Angriberne bryder ikke ind — de logger ind

Klumme: Moderne kompromitteringer llustrerer en forskydning, som mange virksomheders sikkerhedsarbejde endnu ikke har indhentet.

Artikel top billede

Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.

Forestil dig et hospital, hvor en enkelt glemt indstilling i Active Directory giver samtlige medarbejdere ret til at nulstille alle andres adgangskoder.

Ingen sårbarhed, ingen CVE-nummer, intet som en scanner ville fange. Én phishet medarbejder, to nulstillede adgangskoder senere, og angriberen har domæneadministrator-rettigheder og adgang til patientjournalerne. Fra fodfæste til fuld kontrol på minutter.

Scenariet er ikke opdigtet. Det er arketypen på, hvordan moderne kompromitteringer faktisk forløber — og det illustrerer en forskydning, som mange virksomheders sikkerhedsarbejde endnu ikke har indhentet:

Angrebsfladen er ikke længere primært maskiner og software. Den er identiteter, rettigheder og adgange.

Tallene taler tydeligt. Ifølge Microsofts Digital Defense Report 2025 sker 80 procent af access brokeres initiale adgang via credential-baserede angreb — altså stjålne eller misbrugte legitimationsoplysninger, ikke avancerede exploits.

Verizons DBIR 2026 viser, at halvdelen af de ransomware-ofre, der havde et kendt credential-læk, blev ramt inden for 95 dage efter lækket.

Og Europols IOCTA 2026 beskriver infostealers — malware der høster gemte adgangskoder og sessionstokens — som en nøglemuliggører for hele det cyberkriminelle økosystem, fra access brokers til ransomware-affiliates.

Sagt enkelt: Der eksisterer i dag et modent, arbejdsdelt marked, hvor nogle kriminelle stjæler identiteter, andre sælger adgangen videre, og tredje part eksekverer angrebet.

Din virksomheds adgangskoder er en handelsvare, længe før nogen har besluttet at angribe netop jer.

DBIR-analysen viser, at selv mindre virksomheder i gennemsnit oplever syv credential-læk om året — de store omkring tyve. De færreste opdager det.

Problemet er, at de fleste virksomheders sikkerhedsinvesteringer stadig er bygget til en anden trussel.

Vi scanner for sårbarheder, patcher systemer og køber endpoint-beskyttelse — alt sammen nødvendigt. Men en angriber med gyldige legitimationsoplysninger udløser ingen alarmer.

Han bryder ikke ind; han logger ind.

Og derfra bevæger han sig ad veje, der består af helt legitime, bevidst tildelte rettigheder: Service-kontoen med for brede privilegier, udviklerrollen fra et cloudmigreringsprojekt, der aldrig blev nedlagt, den cachede cloud-nøgle på en arbejdsstation.

Eksponeringen lever i rettighedsstrukturer og gruppemedlemskaber — steder, en sårbarhedsscanner aldrig kigger.

Og fladen vokser. Hver AI-agent, hver integration, hver automatiseret arbejdsgang er en ny identitet med egne rettigheder.

Når udviklingsteams giver AI-værktøjer administratoradgang for at komme hurtigt frem, har de reelt skabt en privilegeret medarbejder uden ansættelseskontrakt, awareness-træning eller sund skepsis.

Maskinidentiteter overstiger allerede menneskelige identiteter i antal i de fleste større it-miljøer — men de færreste har styr på, hvad de egentlig må.

Hvad bør danske virksomheder så gøre?

Tre ting fortjener plads på ledelsens bord. For det første: Behandl identitetsstyring som kernesikkerhed, ikke som administrativ hygiejne.

Least privilege er ikke et projekt, man afslutter, men en disciplin, man vedligeholder — inklusive oprydning i rettigheder, der har overlevet deres formål.

For det andet: Indfør phishing-resistent multifaktor og fjern muligheden for, at én stjålet adgangskode er nok.

For det tredje: Giv maskin- og AI-identiteter samme livscyklusstyring som medarbejdere — onboarding, rettighedsreview og nedlæggelse.

NIS2 stiller allerede krav om risikostyring og adgangskontrol. Men compliance er et minimumsniveau, ikke et forsvar.

Den reelle test er, om virksomheden kender sine egne angrebsveje — kæderne af rettigheder, der forbinder en tilfældig medarbejder-pc med forretningens kritiske systemer.

Angriberne kortlægger dem allerede, i stigende grad med AI-værktøjer, der finder komplekse veje på minutter, som tidligere krævede ugers manuelt arbejde.

Den virksomhed, der ikke kender sine egne identitetsveje, har overladt kortlægningen til modparten.

Identitet er ikke længere en perimeter, man forsvarer. Det er en motorvej — og spørgsmålet er, hvem der kender vejnettet bedst.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.

Annonceindlæg fra Kommando

Identity: Kortere levetid på certifikater øger risikoen for nedbrud

Digitale certifikater er fundamentet for tillid. Nu ændres vilkårene, og der stilles helt nye krav til, hvordan I arbejder med overblik og styring.

Navnenyt fra it-Danmark

Netip A/S har pr. 1. maj 2026 ansat Ida Hyllested Friis som Key Account Manager ved netIP's kontor i Thisted. Hun kommer fra en stilling som Key Account Manager hos Københavns erhvervshus. Nyt job
netIP har pr. 1. juni 2026 ansat Heidi Winther som Supportkonsulent ved netIP's kontor i Herning. Hun kommer fra en stilling som IT-Supporter hos Holstebro Kommune. Nyt job
Renewtech ApS har pr. 1. april 2026 ansat Boris Sudar som Senior IT Specialist. Han skal især beskæftige sig med at sikre, at Renewtech cloudbaseret infrastruktur fortsætter på sit højeste niveau, mens han også skal drive system udvikling. Han kommer fra en stilling som Senior IT Specialist hos Eurowind Energy. Han har tidligere beskæftiget sig med Microsoft 365, Intune og sikker endepunktsstyring for hybrid og cloudbaseret infrastrukturer. Nyt job

Boris Sudar

Renewtech ApS

Freja Egelund Grønnemose, junior automation developer hos WITRICS A/S, har pr. 16. juni 2026 fuldført uddannelsen diplomingeniør i softwareteknologi (B.Eng Software Technology) på Danmarks Tekniske Universitet - DTU. Færdiggjort uddannelse