IT-sikkerhed 2026: Antivirus stopper ikke AI-angreb
Hvis I stadig måler sikkerhed på, om “antivirus er installeret”, er I bagud i 2026. AI gør phishing mere troværdig, og angribere går efter login-sessions frem for adgangskoder. Samtidig er NIS2 ikke længere et projekt, men en driftsopgave med dokumentation. Her får I en praktisk plan, der løfter jeres beskyttelse uden at drukne jer i administration.
- Skift fokus fra antivirus til EDR/XDR: Udrul Microsoft Defender for Business og få adfærdsbaseret detektion + automatiske responser på endpoints.
- Gør MFA phishing-resistent: Prioritér FIDO2/passkeys og håndhæv Conditional Access med enhedskrav (Intune-compliance) mod token theft.
- Drift NIS2 som et årshjul: Fast kvartalsrytme for logs, leverandørkontrol, tests og dokumentation – så I kan bevise “kontrol i praksis”.
- Reducer data-læk via deling: Brug Sensitivity Labels og konkrete delingsregler i Microsoft 365, så Copilot og brugere ikke oversharer.
- Mål og prioriter: Brug Secure Score som backlog, men kun med ændringer I kan håndhæve og vedligeholde.
Hvorfor antivirus ikke er nok til IT-sikkerhed 2026
Klassisk antivirus leder primært efter kendte signaturer. Det hjælper mod “gårsdagens” malware, men rammer ofte for sent, når angrebet ændrer sig hurtigt. I 2026 ser vi især to skift i trusselsbilledet:
- AI phishing: Mails og beskeder har færre sproglige fejl og bedre timing. Det øger klikraten og gør menneskelig “mavefornemmelse” mindre værd.
- Token theft: Angriberen stjæler en aktiv session (cookies/tokens) og omgår dermed MFA, fordi brugeren allerede er logget ind.
Microsoft beskriver samme bevægelse i Microsoft Digital Defense Report 2025: ransomware handler i højere grad om datatyveri + afpresning frem for kun kryptering. Det betyder, at “vi kan restore fra backup” ikke alene er en plan.
EDR vs antivirus: beslutningsregel
Hvis I kun har antivirus, opdager I typisk angrebet, når skade er sket. Med EDR (Endpoint Detection and Response) får I signaler fra adfærd, processer og forbindelser, så I kan stoppe og isolere hurtigere.
Tommelregel: Har I mere end 25 pc’er, fjernarbejde eller M365 i skyen, så er EDR minimum. Har I compliance-krav (fx NIS2-krav til IT-sikkerhed) eller begrænset intern IT-bemanding, så er Managed XDR ofte næste skridt, fordi alarmer ellers ender som støj.
Før → Efter #1
Før: Antivirus installeret, ingen central opfølgning på hændelser, alarmer ignoreres.
Efter: Defender for Business med central portal, automatisk isolering af kompromitteret enhed og en klar triage-proces for alarmer.
Sådan lukker I hullet: identitet, Conditional Access og enhedskrav
MFA er stadig nødvendig, men den er ikke en garanti. To mønstre går igen: MFA fatigue (brugeren godkender af træthed) og token theft (MFA omgås via sessionen). Løsningen er at kombinere login-krav med enhedskontrol.
Minimumspakke i Microsoft 365 (praktisk)
- Phishing-resistant MFA: FIDO2-sikkerhedsnøgler eller passkeys til nøglepersoner først (økonomi, ledelse, IT, HR).
- Conditional Access: Blokér login fra ukendte lande, kræv “compliant device” og håndhæv stærkere krav ved risikable logins.
- Intune-compliance: Kryptering, skærmlås, opdateringsniveau og ikke-jailbroken/rooted som minimum.
- Privat mobil (BYOD): Brug App Protection Policies (MAM), så firmadata i Outlook/Teams kan beskyttes uden fuld MDM-overvågning.
Før → Efter #2
Før: SMS-koder til alle, adgang fra enhver enhed, ingen forskel på lav/høj risiko.
Efter: Passkeys til kritiske brugere, adgang kun fra compliant enheder, og trinvise krav når risikoen stiger.
Vil I vide, hvor jeres største risiko ligger? Bestil et gratis Security Check hos A-one Solutions. I får en prioriteret liste med de 10 vigtigste ændringer i Microsoft 365 (inkl. Secure Score og Conditional Access), så I kan lukke huller uden at ramme driften.
Læs mere om vores IT-sikkerhed eller tag fat i os via kontakt.
Tjekliste: NIS2 i drift – kvartalsvis sikkerhedstjek (Day 2)
NIS2 bliver ofte tolket som “vi lavede en politik”. I 2026 kigger tilsyn og kunder mere på, om I kan vise løbende kontrol. Brug denne kvartals-tjekliste som fast rutine. Hold den kort, men konsekvent.
| Kontrol | Hvad I gør | Hvad I kigger efter | Dokumentation |
|---|---|---|---|
| Identitet & adgang | Auditér MFA-metoder, Conditional Access og admin-konti | SMS/MFA-spam, manglende phishing-resistant MFA på nøglebrugere, for brede undtagelser | Export af politikker + liste over break-glass konti og ejerskab |
| Endpoint-sikkerhed | Gennemgå Defender-hændelser og enheders compliance | Enheder uden EDR, manglende disk-kryptering, forældede OS-versioner | Rapport over compliance + hændelseslog med triage-noter |
| Email & domæne | Kontrollér SPF/DKIM/DMARC og mailflow | DMARC = none, høj andel spoofing-forsøg, mange “quarantine” uden opfølgning | Skærmbilleder/exports af DNS + rapport fra mail security |
| Data & deling | Review gæsteadgang, delingslinks og labels | ”Anyone links”, ubegrænset gæsteadgang, manglende labels på fortrolige dokumenter | Liste over gæster + delingspolitik + label-policy |
| Backup & gendannelse | Test restore af M365-data og kritiske servere | Restore tager for lang tid, manglende immutability, manglende adskilte admin-rettigheder | Restore-testlog med tid, scope og resultat |
| Leverandørstyring | Opdatér liste over IT-leverandører + adgange | Uklar ansvarfordeling, delte admin-konti, manglende SLA for hændelser | Leverandøroversigt + ansvar/RACI + SLA/kontraktbilag |
Fejl der koster jer mest: når alarmer ikke bliver drift
De dyreste fejl i SMB’er er sjældent “vi mangler et værktøj”. Det er, at ingen har tid til at bruge det.
- Ubehandlede alarmer: Defender alarmer ligger urørte, fordi ingen ejer triage. Aftal responstider og hvem der tager hvad.
- Undtagelser der bliver permanente: “Midlertidig” bypass i Conditional Access ender med at være standard. Sæt udløbsdato på undtagelser.
- For brede admin-rettigheder: Globale admins til daglig drift øger blast radius. Brug Just Enough Access og separate admin-konti.
- Copilot/AI uden datahygiejne: Hvis SharePoint er et “alt-i-en” arkiv uden labels og adgangsstyring, så kan AI finde og vise for meget.
Hvordan vælger I mellem Microsoft 365 Business Premium sikkerhed og “tilkøb”?
Mange spørger efter Microsoft Defender for Business pris, men den rigtige beslutning er: Hvilket sikkerhedsniveau kan I drifte med jeres bemanding?
Brug denne beslutningsregel:
- Business Premium: Godt match hvis I vil have en samlet pakke til identitet + enheder + grundlæggende EDR og I vil standardisere på Intune.
- E3/E5-tilgang: Relevant hvis I har strengere compliance-krav, større miljøer eller behov for mere avanceret logning og governance.
- Managed drift (MSP): Vælg dette hvis I ikke har nogen, der dagligt følger op på alarmer, patches, compliance og ændringer. Værktøjet alene skaber ikke sikkerhed.
Vi hjælper typisk med at mappe jeres krav til en konkret opsætning og drift, så I ikke betaler for funktioner, der aldrig bliver brugt. Se vores ydelser inden for Microsoft 365 og drift.
FAQ om IT-sikkerhed 2026
Hvad betyder IT-sikkerhed 2026 i praksis?
At I beskytter identitet, enheder og data samlet. Minimum er EDR på endpoints, stærk login-kontrol (Conditional Access + phishing-resistant MFA til nøglebrugere) og en fast rutine for log-gennemgang og dokumentation.
EDR vs antivirus: skal vi have begge?
Ja, men i praksis lever EDR ofte “ovenpå” den indbyggede antivirusmotor. Beslutningen er ikke enten/eller: Sørg for at have adfærdsbaseret detektion og en proces for at reagere på hændelser.
Hvordan beskytter vi os mod AI phishing, når mails ser ægte ud?
Kombinér teknik og proces: håndhæv DMARC/SPF/DKIM, brug anti-phishing policies, og fjern “hurtige godkendelser” ved at flytte nøglebrugere til passkeys/FIDO2. Træn medarbejdere i at verificere betalinger og kontoskift via en anden kanal.
Hvorfor er MFA ikke nok mod token theft?
Hvis angriberen stjæler en aktiv session, behøver de ikke spørge efter MFA igen. Luk hullet ved at kræve compliant enheder, begrænse sessions, og bruge risikobaserede politikker i Conditional Access. Start med admin- og økonomikonti.
Hvad er de mest konkrete NIS2-krav til IT-sikkerhed, vi skal kunne dokumentere?
At I kan vise styring af adgang, hændelseshåndtering, backup/restore-test, leverandørkontrol og løbende forbedringer. Brug et kvartals-hjul med exports/rapporter, så dokumentation ikke bliver et panikprojekt.
Hvordan undgår vi at Copilot deler fortrolige data?
Ryd op i rettigheder før I skalerer: fjern “alle kan se alt”-grupper, brug Sensitivity Labels på fortrolige dokumenter, og stop anonyme delingslinks. Hvis I ikke kan forklare, hvem der må se hvad, så er I ikke klar til AI på tværs.
Hvad er et realistisk første skridt, hvis vi ikke har en sikkerhedsansvarlig?
Lav en 2-timers workshop: kortlæg jeres kritiske konti, vælg 3 Conditional Access politikker, og beslut hvem der tager alarmer i Defender. Hvis ingen kan tage det ansvar, så læg det i en MSP/overvågningsaftale.
Sådan kommer I i gang (konkrete skridt de næste 30 dage)
- Kortlæg jeres 10 mest kritiske brugere og systemer (økonomi, ledelse, IT-admin, CRM/ERP).
- Udrul phishing-resistant MFA til mindst disse brugere (FIDO2/passkeys) og fjern SMS hvor muligt.
- Håndhæv 3 Conditional Access politikker: kræv compliant device, blokér højrisiko-login, og lås admin-adgang ned til faste betingelser.
- Standardisér enhedsbaseline i Intune: kryptering, patch-niveau, skærmlås, og minimum OS-krav.
- Aktivér og gennemgå Defender for Business alarmer ugentligt med en fast triage-liste (hvad lukkes, hvad eskaleres).
- Indfør et NIS2-kvartalstjek (tabellen ovenfor) og gem dokumentation samme sted hver gang.
- Test restore af én kritisk mailbox og ét SharePoint-site, og skriv tid + resultat ned.
