En penetrationstest er et kontrolleret, autoriseret forsøg på at bryde ind i din virksomheds IT-systemer — udført af sikkerhedseksperter, som du selv har hyret. Målet er at finde svaghederne, inden en rigtig angriber gør det. Det lyder måske som noget kun store virksomheder har råd til og brug for. Det er ikke helt rigtigt.

Hvad sker der under en penetrationstest?

En pentest (som det ofte forkortes) følger typisk samme trin som et rigtigt angreb — men med klare regler og dokumentation:

  1. Rekognoscering — testerne kortlægger jeres synlige angrebsflade: domæner, IP-adresser, offentlige tjenester, e-mailadresser.
  2. Scanning og sårbarhedsidentifikation — automatiserede og manuelle tests afdækker potentielle indgangspunkter.
  3. Udnyttelse — testerne forsøger aktivt at udnytte de fundne sårbarheder for at opnå adgang.
  4. Post-exploitation — hvad kan en angriber gøre, når de er inde? Kan de eskalere rettigheder, bevæge sig lateralt, nå følsomme data?
  5. Rapport — en detaljeret rapport med alle fund, alvorlighed, og konkrete anbefalinger til rettelse.

Penetrationstest vs. sårbarhedsscanning

Disse to ting forveksles ofte. En sårbarhedsscanning er automatiseret — et værktøj scanner systemer og rapporterer kendte sårbarheder baseret på en database. Det er relativt billigt og hurtigt, men det fortæller ikke om sårbarhederne faktisk kan udnyttes.

En penetrationstest er manuel og intelligent. En sikkerhedsekspert kombinerer tekniske værktøjer med kreativt angrebstænkning — ligesom en rigtig angriber ville. Det afslører ikke blot kendte sårbarheder, men også logiske svagheder, forkert konfigurerede systemer og kombinationsangreb, som ingen automatiseret scanner ville finde.

Priseksempel for Danmark: En ekstern penetrationstest af et typisk SMV-netværk koster typisk 15.000–60.000 kr., afhængigt af scope og kompleksitet. En webapplikationstest ligger typisk i 20.000–80.000 kr.-klassen. Det lyder som mange penge — men er det billigt sammenlignet med konsekvenserne af et vellykket angreb.

Hvem har brug for en penetrationstest?

Ikke alle SMV'er har akut behov for en fuld pentest. Men disse signaler indikerer, at det er tid til at overveje det:

  • I er underlagt regulering — NIS2, PCI-DSS, ISO 27001 eller branchespecifikke krav
  • I håndterer følsomme personoplysninger eller fortrolige kundedata
  • I har for nylig ændret jeres IT-infrastruktur markant (migration til sky, ny firewall, nyt system)
  • En vigtig kunde eller partner kræver dokumentation af jeres sikkerhedsniveau
  • I vil bare vide, hvad en angriber ville finde — og have et ærligt svar

Hvad gør du med resultaterne?

En pentest er ubrugelig, hvis rapporten ender i en skuffe. Brug den aktivt:

  • Prioritér fund efter alvorlighed — ret de kritiske inden for dage, ikke måneder
  • Brug rapporten som grundlag for jeres sikkerhedsbudget og prioriteringer
  • Lav en opfølgningstest 6–12 måneder senere for at verificere at rettelserne holder

En penetrationstest er et snapshots af jeres sikkerhedsniveau på ét givent tidspunkt. Kombinér det med løbende sårbarhedsscanning og god IT-hygiejne for at få den fulde effekt.