22-02-2026

Identitetsbaserede cyberangreb åbner døren i ni ud af ti indbrud

87 procent af indbruddene spænder over flere angrebsflader – i nogle tilfælde helt op til ti.

Cyberkriminelle er gået fra at eksperimentere med AI til målrettet og omfattende anvendelse i stor skala. Samtidig udnyttes svagheder i digital identitetshåndtering i næsten ni ud af ti indbrud. Det fremgår af analyserne fra californiske Palo Alto Networks’ analyseafdeling, Unit 42, i cybersikkerhedsrapporten Global Incident Response Report 2026.

Rapporten giver et detaljeret billede af, hvordan moderne angreb gennemføres, hvor hurtigt de udvikler sig – og hvor organisationers forsvar svigter.

Firedobling af angrebstempoet

I løbet af året er AI blevet en tydelig kraftmultiplikator. I de hurtigste tilfælde er tiden fra indbrud til dataeksfiltration reduceret fra næsten fem timer til lidt over én time (72 minutter) – en firedobling af angrebstempoet. For forsvarere betyder det, at manuelle processer og traditionelle arbejdsgange ikke længere er tilstrækkelige.

Identitetshåndtering er afgørende

Identitet er fortsat den dominerende indgangsvej for angribere. I tæt på 90 procent af alle undersøgelser spillede mangler i identitetshåndteringen en afgørende rolle. 65 procent af den indledende adgang skete via identitetsbaserede teknikker som social manipulation, mens sårbarheder stod for 22 procent. I takt med, at antallet af maskin- og tjenesteidentiteter vokser hurtigt, forværres problemet yderligere, da disse ofte har ubegrundet høje rettigheder og overvåges inkonsekvent.

Angreb relateret til leverandørkæden er også under forandring. Angreb, der involverer tredjeparts-SaaS-applikationer, er steget 3,8 gange siden 2022 og udgør nu 23 procent af hændelserne. I stedet for at bryde sig direkte ind udnytter angribere betroede forbindelser gennem stjålne OAuth-tokens eller API-nøgler for at bevæge sig videre i systemerne.

Øget kompleksitet

Rapporten viser desuden, at kompleksiteten i angrebene er stigende. 87 procent af indbruddene spænder over flere angrebsflader – i nogle tilfælde op til ti. Truslerne bevæger sig mellem klienter, netværk, cloud-, SaaS- og identitetssystemer, hvilket stiller krav om sammenhængende synlighed på tværs af hele infrastrukturen.

Webbrowseren er desuden blevet en almindelig angrebsflade. Næsten halvdelen (48 procent) af alle hændelser involverede browserbaseret aktivitet, hvilket afspejler, hvordan dagligdags handlinger som e-mail, browsing og brug af cloudtjenester ofte bliver springbræt for angreb.

Også afpresningsangrebene er under forandring. Andelen af hændelser, hvor angribere krypterer data, er faldet til 78 procent sammenlignet med 92 procent året før. I stadig flere tilfælde springes krypteringen over til fordel for direkte datatyveri og systemforstyrrelser – hurtigere, mere lydløst og med øjeblikkelig effekt.