IT Ops

IT-Onboarding & Offboarding automatisieren: Leitfaden 2026

Nikolai Fomm
COO und Mitbegründer
May 25, 2026
1
minute of reading
How to Automate IT Onboarding and Offboarding

Warum IT-Onboarding und Offboarding 2026 immer noch scheitern

Jede Neueinstellung zwingt die IT, Konten in 10 bis 25 SaaS-Anwendungen zu provisionieren, SSO einzurichten, einen Laptop bereitzustellen und rollenbasierte Berechtigungen zu vergeben, oft in weniger als 48 Stunden. Jeder Austritt zwingt die IT, dasselbe in umgekehrter Richtung über dieselbe Fläche zu tun, diesmal unter strengeren Sicherheits- und Compliance-Auflagen. Die meisten Teams erledigen beides immer noch manuell.

Die Zahlen erklären, warum das ein Problem ist. Laut BeyondTrust und SE-Ranking-Daten aus dem Jahr 2025 betreibt das durchschnittliche Unternehmen heute rund 275 SaaS-Anwendungen, gegenüber etwa 130 im Jahr 2022. Untersuchungen von Sapling zeigen, dass Neueinstellungen typischerweise 54 Onboarding-Aufgaben erhalten. CareerBuilder berichtet, dass zwei von fünf HR-Managern ohne digitales Onboarding mehr als 3 Stunden pro neuem Mitarbeiter allein für Papierkram aufwenden. Und Daten von StrongDM zeigen, dass 20% der Mitarbeiterfluktuation in den ersten 45 Tagen stattfinden, wobei eine schlechte Tag-1-IT-Bereitschaft ein wesentlicher Treiber ist.

Manuelles Offboarding ist sogar noch riskanter. Der Capital-One-Vorfall 2019 wurde auf eine inaktive IAM-Rolle mit persistenten Zugangsdaten zurückgeführt. 2025 wurde ein Akira-Ransomware-Vorfall bei einem Industrieunternehmen mit einem verwaisten Drittanbieter-Konto in Verbindung gebracht, das nie deaktiviert worden war. Verwaiste Konten sind heute eine der Hauptursachen für Sicherheitsverletzungen, die in Audits zu ISO 27001, SOC 2 und NIS2 identifiziert werden.

Dieser Leitfaden richtet sich an IT-Manager, CIOs und IT-Operations-Leads, die von einem reaktiven, ticketgesteuerten Benutzerlebenszyklus zu einem vollständig automatisierten übergehen wollen. Wir behandeln das Kostenmodell, das kanonische Joiner-Mover-Leaver (JML) Framework, zwei Schritt-für-Schritt-Playbooks, die technischen Grundlagen (SCIM, SAML, IDP, HRIS-Sync), den Compliance-Aspekt und wie eine kombinierte SaaS-Management- und IAM-Plattform wie Corma den Kreis von Anfang bis Ende schliesst.

Was ist IT-Onboarding und Offboarding Automatisierung?

IT-Onboarding und Offboarding Automatisierung ist die Praxis, Aktionen des Benutzerlebenszyklus (Kontoerstellung, rollenbasierter Zugriff, Lizenzvergabe, Deprovisionierung, Lizenzrückgewinnung) durch verlässliche HR- oder Identitätsereignisse auszulösen, ohne dass ein manuelles Ticket erforderlich ist. In der Praxis verknüpft Automatisierung drei Schichten: das HRIS (Datensystem), den Identity Provider (IDP) und jede SaaS-Anwendung im Stack.

Konkret bedeutet Automatisierung Folgendes: Wenn ein neuer Mitarbeiterdatensatz im HRIS angelegt wird, erstellt die Plattform eine Identität im IDP, provisioniert Konten in allen erforderlichen Apps via SCIM oder API, weist die richtigen Berechtigungen basierend auf Rolle und Abteilung zu und erstellt einen Audit-Trail. Wenn derselbe Mitarbeiter ausscheidet, kehrt die Plattform jede Aktion um, gewinnt Lizenzen zurück und dokumentiert, wer wann welchen Zugriff verloren hat.

Dies liegt an der Schnittstelle zweier Produktkategorien, die früher getrennt waren: SaaS Management Platforms (SMP), die der IT Sichtbarkeit und Kostenkontrolle über das Anwendungsportfolio geben, und Identity and Access Management (IAM), das steuert, wer worauf zugreift. Moderne Plattformen wie Corma kombinieren beides in einer einzigen Schicht, sodass SaaS-Sichtbarkeit und Identitäts-Governance auf demselben Datenmodell arbeiten.

Zentrale Erkenntnis: Automatisierung ist nicht nur eine schnellere Ticket-Warteschlange. Sie ersetzt Tickets durch deterministische Workflows, die durch HR-Ereignisse ausgelöst werden, und erzeugt Compliance-Nachweise als Nebenprodukt des normalen Betriebs.

Die versteckten Kosten manuellen IT-Onboardings und Offboardings

Der erste Grund zu automatisieren ist finanziell, und er ist grösser, als die meisten IT-Verantwortlichen vermuten. Die Analyse von Beyond Intranet aus 2026 schätzt, dass ein manueller Onboarding-Zyklus etwa 1.500 bis 1.800 Euro reine Zeitkosten verursacht, bevor Fehler, Nacharbeit und Fluktuation berücksichtigt werden. Sobald eine schlechte Tag-1-Erfahrung, Lizenzverschwendung und Sicherheitsexposition durch ehemalige Mitarbeiter hinzukommen, erreichen die gemischten Kosten pro Eintritts-Austritts-Zyklus 1.500 bis 10.000 € und mehr pro Mitarbeiter, abhängig von Unternehmensgrösse und Toolstack.

Die folgende Aufschlüsselung ist eine Synthese öffentlicher Benchmarks (Beyond Intranet, StrongDM, Sapling, BeyondTrust, Stitchflow) und der Muster, die wir bei europäischen IT-Teams beobachten, die Corma einsetzen.

Die versteckten Kosten manuellen IT-Onboardings und -Offboardings (pro Mitarbeiter)

Kostentreiber Was tatsächlich passiert Geschätzte Auswirkung
IT-Aufwand für Provisionierung Manuelle Erstellung von Konten in 10 bis 25 SaaS-Anwendungen, Zuordnung zu Gruppen, Lizenzkauf, Ticket-Follow-ups 4 bis 6 Stunden pro Neueinstellung
Koordination zwischen Managern und HR E-Mail-Ketten, Genehmigungen, Tabellenkalkulationen, verpasste Übergaben zwischen HR und IT 10 bis 12 Stunden pro Neueinstellung
Produktivitätsverlust am Tag 1 Neue Mitarbeiter warten auf Laptop, SSO-Zugang, App-Provisionierung und Rollenberechtigungen 1 bis 5 Tage verzögerte Einsatzbereitschaft
Manuelles Offboarding Suche durch über 50 Anwendungen, um Zugriffe zu entziehen, oft mit veralteten Tabellen und ohne Audit-Trail 3 bis 8 Stunden pro Austritt, häufig über mehrere Wochen verteilt
Verwaiste Konten Konten ehemaliger Mitarbeiter, die in einer oder mehreren SaaS-Anwendungen aktiv bleiben, weil die Deprovisionierung unvollständig war Direkte Sicherheits- und Compliance-Haftung
Lizenzverschwendung Bezahlte Plätze, die für ehemalige Mitarbeiter aktiv bleiben, ungenutzte Tools, die nie zurückgewonnen werden Bis zu 30% der gesamten SaaS-Ausgaben
Gemischte Kosten pro Eintritts-Austritts-Zyklus Zeit, Fehler, Lizenzverschwendung, Sicherheitsexposition 1.500 bis 10.000 € und mehr pro Mitarbeiter

Lizenzverschwendung verdient einen genaueren Blick. Studien von Productiv, Zluri und die eigenen Kunden-Benchmarks von Corma zeigen konsistent, dass 20 bis 30% der bezahlten SaaS-Sitze auf inaktiven oder ex-Mitarbeiter-Konten liegen. Dies in einem strukturierten Offboarding-Flow zu bereinigen, ist einer der schnellsten ROI-Hebel, die für IT und Finance verfügbar sind, weshalb wir dies im Detail im CFO-Leitfaden zur SaaS-Kostenoptimierung behandeln.

Die Kosten des Nicht-Automatisierens sind daher nicht nur Stunden. Sie sind auch ein dauerhafter Druck auf die SaaS-Ausgaben, ein anhaltendes Compliance-Risiko und ein stiller Beitrag zur Fluktuation in den ersten 90 Tagen.

Das Joiner-Mover-Leaver (JML) Framework erklärt

Was ist das Joiner-Mover-Leaver Framework?

Das Joiner-Mover-Leaver (JML) Framework ist das kanonische Modell für den Benutzerlebenszyklus im Identity and Access Management. Es definiert drei unterschiedliche Ereignisse (Eintritt, interner Wechsel, Austritt) und die IT-Aktionen, die bei jedem davon automatisch ausgelöst werden sollten. Es ist die Grundlage jeder modernen Strategie zur Automatisierung von IT-Onboarding und Offboarding.

Der Grund, warum JML wichtig ist: Es zwingt die IT, in HR-getriebenen Auslösern statt in ad-hoc Tickets zu denken. Jede Aktion wird deterministisch: Eine Person tritt ein, das System löst eine Sequenz aus ; eine Person wird befördert, eine andere Sequenz wird ausgelöst ; eine Person geht, eine dritte Sequenz wird ausgelöst. Keine Mehrdeutigkeit darüber, was passieren soll, kein Schattenprozess, bei dem ein Manager eine E-Mail schickt und auf das Beste hofft.

Was passiert in jeder JML-Phase?

Das Joiner-Mover-Leaver (JML) Framework für IT-Teams

Phase Auslösendes Ereignis Zu automatisierende IT-Aktionen Zu erstellende Compliance-Nachweise
Joiner (Eintritt) Neuer Mitarbeitereintrag im HRIS (Personio, HiBob, Workday, BambooHR usw.) Identität im IDP anlegen, rollenbasiertes App-Bundle zuweisen, Konten via SCIM provisionieren, Willkommens-E-Mail versenden, Tag-1-Bereitschaftsprüfung planen Genehmigungsprotokoll, Liste der provisionierten Apps, Time-to-Access-Metrik
Mover (Wechsel) Rollenwechsel, Abteilungswechsel, Beförderung, Manager-Wechsel im HRIS Berechtigungen neu berechnen basierend auf der neuen Rolle, veraltete Zugriffe entziehen, neue Zugriffe gewähren, Zugriffsüberprüfung für sensible Apps auslösen Vorher-Nachher-Vergleich der Berechtigungen, Manager-Genehmigung, Audit-Trail
Leaver (Austritt) Austrittsdatum im HRIS, Vertragsende, freiwillige Kündigung SSO deaktivieren, alle SaaS-Zugriffe entziehen, Dokumenten-Eigentum übertragen, Lizenzen zurückgewinnen, Postfach archivieren, API-Tokens und Personal Access Tokens widerrufen Deprovisionierungs-Zeitstempel pro App, Liste der überprüften verwaisten Konten, Bericht zur Lizenzrückgewinnung
Warum Automatisierung den Unterschied macht Jede Phase hat einen klaren Auslöser Automatisierung schliesst die Lücke zwischen HR-Ereignis und IT-Aktion Der Audit-Trail wird automatisch erzeugt, nicht rekonstruiert

Eine saubere JML-Implementierung speist auch automatisierte Zugriffsüberprüfungen: Wenn jede Berechtigung durch eine JML-Regel vergeben wird, dann wird die Überprüfung von Berechtigungen zu einer Frage von "sind die Regeln noch korrekt?" statt "was hat diese zufällige Person an Zugriffen?". Für eine tiefere IAM-Referenz pflegt Corma ein Glossar zum Identity and Access Management, das das Vokabular auf JML abbildet.

IT-Onboarding automatisieren: ein 7-Schritte-Playbook

Hier ist das Playbook, das wir IT-Teams von 50 bis 500 Mitarbeitern empfehlen, basierend auf dem, was bei Corma-Kunden wie Brevo und Citel Guichard funktioniert. Jeder Schritt setzt voraus, dass Sie sich von Tickets weg und zu HRIS-getriggerten Workflows hin bewegen.

Schritt 1: Machen Sie das HRIS zu Ihrer Quelle der Wahrheit

Entscheiden Sie, welches System den kanonischen Mitarbeiterdatensatz hält (Personio, HiBob, Workday, BambooHR usw.) und behandeln Sie es als den einzigen gültigen Auslöser für IT-Aktionen. Kein Ticket, keine Tabelle, keine E-Mail sollte eine Identität erstellen oder ändern können. Alles beginnt im HRIS.

Schritt 2: Bauen Sie ein sauberes Rollen- und Abteilungsmodell

Für jede Kombination aus Rolle und Abteilung definieren Sie das App-Bundle (die Menge der SaaS-Apps, die der Mitarbeiter benötigt) und das Berechtigungsniveau in jeder App. Das ist Ihre Role-Based Access Control (RBAC) Baseline. Wenn Sie diesen Schritt überspringen, propagiert die Automatisierung nur schneller chaotische Berechtigungen.

Für einen tieferen Einblick in RBAC-Modellierung siehe den Schritt-für-Schritt-Leitfaden von Corma zur Gestaltung und Implementierung eines RBAC-Modells.

Schritt 3: Verbinden Sie IDP und Apps nativ

Verbinden Sie Ihren IDP (Microsoft Entra ID, Okta, Google Workspace, JumpCloud) mit der Plattform, die die Provisionierung orchestrieren wird. Verbinden Sie dann jede SaaS-App, idealerweise über SCIM und SAML, und wo SCIM nicht verfügbar ist, über API oder robotische Playbooks. Corma unterstützt beides nativ.

Schritt 4: Definieren Sie die Sequenz von Tag minus 7 bis Tag 1

Pre-Boarding beginnt in dem Moment, in dem das Angebot unterzeichnet wird. Ihre Automatisierung sollte:

  • Die Identität im IDP an Tag -7 erzeugen
  • Konten in Kern-Apps an Tag -3 provisionieren
  • Zugangsdaten und Willkommens-Anweisungen an die persönliche E-Mail an Tag -1 senden
  • SSO aktivieren und Tag-1-Bereitschaftsprüfungen in der Nacht vor dem Startdatum auslösen

Diese Pre-Boarding-Logik ist ein wesentlicher Hebel für die Bindung in den ersten 90 Tagen, wie im Corma-Artikel zur Optimierung des Software-Managements vom Onboarding und darüber hinaus beschrieben.

Schritt 5: Erzwingen Sie Genehmigungen nur dort, wo sie Wert schaffen

Die meisten Onboarding-Aktionen sind deterministisch und benötigen keine menschliche Genehmigung. Reservieren Sie Genehmigungsworkflows für sensible Fälle: privilegierte Konten, hochpreisige Lizenzen, regulierte Anwendungen. Genehmigungen für jeden Punkt verwandeln die Automatisierung wieder in eine Ticket-Warteschlange.

Schritt 6: Erzeugen Sie Nachweise im Vorbeigehen

Jede Provisionierungsaktion sollte automatisch einen Log-Eintrag erzeugen: wer ausgelöst hat, was provisioniert wurde, wann, auf welche Genehmigung hin. Das ist es, was Audits schmerzlos macht und Ihre SOC-2-, ISO-27001- und NIS2-Kontrollen speist.

Schritt 7: Messen Sie Time-to-Access und iterieren Sie

Definieren Sie eine einzige Leitmetrik: Time-to-Access, gemessen vom Anlegen des HR-Datensatzes bis "alle erforderlichen Apps nutzbar". Erstklassige IT-Teams erreichen unter 4 Stunden bei dieser Metrik. Alles über 24 Stunden signalisiert, dass ein Schritt in Ihrer Sequenz noch manuell ist.

Für das grössere Bild zur Architektur automatisierter Provisionierung siehe den Referenzartikel von Corma zu automatisierter Benutzerprovisionierung als Zukunft des Onboardings und der Zugriffsverwaltung.

IT-Offboarding automatisieren: ein 7-Schritte-Playbook

Offboarding ist die risikoreichere Seite des Lebenszyklus. Eine vergessene Zugriffsentziehung ist gleichzeitig eine Sicherheitsexposition, ein Compliance-Verstoss und ein Lizenzkostenposten. Dieselbe JML-Logik gilt, in umgekehrter Richtung.

Schritt 1: Erfassen Sie das Austrittsereignis im HRIS

Das Beendigungsdatum im HRIS ist der kanonische Auslöser. Freiwillige Kündigung, Vertragsende, Entlassung: Alle fliessen durch dasselbe Feld. Was nicht im HRIS ist, löst kein Offboarding aus, was genau die Regel ist, die Sie wollen.

Schritt 2: Deaktivieren Sie SSO sofort zum Beendigungszeitpunkt

Die erste Aktion einer automatisierten Offboarding-Sequenz sollte das Deaktivieren der SSO-Session im IDP sein. Dies sperrt den Benutzer sofort aus jeder SAML-geschützten App aus. Alles andere (vollständige Deprovisionierung, Postfach-Archivierung, Lizenzrückgewinnung) kann auf einem etwas langsameren Zeitplan ablaufen, aber SSO muss zum genauen Zeitpunkt der Beendigung wegfallen.

Schritt 3: Entziehen Sie den Zugriff in jeder verbundenen SaaS-App

Gehen Sie das gesamte App-Inventar durch und entziehen Sie den Zugriff programmatisch: SCIM-Deprovisionierung wo unterstützt, API-Widerruf wo SCIM nicht verfügbar ist, und Playbooks für den langen Schwanz von Apps ohne Automatisierungs-API. Hier scheitert das manuelle Offboarding meistens: Die IT deckt die offensichtlichen 5 bis 10 Apps ab und vergisst die restlichen 30.

Schritt 4: Übertragen Sie das Eigentum an Dokumenten und Daten

Dateien in Google Drive, Notion-Seiten, Confluence-Spaces, Slack-DMs, GitHub-Repos: Jedes erfordert eine explizite Eigentumsübertragung vor der Kontolöschung. Die Automatisierung sollte eine Checkliste pro App generieren, sie an den Manager weiterleiten und die Kontolöschung blockieren, bis das Eigentum neu zugewiesen ist.

Schritt 5: Gewinnen Sie Lizenzen zurück und berechnen Sie die Einsparungen

Für jeden entzogenen Platz gewinnen Sie die Lizenz zurück und aktualisieren Sie Ihre Abo-Kennzahlen. Erstklassige Plattformen tun dies automatisch und erstellen einen monatlichen Bericht "durch Offboarding zurückgewonnene Lizenzen". Die meisten Unternehmen sind über die resultierende Zahl erstaunt.

Schritt 6: Beenden Sie API-Tokens, Personal Access Tokens und geteilte Geheimnisse

Oft vergessen, oft gefährlich. Personal Access Tokens in GitHub, GitLab, AWS, GCP, internen Admin-Panels: Diese überleben die SSO-Deaktivierung, weil sie eigenständige Anmeldedaten sind. Ein vollständiger Offboarding-Flow zählt sie auf und widerruft sie.

Schritt 7: Erzeugen Sie einen Deprovisionierungsbericht pro Austritt

Für Audit und Compliance: ein einziger Bericht pro Austritt, der jede App, den Deprovisionierungs-Zeitstempel, das verantwortliche System und jede Ausnahme auflistet. Das ist das Beweispaket, das bei Ihrem nächsten ISO-27001- oder SOC-2-Audit angefordert wird. Richtig gemacht, erzeugt die Automatisierung es, ohne dass jemand eine Zeile schreibt.

Die technischen Grundlagen: SCIM, SAML, IDP und HRIS-Synchronisation

Was macht SCIM?

SCIM (System for Cross-domain Identity Management) ist ein offener Standard, definiert durch RFC 7644, der es einer Identitätsquelle ermöglicht, Änderungen an Benutzerkonten (Erstellen, Aktualisieren, Löschen) über eine Standard-REST-API in eine SaaS-Zielanwendung zu pushen. Wenn eine App SCIM unterstützt, kann Ihre Plattform Konten in dieser App provisionieren und deprovisionieren, ohne dass jemand in ihrer Admin-Konsole klicken muss.

In der Praxis ist SCIM das, was das Versprechen "Austrittsereignis löst sofortige Zugriffsentziehung über 50 Apps aus" tatsächlich funktionieren lässt.

Was macht SAML?

SAML (Security Assertion Markup Language) ist der Standard, der es einem Benutzer ermöglicht, sich mit einer einzigen Identität aus Ihrem IDP bei vielen Anwendungen anzumelden. SAML deckt die Authentifizierungsseite ab ("kann diese Person sich anmelden?") während SCIM die Provisionierungsseite abdeckt ("hat diese Person überhaupt ein Konto, und mit welchen Berechtigungen?"). Beide arbeiten zusammen, sind aber nicht austauschbar.

Für einen schnellen Überblick siehe die Corma-Referenz zu SCIM und SAML in unter 5 Minuten verstehen.

Was ist ein IDP?

Ein Identity Provider (IDP) ist das System, das Benutzeridentitäten speichert, sie authentifiziert und SAML- oder OIDC-Tokens an Anwendungen ausgibt. Die vier häufigsten IDPs in mid-market europäischen IT-Stacks sind Microsoft Entra ID, Okta, Google Workspace und JumpCloud. Corma verbindet sich nativ mit allen vieren, und die Wahl zwischen ihnen ist in den Corma-Artikeln zu Okta vs Google SSO und JumpCloud vs Google SSO gut dokumentiert.

Warum HRIS-Synchronisation nicht verhandelbar ist

Ohne HRIS-Synchronisation haben Sie keinen kanonischen Auslöser. Der IDP weiss in Identitätsbegriffen, wer existiert, weiss aber nicht, wann jemand eingestellt oder gekündigt wird. Das HRIS kennt die Lebenszyklusereignisse, pusht sie aber nirgendwohin. Die Synchronisation zwischen beiden schliesst den Kreis und sorgt dafür, dass alles andere (SCIM, SAML, rollenbasierte Provisionierung) tatsächlich rechtzeitig ausgelöst wird.

Für eine tiefere architektonische Sicht darauf, wie Corma HRIS, IDP und SaaS-Apps orchestriert, siehe Cormas Tech-Seite zu User Provisioning und Access Management.

Wie Automatisierung ISO 27001, NIS2, SOC 2 und DSGVO unterstützt

Compliance ist der zweitstärkste Grund, den Lebenszyklus zu automatisieren, und oft derjenige, der für CFOs und Sicherheitsteams am wichtigsten ist. Jedes wichtige Rahmenwerk, das für europäische IT-Teams relevant ist, hat explizite Anforderungen an Provisionierungs- und Deprovisionierungsnachweise.

ISO/IEC 27001:2022 verlangt, dass Zugriffsrechte gemäss einer dokumentierten Richtlinie gewährt, geändert und entzogen werden, mit nachvollziehbaren Beweisen. Die Anhang-A-Kontrollen A.5.16 (Identitätsmanagement) und A.5.18 (Zugriffsrechte) sind direkte Abbildungen auf JML. Corma selbst ist nach ISO/IEC 27001:2022 zertifiziert. Wir behandeln das Thema im Detail im ISO-27001- und IAM-Implementierungsleitfaden und in der Roadmap für Zugriffsüberprüfungen zur ISO-27001-Konformität.

Die NIS2-Richtlinie, die im Oktober 2024 in der EU in Kraft trat, schreibt zeitnahe Zugriffsentziehung als Teil der Pflichten wesentlicher Einrichtungen vor. Die Umsetzungen in den Mitgliedsstaaten variieren, aber die Substanz ist konsistent: Sie müssen nachweisen können, dass die Zugriffe ehemaliger Mitarbeiter entfernt sind, und dies auf einem verteidigbaren Zeitplan tun. Siehe den NIS2-Erklärtext von Corma zu was die neue NIS2-Richtlinie bedeutet und wie man Compliance erreicht.

Die SOC-2-Trust-Services-Kriterien CC6.1 bis CC6.3 verlangen Nachweise dafür, dass logische Zugriffe nach dem Prinzip der geringsten Privilegien provisioniert, periodisch überprüft und umgehend entzogen werden, wenn sie nicht mehr benötigt werden. Automatisierung erzeugt diesen Nachweis als normale Ausgabe des Betriebs. Der Corma-Artikel zu SCIM und SAML für SOC 2 und ISO 27001 bildet die technischen Muster auf die Kontrollen ab.

Die DSGVO bringt eine eigene Perspektive ein: Datenminimierung und Speicherbegrenzung. Konten ehemaliger Mitarbeiter, die personenbezogene Daten enthalten, sind auch eine DSGVO-Exposition, nicht nur eine Sicherheitsexposition. Die IAM-Plattform selbst in der EU zu hosten, ist ein bedeutender Unterschied, und einer der Gründe, warum Corma vollständig auf europäischer Infrastruktur betrieben wird.

5 häufige Fehler bei der Automatisierung, die zu vermeiden sind

Die meisten gescheiterten Automatisierungsprojekte folgen einem von fünf Mustern. Sie zu vermeiden ist oft wertvoller, als die "beste" Plattform zu wählen.

  1. Einen kaputten Prozess automatisieren. Wenn Ihr Rollenmodell und Ihr App-Inventar chaotisch sind, propagiert die Automatisierung nur schneller das Chaos. Verbringen Sie die ersten zwei Wochen damit, Rollen zu bereinigen und Apps zu entdoppeln, bevor Sie irgendetwas anschliessen.
  2. Den langen Schwanz der Apps überspringen. SCIM-Abdeckung ist grossartig für die Top 10 Apps in Ihrem Stack. Die nächsten 40 Apps sind typischerweise das, was das Offboarding kaputt macht. Wählen Sie eine Plattform, die SCIM, API und robotische Provisionierung unterstützt, damit der lange Schwanz nicht manuell bleibt.
  3. Offboarding als Checkliste statt als Sequenz behandeln. Eine Checkliste ist eine Liste von Dingen, die Menschen tun sollen. Eine Sequenz ist ein deterministischer Ablauf, den die Plattform ausführt. Die beiden sind nicht dasselbe.
  4. Service-Konten und Tokens vergessen. Personal Access Tokens und gemeinsam genutzte Service-Konten sind die am meisten übersehene Deprovisionierungsfläche. Sie sind auch die am häufigsten ausgenutzten bei Sicherheitsvorfällen nach Beschäftigungsende.
  5. Time-to-Access und Time-to-Deprovision nicht messen. Ohne Metriken können Sie nicht sagen, ob die Automatisierung tatsächlich schneller ist als der alte Prozess. Zwei Metriken, zwei Dashboards, monatlicher Review.

Für mehr zu den zugrunde liegenden Ursachen und einer typischen IT-Leader-Perspektive siehe den Corma-Artikel zur stillen Krise des SaaS-Sprawls für IT-Verantwortliche.

Warum Corma für IT-Teams gebaut ist, die den Lebenszyklus automatisieren wollen

Die meisten Plattformen in diesem Bereich decken eine Seite des Problems ab: entweder reines IAM (Okta, JumpCloud, Entra ID) oder reines SaaS-Management (Zluri, BetterCloud, Productiv). Corma kombiniert beide Schichten nativ und ist für europäische mid-market IT-Teams (50 bis 500 Mitarbeiter) gebaut, die echte Automatisierung ohne US-Residenz-Kompromiss brauchen.

Wie Corma im Vergleich zu typischen Alternativen für die Automatisierung von IT-Onboarding und -Offboarding abschneidet

Funktion Nur IDP-Setup
(Okta, Entra ID, Google Workspace)		 US-basiertes SMP+IAM
(Zluri, BetterCloud, Productiv)		 Corma
SCIM- und SAML-Provisionierung Ja (beschränkt auf SCIM-fähige Apps) Ja Ja, mit Playbooks für nicht-SCIM-fähige Apps
HRIS-gesteuerte Automatisierung Add-on, oft individuelle Integration Ja Nativ, mit HRIS als Quelle der Wahrheit
SaaS-Management und IAM in einer Plattform Nein (nur IAM) Teilweise Ja, beide Ebenen nativ kombiniert
Lizenzrückgewinnung beim Offboarding Nein Ja Ja, mit Reporting zur Kostenwiedergewinnung
Automatisierte Zugriffsüberprüfungen Add-on oder Drittanbieter Ja Ja, ISO 27001- und NIS2-bereit
Echte EU-Datenresidenz Einige Optionen in Enterprise-Tarifen DSGVO-konform, aber Daten ausserhalb der EU gehostet Ja, standardmässig in der EU gehostet, ISO/IEC 27001:2022 zertifiziert
Am besten geeignet für europäische IT-Teams (50 bis 500 Mitarbeiter) Stark bei Identität, schwach bei SaaS-Sichtbarkeit Funktional stark, aber Residenz nicht EU-konform Gebaut für europäische IT-Verantwortliche, die beides brauchen

Was Corma konkret für IT-Onboarding und Offboarding leistet

Corma verbindet sich mit Ihrem HRIS und Ihrem IDP und orchestriert dann den vollständigen Lebenszyklus über jede verbundene SaaS-App. Die Plattform unterstützt SCIM und SAML wo verfügbar und führt skriptbasierte Playbooks für die Apps aus, die sich standardmässiger Provisionierung widersetzen. Sie erzeugt audit-taugliche Nachweise standardmässig, gewinnt Lizenzen bei jedem Austrittsereignis zurück und integriert das Ergebnis in Ihr SaaS-Kostenreporting.

Konkret berichten IT-Teams, die Corma nutzen, typischerweise:

  • Time-to-Access reduziert von Tagen auf unter 4 Stunden
  • Time-to-Deprovision reduziert von Wochen auf unter 1 Stunde für SSO, unter 24 Stunden für den vollständigen App-Stack
  • Bis zu 30% Reduktion der SaaS-Ausgaben durch automatisierte Lizenzrückgewinnung
  • Audit-Nachweispakete auf Abruf für ISO 27001, NIS2, SOC 2

Für die IT-Team-spezifische Seite siehe Cormas IAM-Lösung für IT-Teams. Für einen fokussierten Blick auf die Provisionierungs- und Onboarding-Schicht siehe Cormas IAM-Lösung für automatisierte Provisionierung und Onboarding. Und für den HR-IT-Kooperationsaspekt siehe wie Corma HR-Teams hilft, Onboardings und Offboardings zu allen Apps zu automatisieren.

Möchten Sie sehen, wie das auf Ihrem Stack aussieht? Fordern Sie eine Corma-Demo an und wir gehen Ihr HRIS, Ihren IDP und Ihre Top-10-SaaS-Apps konkret durch.

FAQ: IT-Onboarding und Offboarding Automatisierung

Wie lange sollte IT-Onboarding 2026 dauern?

Für einen vollständig automatisierten Stack sollte das technische Onboarding (Identität, Konten, SSO, rollenbasierter Zugriff) in unter 4 Stunden nach dem Moment abgeschlossen sein, in dem das HRIS die Neueinstellung erfasst. Kulturelles Onboarding erstreckt sich noch über 30 bis 90 Tage, aber die IT-Bereitschaft ist es, die die Tag-1-Erfahrung und das 45-Tage-Fluktuationsrisiko bestimmt.

Was ist der Unterschied zwischen Onboarding und Provisionierung?

Onboarding ist der breitere Personenprozess (Willkommen, Schulung, Ausrüstung, Kultur). Provisionierung ist die technische Teilmenge: Identität erstellen, Zugriff gewähren, Lizenzen zuweisen. Provisionierung ist das, was IT-Teams besitzen und was Automatisierung direkt adressiert. Eine gute Onboarding-Erfahrung erfordert gute Provisionierung, aber Provisionierung allein ist kein Onboarding.

Was ist die sicherste Art, ein Offboarding zu handhaben?

Die sicherste Offboarding-Sequenz deaktiviert SSO genau zum Beendigungszeitpunkt, deprovisioniert dann jede verbundene App parallel über SCIM oder API, überträgt das Dokumenten-Eigentum, beendet API-Tokens und Personal Access Tokens und erzeugt einen Nachweisbericht pro Austritt. Die gesamte Sequenz sollte innerhalb von 24 Stunden nach dem HR-Ereignis abgeschlossen sein, und die SSO-Deaktivierung sollte sofort erfolgen.

Brauche ich sowohl einen IDP als auch eine SaaS-Management-Plattform?

Ja, für die meisten mid-market IT-Teams. Der IDP übernimmt Authentifizierung und die kanonische Identität. Die kombinierte SaaS-Management- und IAM-Plattform übernimmt anwendungsspezifische Provisionierung, Deprovisionierung, Lizenzrückgewinnung und Kostensichtbarkeit. Sie decken unterschiedliche Teile des Stacks ab und ergänzen sich. Corma ist gebaut, um sich an Ihren bestehenden IDP anzuschliessen, nicht um ihn zu ersetzen.

Wie automatisiere ich Apps, die SCIM oder SAML nicht unterstützen?

Für Apps ohne SCIM oder SAML haben Sie drei Optionen: native API-Integration (der häufigste Weg), robotische Playbooks, die die Admin-Konsole skripten, oder vom Anbieter bereitgestellte CSV-Importe. Corma kombiniert alle drei, sodass der lange Schwanz der Apps aufhört, manuell zu sein. Für mehr Hintergrund zu SCIM und SAML siehe das Corma-IAM-Glossar.

Was ist ein verwaistes Konto, und warum ist es gefährlich?

Ein verwaistes Konto ist ein aktives Benutzerkonto in einer SaaS-Anwendung oder einem Verzeichnis, das keinem aktuellen Mitarbeiter mehr entspricht. Verwaiste Konten sind gefährlich, weil sie Zugriff (oft privilegiert) ohne Eigentümer zur Überwachung oder Rotation von Anmeldedaten behalten, was sie zu bevorzugten Zielen für Credential Stuffing und Missbrauch nach Beschäftigungsende macht. Bedeutende Sicherheitsverletzungen (Capital One 2019, Akira-Ransomware 2025) wurden auf verwaiste Konten zurückgeführt.

Ist Corma für europäische IT-Teams geeignet, die Wert auf Datenresidenz legen?

Ja. Corma wird vollständig in der EU gehostet, ist nach ISO/IEC 27001:2022 zertifiziert und so konzipiert, dass es DSGVO-, NIS2- und DORA-Erwartungen vom ersten Tag an erfüllt. Die meisten US-basierten Wettbewerber sind vertraglich DSGVO-konform, hosten Kundendaten aber ausserhalb der EU, was ein bedeutender Unterschied für IT-Teams in regulierten Branchen oder unter Betriebsrats-Aufsicht ist.

Read Next
View all articles
How to Automate IT Onboarding and Offboarding
IT Ops
May 25, 2026

IT-Onboarding & Offboarding automatisieren: Leitfaden 2026

Read Article
Identity governance vs identity management
IT Knowledge
May 18, 2026

Identity Governance vs. Identity Management: Unterschiede erklärt

Read Article
SaaS Management
May 12, 2026

SaaS Management for MSPs: Automating Licensing, Controlling SaaS Sprawl, and Reducing Client Software Spend in 2026

Read Article

The new standard in license management

Sind Sie bereit, Ihre IT-Governance zu revolutionieren?