>_AYSOLI SECURITY HUB
THREAT AREA

Mitarbeiter-Offboarding

Wenn Mitarbeiter die Organisation verlassen, müssen alle physischen und digitalen Zugänge zeitnah entzogen werden. Ein mangelhafter Offboarding-Prozess hinterlässt gefährliche Hintertüren, die oft Monate später von Angreifern entdeckt werden.

Deine Strategie

Setze auf eine HR-getriebene Automatisierung. Sobald im HR-System (z.B. Workday, Personio) ein Austrittsdatum hinterlegt wird, muss die Deaktivierung des Identitäts-Providers (IdP) automatisch angestossen werden.

Best Practices

  • Vollständigkeit: Denke an nicht-integrierte Systeme (z.B. lokale Hardware-Firewalls, physische Schlüssel).
  • Zertifikate: Entziehe alle benutzergebundenen Zertifikate (S/MIME, VPN) sofort.
  • Hardware-Audit: Nutze Asset-Tagging, um sicherzustellen, dass alle Laptops und Mobilgeräte physisch zurückgegeben wurden.

STRIDE-LM Design-Risiken

SpoofingS-GOV-01

Orphaned High-Privilege Accounts

Verwaiste Admin-Accounts von ehemaligen Mitarbeitern.

TamperingT-01

Data Tampering

Unbefugte Änderung von geteilten Daten oder Konfigurationen.

RepudiationR-01

Audit Log Manipulation

Löschen oder Verändern von Spuren einer Aktion.

Information DisclosureI-01

Sensitive Data Exposure

Unbeabsichtigte Offenlegung von internen Informationen an Externe.

Denial of ServiceD-01

Resource Exhaustion

Überlastung von Systemen durch massenhafte Anfragen oder Ressourcen-Hogging.

Elevation of PrivilegeE-01

Privilege Escalation

Erlangung von Rechten, die über das vorgesehene Mass hinausgehen.

Lateral MovementL-01

Lateral Movement

Zugriff auf weitere interne Systeme nach erstem Login.

Monitoring GapsM-01

Insufficient Logging

Fehlende oder unzureichende Aufzeichnung von sicherheitsrelevanten Ereignissen.

MITRE ATT&CK® Techniken

Initial Access
T1078

Valid Accounts

ATT&CK

Ausnutzung bestehender Anmeldedaten für den Zugriff.

Mitigiert durch
Automated Offboarding WorkflowGrundschutzMittel
CIS: 6.7NIST: PR.AC-2
Regular Access ReviewsGrundschutzNiedrig
CIS: 6.6NIST: PR.AC-1OWASP: A01:2021
Privileged Identity Management (PIM)GrundschutzMittel
CIS: 6.2NIST: PR.AC-1OWASP: A01:2021
Unified Audit Log (UAL)GrundschutzNiedrig
CIS: 8.2NIST: PR.PT-1
Conditional Access PoliciesGrundschutzMittel
CIS: 6.1NIST: PR.AC-7OWASP: API2
T1566

Phishing

ATT&CK

Zustellung schädlicher Inhalte über elektronische Kommunikation.

Mitigiert durch
Conditional Access PoliciesGrundschutzMittel
CIS: 6.1NIST: PR.AC-7OWASP: API2
Persistence
T1098

Account Manipulation

ATT&CK

Ändern von Berechtigungen oder Erstellen neuer Konten.

Mitigiert durch
Automated Offboarding WorkflowGrundschutzMittel
CIS: 6.7NIST: PR.AC-2
Regular Access ReviewsGrundschutzNiedrig
CIS: 6.6NIST: PR.AC-1OWASP: A01:2021
Privileged Identity Management (PIM)GrundschutzMittel
CIS: 6.2NIST: PR.AC-1OWASP: A01:2021
Unified Audit Log (UAL)GrundschutzNiedrig
CIS: 8.2NIST: PR.PT-1
Credential Access
T1539

Steal Web Session Cookie

ATT&CK

Abgreifen von aktiven Session-Tokens zur Umgehung der Authentifizierung.

Mitigiert durch
Conditional Access PoliciesGrundschutzMittel
CIS: 6.1NIST: PR.AC-7OWASP: API2
T1552

Credentials from Password Stores

ATT&CK

Auslesen von Passwörtern aus Web-Browsern oder Passwort-Managern.

Mitigiert durch
Automated Offboarding WorkflowGrundschutzMittel
CIS: 6.7NIST: PR.AC-2
Collection
T1213

Data from Information Repositories

ATT&CK

Abgreifen von Daten aus Wissensdatenbanken (SharePoint, Confluence).

Mitigiert durch
Data Loss Prevention (DLP)GrundschutzMittel
CIS: 13.3NIST: PR.DS-1
Unified Audit Log (UAL)GrundschutzNiedrig
CIS: 8.2NIST: PR.PT-1
Command & Control
T1071-001

Application Layer Protocol

ATT&CK

Missbrauch legitimer Web-Protokolle (HTTP/S) für C2-Kommunikation.

Mitigiert durch
Egress Filtering (SSRF Protection)Erweiterter SchutzMittel
CIS: 12.2OWASP: A10:2021
Exfiltration
T1020

Automated Exfiltration

ATT&CK

Automatisiertes Abgreifen von Daten über Schnittstellen.

Mitigiert durch
Privacy by Design GuardrailsGrundschutzMittel
CIS: 17.3NIST: ID.AM-7
T1567

Exfiltration Over Web Service

ATT&CK

Abfluss von Daten über legitime Web-Schnittstellen.

Mitigiert durch
SIEM IntegrationErweiterter SchutzHoch
CIS: 8.5NIST: DE.AE-3NIST: DE.CM-1OWASP: A09:2021
Data Loss Prevention (DLP)GrundschutzMittel
CIS: 13.3NIST: PR.DS-1
Egress Filtering (SSRF Protection)Erweiterter SchutzMittel
CIS: 12.2OWASP: A10:2021
Impact
T1531

Account Access Removal

ATT&CK

Entfernen des Zugriffs für legitime Benutzer.

Mitigiert durch
Automated Offboarding WorkflowGrundschutzMittel
CIS: 6.7NIST: PR.AC-2
Regular Access ReviewsGrundschutzNiedrig
CIS: 6.6NIST: PR.AC-1OWASP: A01:2021
SIEM IntegrationErweiterter SchutzHoch
CIS: 8.5NIST: DE.AE-3NIST: DE.CM-1OWASP: A09:2021
T1485

Data Destruction

ATT&CK

Unwiederbringliches Löschen von Unternehmensdaten.

Mitigiert durch
SIEM IntegrationErweiterter SchutzHoch
CIS: 8.5NIST: DE.AE-3NIST: DE.CM-1OWASP: A09:2021

Dein Szenario ist komplexer?

Die AYSOLI Experten unterstützen dich bei der Umsetzung deiner spezifischen Sicherheitsanforderungen.

Kostenloses Erstgespräch
Mitarbeiter-Offboarding | IT-Sicherheit Checkliste für KMU · AYSOLI Security Hub