Ein Mitarbeiter verlässt das Unternehmen. Welche GRC-relevante Kontrolle ist zu verifizieren?
Kurzantwort
Das Austrittsrisiko ist der verbleibende Zugriff, daher ist die zu verifizierende Kontrolle das zeitnahe Deprovisioning jedes Zugriffswegs — Verzeichniskonten, SSO, VPN, privilegierte und Dienstkonten sowie Drittanbieter-SaaS — abgeglichen mit dem Joiner/Mover/Leaver-Prozess (JML). Anzunehmen, die Personalabteilung erledige alles ohne Verifizierung, hinterlässt Lücken, die niemandem gehören. Das Konto „für den Fall der Rückkehr“ aktiv zu lassen ist ein dauerhaftes, unüberwachtes Risiko. Nur die E-Mail zu deaktivieren ignoriert die vielen anderen Systeme, die die Person noch erreichen könnte. Es geht darum, zu verifizieren, dass der Zugriff tatsächlich und vollständig entfernt ist, nicht darauf zu vertrauen.
Wenn jemand geht, ist das Risiko nicht der Austritt — sondern der Zugriff, der danach verbleibt. Ein ehemaliger Mitarbeiter (oder ein Angreifer, der das verlassene Konto findet) mit aktiven Anmeldedaten für E-Mail, VPN, Cloud-Konsolen oder ein privilegiertes System ist ein klassischer Kompromittierungsweg. Die GRC-Kontrolle besteht darin, zu verifizieren, dass all dieser Zugriff zeitnah entfernt wird, und dies gegen einen definierten Prozess zu prüfen, statt anzunehmen, es sei geschehen.
Was „aller Zugriff" tatsächlich umfasst
Deprovisioning ist kein einzelner Schalter. Ein vollständiger Austrittsprozess entzieht Verzeichniskonten (Active Directory / Entra ID), SSO-Sitzungen und föderierte Anmeldungen, VPN- und Fernzugriffs-Anmeldedaten, privilegierte und Dienst-/Admin-Konten und vor allem Drittanbieter-SaaS-Apps — von denen viele außerhalb der zentralen IT bereitgestellt werden und eine SSO-Deaktivierung überleben. All dies sollte mit dem Joiner/Mover/Leaver-Prozess (JML) abgeglichen werden, sodass ein definierter, prüfbarer Ablauf festlegt, was entfernt wird, bis wann und wer es bestätigt hat.
Warum die falschen Antworten scheitern
„Die Personalabteilung erledigt alles" ist die Annahme, die verwaiste Konten erzeugt: Die Personalabteilung besitzt das Beschäftigungsereignis, aber die technische Zugriffsentfernung braucht einen Eigentümer und Verifizierung — Vertrauen ohne Prüfung hinterlässt Lücken. Das Konto „für den Fall der Rückkehr" aktiv zu lassen ist ein dauerhaftes, unüberwachtes Risiko; ein ruhendes gültiges Anmeldedatum ist genau das, wonach Angreifer jagen. Nur die E-Mail zu deaktivieren behandelt das sichtbarste System und ignoriert VPN, Cloud, SaaS und privilegierte Zugriffe, die die Person noch nutzen kann — eine Teillösung, die erledigt wirkt, es aber nicht ist.
Das geprüfte Urteilsvermögen
Der Interviewer möchte hören, dass Sie im Sinne des vollständigen Identitäts-Lebenszyklus denken, dass Sie verifizieren statt anzunehmen und dass Sie die lange Reihe von SaaS- und Schattenkonten verstehen, die dem SSO entgehen. Eine gute Antwort erwähnt den Abgleich mit dem JML-Prozess, den Umgang mit geteilten und Dienstkonten (rotieren, nicht nur deaktivieren) und die Fähigkeit, einem Auditor ein zeitnahes Deprovisioning nachzuweisen — sodass sich der Kreis zwischen dem HR-Ereignis und der tatsächlichen, bestätigten Entfernung jedes Zugriffswegs schließt.
Wahrscheinliche Anschlussfragen
- Wie spüren Sie SaaS- oder „Schatten-IT“-Konten auf, die nicht hinter dem SSO liegen?
- Wie geht man richtig mit geteilten oder Dienstkonten um, die der Austretende genutzt hat?
- Wie würden Sie einem Auditor ein zeitnahes Deprovisioning nachweisen?