Kontakt

Pentest af angrebskæden: Få et ja eller nej på om din SMV kan overtages på 14 dage

FORFATTER

Oliver Magaard

Executive Summary

De mest skadelige hændelser i danske SMV’er starter sjældent med en spektakulær hackerfilm. De starter typisk med noget hverdagsagtigt: en phishing-mail, et simpelt password spraying-forsøg eller et login, der ser legitimt ud. Hvis angriberen får adgang til en konto i Microsoft 365 eller Google Workspace, kan næste skridt være mailregler, datatyveri eller BEC, hvor betalinger omdirigeres og tillid bliver misbrugt. Verizon peger fortsat på credential abuse som en af de vigtigste indgangsveje til brud, og det er netop derfor identitet og mail er blevet et forretningskritisk angrebspunkt. Verizon DBIR 2025

Problemet for ledelsen er, at en klassisk teknisk rapport ofte giver mange fund, men få klare svar. Kan angrebet gennemføres mod os eller ikke? Hvilket forretningsområde bliver ramt først? Og hvad skal vi fikse nu for at reducere risikoen mærkbart? En moderne pentest bør derfor ikke kun lede efter enkeltstående huller. Den bør teste 2 til 3 realistiske angrebskæder med udgangspunkt i jeres mail, betalinger og kundedata, så resultatet bliver et klart ja eller nej på, om et realistisk angreb kan lykkes.

Det gør testen mere brugbar for ledelsen. Samtidig passer tilgangen godt til risikobaserede sikkerhedsforanstaltninger i GDPR artikel 32 og NIS2’s fokus på risikostyring og hændelseshåndtering i artikel 21. Pointen er enkel: Du skal ikke købe en lang ønskeliste af teknik. Du skal bestille en test, der viser om din virksomhed faktisk kan overtages gennem den angrebskæde, som oftest rammer SMV’er.

Hvorfor angrebskæden er vigtigere end enkeltstående fund

Mange virksomheder får allerede lavet scanninger, awareness-træning eller konfigurationskontroller. Det er fornuftigt. Men angribere arbejder ikke i siloer. De kombinerer små svagheder på tværs af mennesker, loginflader, mail og processer. En medarbejder klikker på en overbevisende mail. En konto mangler stærk loginbeskyttelse. En indbakke bliver brugt til at oprette skjulte regler. En økonomimedarbejder får en troværdig betalingsanmodning. Hver enkelt fejl kan virke lille. Samlet bliver det en forretningskritisk hændelse.

Det er også derfor, at testguides fra NIST SP 800-115, OWASP Web Security Testing Guide og CISA lægger vægt på planlagt test, realistiske scenarier, klare regler for gennemførsel og dokumentation af effekt. For en SMV giver det mest mening at samle det i få scenarier, som rammer forretningen direkte, i stedet for at sprede indsatsen ud over alt på én gang.

Hvis din virksomhed primært lever i Microsoft 365 eller Google Workspace, er identitet ofte den hurtigste vej til både mail, filer, mødeinvitationer og kundedialog. Derfor er et sikkerhedstjek af konfiguration stadig nyttigt, men en kæde-baseret pentest giver ledelsen et andet svar: om kontrollerne faktisk holder, når nogen aktivt prøver at omgå dem.

Sådan ser et realistisk mini-scope ud

Et godt scope for en SMV behøver ikke være stort for at være værdifuldt. Tværtimod. Når scope er skarpt, bliver resultatet mere brugbart. I stedet for at skrive “test hele virksomheden” bør du bede leverandøren om at simulere 2 til 3 realistiske scenarier, som kan true drift, betaling eller data.

Et mini-scope kan for eksempel bestå af disse tre scenarier:

  • Phishing eller password spraying mod udvalgte brugere i Microsoft 365 eller Google Workspace for at teste, om konto-overtagelse kan lykkes.
  • Misbrug af kompromitteret mailkonto til at oprette regler, læse dialoger og vurdere, om BEC eller leverandørsvindel kan gennemføres.
  • Adgang til udvalgte datamål som kundedata, fællesdrev eller fortrolige mails for at teste, om et begrænset kompromis kan udvikle sig til datalæk.

Det svarer bedre til den virkelighed, mange SMV’er står i. Ikke alle bliver ramt af ransomware som første skridt. Mange bliver først ramt på identitet, mail og betaling. Hvis du vil gøre medarbejderdelen stærkere parallelt, giver det mening at koble testen med awareness-træning, så adfærd og teknik bliver vurderet i sammenhæng.

Scope bør også afgrænses tydeligt. Hvem må testes? I hvilke tidsrum? Må leverandøren sende simulerede phishing-mails? Hvilke systemer er uden for scope? Og hvornår stopper testen, hvis et scenarie lykkes? Den type afklaring er ikke bureaukrati. Det er det, der gør testen sikker, brugbar og ledelsesvenlig.

Det ledelsen skal bede om i stedet for en lang teknisk rapport

Den største fejl i mange pentest-forløb er ikke testen. Det er outputtet. Når rapporten ender som 40 sider tekniske fund uden prioritering, bliver den svær at bruge i praksis. En kæde-baseret pentest skal derfor bestilles med et andet output fra starten.

Bed om en kort executive handlingsplan, der svarer på tre spørgsmål. Kunne angrebet gennemføres, ja eller nej? Hvilke få kontrolsvigt gjorde det muligt? Og hvilke handlinger reducerer risikoen mest inden for de næste 30 dage? Det er den type beslutningsgrundlag, der gør pentest til et ledelsesværktøj og ikke kun en specialistøvelse.

Forløbet bør også afsluttes med en retest. Det er først her, du får dokumentation for, om de vigtigste forbedringer virker. Hvis din virksomhed samtidig arbejder med modenhedsanalyse, giver retesten en praktisk bro mellem compliance og virkelighed. Du får ikke bare et billede af modenhed på papir. Du får bevis for, om kontrollerne virker mod et realistisk forsøg.

8 spørgsmål du kan stille leverandøren før du bestiller

Hvis du vil have en test, der giver et klart svar og ikke bare flere dokumenter, kan du bruge disse spørgsmål i dialogen med leverandøren:

  1. Hvilke 2 til 3 konkrete angrebsscenarier vil I teste mod vores forretning?
  2. Hvordan tester I konto-overtagelse i Microsoft 365 eller Google Workspace uden at skabe unødig driftspåvirkning?
  3. Indgår phishing, password spraying eller begge dele som mulige første skridt?
  4. Hvordan vurderer I om et kompromis kan udvikle sig til BEC eller datalæk?
  5. Hvilke acceptkriterier foreslår I for bestået eller ikke bestået?
  6. Hvad får ledelsen helt konkret efter testen ud over den tekniske rapport?
  7. Hvordan gennemfører I retest, og hvor hurtigt kan den ske efter udbedringer?
  8. Hvordan dokumenterer I rules of engagement, stopkriterier og ansvar under testen?

De spørgsmål er nyttige, fordi de flytter samtalen fra værktøjer og buzzwords til effekt, risiko og beslutninger. Det er også mere i tråd med, hvordan workshops for ledelse og bestyrelse typisk bør gribe cybersikkerhed an: som en konkret styringsopgave, ikke som et teknisk specialemne.

Tre klare acceptkriterier for en pentest af angrebskæden

Hvis testen skal ende i et klart ja eller nej, skal der være tydelige acceptkriterier på forhånd. Ellers diskuterer man bagefter, hvad resultatet egentlig betyder. For en SMV giver det mening at holde kriterierne få og forretningsnære.

Første acceptkriterium kan være, at konto-overtagelse ikke må lykkes mod de udvalgte brugere via de aftalte scenarier. Hvis leverandøren kan overtage en konto gennem phishing eller password spraying, er svaret nej. Så er identitetsfladen ikke bestået.

Andet acceptkriterium kan være, at en kompromitteret konto ikke må kunne bruges til at skjule aktivitet eller sende troværdige betalingsanmodninger uden at blive bremset af kontroller eller processer. Hvis mailregler, tilladelser eller arbejdsgange gør BEC realistisk, er scenariet ikke bestået.

Tredje acceptkriterium kan være, at et kompromis af én konto ikke må give adgang til forretningskritiske data ud over det, der er strengt nødvendigt for rollen. Hvis en enkelt konto åbner for kundedata, fællesdrev eller følsomme dialoger i et omfang, der gør datalæk sandsynligt, er testen ikke bestået.

De tre kriterier gør resultatet enkelt at forklare til ledelse, ejere og bestyrelse. Enten kunne angrebskæden gennemføres, eller også kunne den ikke. Og hvis den kunne, ved du præcis hvor kæden skal brydes først.

Hvad du bør forvente at have i hånden efter 14 dage

En moderne pentest af angrebskæden bør ikke trække ud i månedsvis, hvis scope er skarpt. For mange SMV’er kan et 14-dages forløb være nok til at planlægge test, gennemføre scenarierne og levere en kort beslutningsklar opsamling. Målet er ikke maksimal støj. Målet er hurtig afklaring.

Efter forløbet bør du som minimum stå med fire ting. Et klart ja eller nej på om de valgte angrebsscenarier kunne gennemføres. En kort executive oversigt med de vigtigste forretningsmæssige konsekvenser. En prioriteret handlingsliste med få tiltag, der reducerer risikoen mest. Og en aftale om retest, så udbedringer bliver kontrolleret og dokumenteret.

Det er netop her, pentest bliver værdifuld for en SMV. Ikke fordi du får flest mulige fund, men fordi du får ro på de vigtigste spørgsmål først. Kan nogen overtage jeres mailmiljø? Kan de bruge det til svindel eller datalæk? Og er jeres vigtigste kontroller stærke nok, når de bliver testet som en angriber ville gøre det?

If du vil bruge pentest som et reelt ledelsesværktøj, så start ikke med at bede om “en test af alt”. Start med at beskrive de 2 til 3 scenarier, som vil gøre mest skade på din forretning. Bed om et klart ja eller nej, tre acceptkriterier og retest som fast del af leverancen. Så får du et beslutningsgrundlag, der kan bruges med det samme og som styrker både drift, dokumentation og nattesøvn.