gerade Azubis bringen oft viel digitale Selbstverständlichkeit mit, aber nicht unbedingt das Gespür für berufliche Risiken. Ein strukturiertes IT-Onboarding macht Sicherheit deshalb zum festen Bestandteil des Starts, nicht zum Nachgedanken.
Wie viel Zeit spart ein strukturiertes Onboarding?
Statt bei jedem neuen Mitarbeiter von vorn zu improvisieren, folgst du einem festen Ablauf, der sich wiederholen lässt. Geräte richten sich weitgehend automatisch ein, Rechte werden über Rollen vergeben, und nichts wird vergessen. Das spart deiner IT bei jedem Start spürbar Zeit und verhindert teure Fehler. Ein strukturiertes IT-Onboarding rechnet sich deshalb schon nach wenigen Einstellungen.
Brauche ich dafür einen externen IT-Partner?
Nicht zwingend, aber gerade kleinere Betriebe ohne eigene IT-Abteilung profitieren von einem Partner, der den Prozess einmal sauber aufsetzt. Danach läuft vieles automatisch, und du hast einen Ansprechpartner, wenn es hakt. Wichtig ist, dass Rollen, Geräte und Sicherheit von Anfang an zusammenpassen. IT-Deol richtet ein strukturiertes IT-Onboarding für KMU in Köln und Bonn ein und bleibt danach als Ansprechpartner erreichbar.




