Tel: 70 26 48 50
Opret din support sag Support ikon      Remote support TeamViewer logo

IT-sikkerhed for advokater og revisorer: Tjekliste til M365

 

IT-sikkerhed for advokater og revisorer: Den konkrete M365-tjekliste

Af Sten Albert Person A-one Solutions ·
·
Kategori: IT-sikkerhed

Jeres klienter betror jer deres mest følsomme data — regnskaber, sagsakter, CPR-numre og pas-kopier. Alligevel sender mange advokat- og revisionshuse stadig fortrolige dokumenter som ukrypterede e-mailvedhæftninger. Ifølge ABA’s Cybersecurity Tech Report (2025) har 36 % af advokatfirmaer oplevet et sikkerhedsbrud inden for det seneste år. Denne artikel giver jer den præcise IT-sikkerhedsopsætning i Microsoft 365, der beskytter klientdata og opfylder Datatilsynets krav.

Det vigtigste fra denne artikel

  • Phishing og dobbelt-afpresning er de primære trusler mod advokater og revisorer — hackere truer med at lække klientdata, ikke bare kryptere det.
  • MFA på alle konti er ikke valgfrit. Datatilsynet udsteder konsekvent alvorlig kritik til firmaer uden MFA på fjernadgang og mail.
  • Microsoft Purview DLP kan automatisk blokere afsendelse af CPR-numre og regnskabsdata til forkerte modtagere — aktivér det i dag.
  • NIS2 rammer jer indirekte: Jeres store erhvervsklienter vil kræve dokumenteret IT-sikkerhed af jer som leverandør.
  • Shadow AI bryder tavshedspligten: Medarbejdere der bruger ChatGPT til sagsbehandling sender potentielt klientdata ud af jeres kontrol.
  • KYC-dokumenter i indbakken (pas, kørekort) er en GDPR-bombe — flyt dem til et sikret SharePoint-bibliotek med adgangsstyring.

Oversigt over trusselsbilledet for advokat- og revisionshuse med fokus på phishing og ransomware

Hvorfor hackere målretter advokater og revisorer

Ransomware-grupper har ændret taktik. De krypterer ikke bare jeres filer — de kopierer dem først og truer med at offentliggøre klienternes data. Canadian Centre for Cyber Security (2025) klassificerer advokater og revisorer som “prioriterede mål” for denne dobbelt-afpresning. Grunden er enkel: jeres data er ekstremt værdifuld, og jeres omdømme er ekstremt sårbart.

Et advokatfirma, der får lækket klienters sagsakter, mister ikke bare en sag. Det mister klienter, omdømme og potentielt retten til at praktisere. For et revisionshus kan lækkede regnskaber betyde, at børsnoterede klienter skifter revisor øjeblikkeligt.

Angrebsvejen er næsten altid den samme: en phishing-mail, der ligner en besked fra en klient eller en domstol. Én medarbejder klikker. Ifølge Microsofts Digital Defense Report mangler 99 % af kompromitterede konti MFA. Det er den lavthængende frugt, hackerne plukker først.

Sådan rammer NIS2 jer — selvom I er under 50 ansatte

NIS2 gælder direkte for virksomheder i kritisk infrastruktur. Men her er pointen: jeres klienter i energi, finans og sundhed er omfattet. Og de skal dokumentere, at deres leverandørkæde er sikker. Det inkluderer jer.

Konkret betyder det, at jeres erhvervsklienter vil stille krav om:

  • Dokumenteret MFA og adgangsstyring
  • Krypteret kommunikation og fildeling
  • Incident response-plan (hvad gør I ved et brud?)
  • Årlig sikkerhedsaudit af jeres IT-leverandør

Kan I ikke fremvise det, risikerer I at miste klienten. Ikke fordi Datatilsynet banker på døren — men fordi klienten ikke har råd til at beholde jer som leverandør under NIS2.

Det usynlige datalæk: E-mail som sikkerhedshul

Før: En revisor sender et regnskabsudkast med CPR-numre som PDF-vedhæftning til klienten. Mailen sendes ukrypteret. Revisoren taster forkert modtager. Regnskabet lander hos en fremmed.

Efter: Microsoft Purview DLP scanner automatisk udgående mails og Teams-beskeder for CPR-numre, kontonumre og andre følsomme datatyper. Mailen blokeres, revisoren får en advarsel, og hændelsen logges. Nul datalæk, fuld dokumentation.

Det samme gælder KYC-dokumenter. Hvidvaskloven kræver, at I indsamler pas og kørekort fra klienter. Men hvis de ligger som vedhæftninger i indbakken — tilgængelige for alle med adgang til den delte postkasse — bryder I GDPR’s krav om “need-to-know” adgangsstyring. Flyt dem til et dedikeret SharePoint-bibliotek med begrænsede rettigheder og automatisk retention-politik.

Microsoft Purview DLP blokerer afsendelse af følsomme klientdata i Outlook

Tjekliste: 10 M365-sikkerhedskrav for advokater og revisorer

Denne tjekliste dækker det, Datatilsynet forventer af et rådgivningshus, der behandler artikel 9-data (helbredsoplysninger, straffedomme) og finansielle persondata.

# Krav Hvad I kigger efter M365-værktøj
1 MFA på alle konti Ingen undtagelser — heller ikke for partnere Entra ID + Conditional Access
2 Conditional Access-politikker Blokér login fra ukendte enheder og lande Entra ID P1 (inkl. i Business Premium)
3 DLP-politikker for CPR og finansdata Automatisk blokering af følsomme data i mail og Teams Microsoft Purview DLP
4 Sensitivity labels på sagsakter Dokumenter klassificeret som “Fortroligt” kan ikke videresendes Microsoft Purview Information Protection
5 Sikker fildeling med klienter SharePoint/OneDrive med link-udløb og adgangskode — ikke e-mailvedhæftninger SharePoint Online + OneDrive
6 EDR på alle enheder Endpoint Detection & Response — ikke kun antivirus Microsoft Defender for Business
7 Adgangsstyring (need-to-know) Kun sagsansvarlige har adgang til sagsmapper SharePoint-tilladelser + Entra ID-grupper
8 Mailkryptering Kryptér automatisk mails med følsomt indhold Microsoft Purview Message Encryption
9 Shadow AI-politik Formel politik der forbyder brug af public AI til klientdata Organisationspolitik + M365 Copilot som alternativ
10 Incident response-plan Dokumenteret plan: hvem gør hvad inden for 72 timer? Intern procedure + MSP-aftale

Bruger I Microsoft 365 Business Premium, har I allerede adgang til værktøjerne i punkt 1–8. De skal bare aktiveres og konfigureres korrekt. Det er forskellen mellem at have en branddør og at have låst den.

Få et sikkerhedstjek af jeres M365-opsætning

Vi gennemgår jeres Microsoft 365-miljø og identificerer de konkrete huller i MFA, DLP og adgangsstyring — specifikt tilpasset advokat- og revisionshuse. Book et uforpligtende sikkerhedstjek her.

Shadow AI: Tavshedspligten I ikke vidste, I brød

Før: En advokatfuldmægtig kopierer et kontraktudkast ind i ChatGPT for at få hjælp til formuleringer. Klientens forretningshemmeligheder forlader firmaets kontrol og indgår potentielt i AI-modellens træningsdata.

Efter: Firmaet udruller M365 Copilot med datagrænser, der sikrer, at al AI-behandling sker inden for firmaets egen M365-tenant. Klientdata forlader aldrig miljøet. Og med AI-forordningen i kraft skal I desuden dokumentere, hvordan I bruger AI til juridisk rådgivning eller finansiel profilering.

Ifølge Danske IT-Advokaters survey har 50 % af den juridiske branche fokus på AI — men GDPR og AI-forordningen ses som de største barrierer. Løsningen er ikke at forbyde AI. Det er at kanalisere den gennem sikre værktøjer med dokumenteret data-governance.

Sammenligning af Shadow AI-risiko versus sikker brug af M365 Copilot i advokatfirma

Fejl der koster: Jeres IT-leverandør som sikkerhedsrisiko

ENISA’s Threat Landscape (2025) peger på kompromittering af MSP’er (IT-leverandører) som en af de største risici for SMB’er. Jeres IT-leverandør har typisk fuld administratoradgang til jeres M365-miljø, servere og backup. Hvis de bliver hacket, er I hacket.

Stil disse krav til jeres IT-leverandør:

  • MFA på alle admin-konti — uden undtagelse
  • Privileged Access Management (tidsbegrænset adgang, ikke permanent admin)
  • Årlig penetrationstest eller sikkerhedsaudit
  • Dokumenteret incident response-procedure med definerede svartider
  • Databehandleraftale der specifikt dækker jeres artikel 9-data

FAQ: IT-sikkerhed for advokater og revisorer

Hvilken M365-licens skal et advokatfirma bruge?

Microsoft 365 Business Premium. Den inkluderer Conditional Access, Defender for Business (EDR), Purview DLP og Information Protection. Det er det minimum, Datatilsynet reelt forventer, når I behandler artikel 9-data og fortrolige sagsakter.

Er MFA nok til at beskytte vores klientdata?

MFA stopper 99 % af konto-kompromitteringer ifølge Microsoft. Men det er ét lag. Kombinér det med Conditional Access (blokér ukendte enheder), DLP (stop datalæk) og EDR (stop malware på endpoints). MFA er fundamentet — ikke hele bygningen.

Hvordan deler vi dokumenter sikkert med klienter uden e-mail?

Brug SharePoint Online eller OneDrive med delingslinks, der har udløbsdato og adgangskode. Klienten modtager et link i stedet for en vedhæftning. I styrer, hvem der kan se dokumentet, og I kan trække adgangen tilbage når som helst.

Rammer NIS2 os, selvom vi er under 50 ansatte?

Ikke direkte. Men jeres erhvervsklienter i regulerede brancher skal dokumentere leverandørkædens sikkerhed. De vil kræve, at I kan fremvise MFA, kryptering, incident response-plan og en opdateret databehandleraftale. Kan I ikke det, risikerer I at miste dem.

Må vores medarbejdere bruge ChatGPT til sagsbehandling?

Ikke med klientdata. Public AI-værktøjer giver ingen garanti for, at data ikke bruges til træning eller opbevares uden for EU. Brug M365 Copilot, der behandler data inden for jeres tenant og overholder GDPR. Lav en skriftlig politik, og håndhæv den.

Hvordan opbevarer vi KYC-dokumenter (pas/kørekort) sikkert?

Opret et dedikeret SharePoint-bibliotek med begrænsede rettigheder (kun compliance-ansvarlige). Sæt en retention-politik, så dokumenter automatisk slettes, når opbevaringspligten udløber. Lad dem aldrig ligge i en delt indbakke.

Hvad koster et databrud reelt for et advokatfirma?

Datatilsynets bøde er kun begyndelsen. Regn med: tabte klienter (omdømmeskade), nedetid (dage til uger), forensic-undersøgelse, juridisk rådgivning, og potentielt erstatningskrav fra berørte klienter. For et firma med 10–30 ansatte kan det samlede tab nemt overstige en million kroner.

Sådan kommer I i gang: 5 konkrete skridt

  1. Auditér jeres M365-opsætning i denne uge: Tjek om MFA er aktiveret på alle konti — inklusiv partnere og servicekonti. Log ind på entra.microsoft.com og verificér under “Authentication methods”.
  2. Aktivér DLP-politikker for CPR-numre inden månedens udgang: Opret en Purview DLP-politik, der scanner udgående mails og Teams-beskeder for danske CPR-numre og blokerer afsendelse til eksterne modtagere.
  3. Flyt KYC-dokumenter ud af indbakken: Opret et SharePoint-bibliotek med begrænset adgang til KYC-data. Sæt en retention-politik på 5 år (eller hvad hvidvaskloven kræver for jeres segment).
  4. Indfør en skriftlig Shadow AI-politik: Kommunikér klart til alle medarbejdere, at klientdata ikke må indtastes i public AI-værktøjer. Dokumentér politikken, og overvej M365 Copilot som det godkendte alternativ.
  5. Stil krav til jeres IT-leverandør: Bed om dokumentation for MFA på admin-konti, privileged access management og en opdateret incident response-plan. Har de ikke det, er det tid til en ny samtale.

 

Facebook Linkedin

Artikler om Sikkerhed

E-mail sikkerhed beskytte din virksomheds kommunikation mod phishing og svindel

E-mail sikkerhed er en gratis garanti hos os!

Bya-os.dk 07/03/2024
Mand arbejder koncentreret ved computer med fokus på Microsoft 365 Backup sikkerhed

Microsoft 365 Backup & Archive – hurtig og præcis hjælp

Bya-os.dk 10/10/2023

Tilmeld dig vores nyhedsbrev

Synes du også det er fantastisk at lære nye ting? Tilmeld dig til vores nyhedsbrev, og få opdateringer og tilbud.

Ved at tilmelde, accepterer du vores datapolitik

Kontakt os

Har du flere spørgsmål? Vi står klar ved linjen

Du kan ringe til dette nummer for alle relvante sprøgsmål eller support.

+45 70 26 48 50

Book møde
IT support firma medarbejder hjælper erhvervskunde med teknisk løsning

Skal vi tage et kig på jeres IT?

Skriv jer op — vi kontakter dig inden for én arbejdsdag med en uforpligtende vurdering?