Den måde, små og mellemstore virksomheder arbejder på, har ændret sig for altid — men det har den måde, de angribes på også. Teams er fordelt, SaaS-værktøjer kan handle alt fra løn til projektstyring, og entreprenører samt leverandører roterer regelmæssigt ind og ud af systemer. Med hvert nyt værktøj eller medarbejder, der kan få adgang til systemet, øges antallet af potentielle indgange.
Den voksende angrebsflade betyder noget, fordi angreb baseret på legitimationsoplysninger, herunder phishing, kontoovertagelser og tyveri af adgangskode, er blevet en af de mest almindelige måder, virksomheder oplever databrud på. De fungerer netop, fordi muligheden for at få adgang til systemer har spredt sig, hvilket gør det svært at spore. Alt, en angriber skal gøre nu, er at finde ét gyldigt sæt legitimationsoplysninger for at omgå Deres virksomheds forsvar.
I denne sammenhæng burde det være opmuntrende, at over halvdelen af alle små virksomheder nu bruger en adgangskodeadministrator til virksomheder. Men Protons SMB Cybersecurity Report 2026 — en global undersøgelse af 3.000 beslutningstagere i SMB’er — fandt, at én ud af fire stadig oplevede et databrud sidste år.
Alt dette peger på en kløft mellem, hvordan værktøjer implementeres, og hvordan de rent faktisk bruges.
Hvordan SMB’er bruger en adgangskodeadministrator i dag
De fleste adgangskodeadministratorer er designet til at gøre én ting godt: hjælpe Dem med at huske Deres adgangskode. I praksis betyder det at oprette komplekse og unikke adgangskoder og lade administratoren administrere dem i en krypteret boks. Det er markant bedre end normen med at genbruge de samme legitimationsoplysninger på tværs af platforme og hver enkelt konto.
Men da en adgangskode er en angribers nemmeste adgangspunkt, har SMB’er brug for, at en adgangskodeadministrator gør meget mere end blot at løse hukommelses- og bekvemmelighedsproblemer. De har brug for, at den kan sikre adgang og lade de rette folk få adgang til dataene.
Adgang er et langt bredere spørgsmål. Har de rigtige personer de rigtige legitimationsoplysninger — og ville De vide, hvad de låser op for, eller om de faldt i de forkerte hænder? Og efterhånden som teams vokser, hvert abonnement hober sig op, og entreprenører kommer og går, skal Deres organisations overvejelser skifte fra blot at styrke hver adgangskode til at tage højde for virkelige sikkerhedstrusler.
Det er den ændring, de fleste virksomheder først foretager, når noget går galt.
Hvor implementeringer af en adgangskodeadministrator går galt
Den primære indsigt i vores rapport var, at virksomheder, der indfører en adgangskodeadministrator, ikke konsekvent bruger dem.
Usikker deling af legitimationsoplysninger forekommer stadig med overraskende høj hyppighed:
- 33 % vælger at dele dem i delte dokumenter eller regneark
- 30 % vælger at dele legitimationsoplysninger via e-mail
- 27 % vælger at dele dem via besked-apps
- 25 % skriver dem ned
- 24 % vælger at dele dem mundtligt
Det er et billede af travle mennesker, der tager den hurtigste rute, der er tilgængelig i det øjeblik. I stedet for at skifte over til Deres adgangskodeadministrator-app for at dele nye legitimationsoplysninger i den korrekte boks, indsætter de dem måske i Slack eller en e-mail.
Nødløsninger føles harmløse isoleret set. Men over tid ender legitimationsoplysninger spredt på tværs af hver indbakke, chathistorikker og delte dokumenter på måder, der er svære at udrede. Når en medarbejder fratræder, kan De ikke efterfølgende tilbagekalde, at de kan få adgang til systemet. Og at opdatere hver adgangskode med kort varsel efter databrud bliver umuligt, medmindre de er lagret på en centraliseret, sikker placering.
Træning i at håndhæve sikkerhedspolitikker kan hjælpe, men vores forskning afslørede, at selv det ikke er helt nok…
Hvorfor sikkerhedsbevidsthedstræning ikke er nok
Vores rapport viste, at 39 % af alle SMB’er har oplevet en sikkerhedshændelse forårsaget af menneskelige fejl. Denne statistik er let at fejltolke; den naturlige reaktion er at antage, at mere forsigtige medarbejdere betyder færre hændelser.
Men denne indramning overser noget vigtigt: Sikkerhedssystemer, der afhænger af perfekt adfærd under dagligt pres, vil altid blive svigtet af virkeligheden. Fejl sker ikke, fordi folk er ligeglade — de sker, fordi den sikre mulighed ofte kræver mere indsats og tid, end den typiske SMB har råd til. Selv velmenende teams vil finde nødløsninger, når de er pressede på ressourcer.
Den varige løsning er ikke mere træning. Det er at designe systemer, hvor den sikre mulighed også er den nemme mulighed.
Når det at lade folk få adgang til data sikkert ikke kræver mere indsats end at smide en adgangskode i en besked, vil folk bruge det.
Når adgangsproblemet kommer ud af kontrol
Problemet med legitimationsoplysninger forværres, efterhånden som teams vokser.
Seksogfirs procent af alle SMB’er er nu afhængige af cloud-baserede tjenester til den daglige drift. Det betyder typisk, at legitimationsoplysninger spredes over projektstyringsværktøjer, finansplatforme, marketingsoftware, fil-lagerplads og kundesystemer, der hver især har deres egne tilladelser og adgangshistorik.
At lade folk få adgang til systemer spredes ikke kun på tværs af systemer; det spredes på tværs af Deres organisation og flyder mellem teams, eksterne partnere, entreprenører og tidligere medarbejdere, som muligvis stadig bevarer en vej ind.
Dette betyder i virkeligheden, at legitimationsoplysninger hober sig op, gammel adgang fortsætter med at hænge ved, og antallet af personer, der har — eller har haft — nøglerne til Deres mest følsomme systemer, vokser ud over, hvad der er let at spore.
At have værktøjer er ikke det samme som at være beskyttet
De SMB’er, der oplevede databrud sidste år, sprang ikke over, hvor gærdet er lavest: 92 % investerede aktivt i sikkerhedsværktøjer. De havde en adgangskodeadministrator, krypteret e-mail, træningsprogrammer og skriftlige politikker på plads. Med andre ord så deres opsætninger solide ud på papiret.
Hvad mange manglede var konsekvent håndhævelse. Multifaktorgodkendelse (MFA) var slået til, men ikke påkrævet, og en adgangskodeadministrator blev udrullet, men ikke integreret i de daglige vaner, og onboarding- og offboarding-processer var noget man valgte at handle uformelt omkring frem for systematisk. Vi mistænker, i betragtning af populariteten af browser-baserede adgangskodeadministratorer, at mange ikke engang brugte en centraliseret team-platform overhovedet — men i stedet baserede sig på et kludetæppe af mindre sikre muligheder på individuel basis.
Hver af disse er en lille kløft, der forbliver usynlig, lige indtil den ikke længere er det.
Den reelle målestok for en sikkerhedskonfiguration er ikke, hvilke værktøjer der er på listen, men om disse værktøjer holder stand under det daglige pres fra den måde, folk rent faktisk arbejder på.
Her er nogle praksisser, der kan hjælpe med at bringe denne virkelighed tættere på Deres virksomhed:
- Brug en adgangskodeadministrator, der er bygget til teams. Browser-adgangskodeadministratorer er ikke blot mindre sikre, de mangler også de admin-værktøjer, ledere har brug for til at opretholde fuld kontrol over Deres konti. Medmindre De har en virksomhedsadgangskodeadministrator, der er nem at bruge, vil det ikke være tilstrækkeligt.
- Gennemgå, hvem der i øjeblikket har adgang til hvad. Tjek brugerlisterne på Deres mest følsomme værktøjer, og se, om nogen navne på dem kommer som en overraskelse.
- Erstat delte logins med individuelle konti. Selvom det er nemt at dele logins i en adgangskodeadministrator, er det ikke bedste praksis: Delte logins reducerer synligheden på kontoniveau, hvilket gør det sværere at identificere og reagere på et databrud.
- Gør multifaktorgodkendelse til et krav. MFA er en af de mest effektive beskyttelser, der findes — men kun når det håndhæves som standard og ikke efterlades som en valgfri indstilling.
- Gør offboarding systematisk. Enhver fratrædelse, uanset om det er en medarbejder, entreprenør eller leverandør, bør udløse en gennemgang af adgang øjeblikkeligt frem for som en eftertanke.
Vil De vide, hvad De ellers kunne lære af vores undersøgelse af 3.000 erhvervsledere på tværs af seks nøglemarkeder? Læs mere i vores SMB Cybersecurity Report 2026. De vil lære, hvad der forårsager databrud, og hvad de faktisk koster, hvor menneskelige fejl oftest viser sig, samt hvordan adoption af skyen og kunstig intelligens skaber nye blinde vinkler. Den indeholder også praktiske trin til at styrke beskyttelsen, der holder i virkelige situationer.
