Mads PedersenPete Hegseth stilles over for 6 rigsretspunkter: hvad Signal-skandalen lærer danske virksomheder om digital sikkerhed
I april 2026 indgav amerikanske demokrater seks artikler om rigsretssag mod USA's forsvarsminister Pete Hegseth. Anklagerne spænder fra magtmisbrug til krigsforbrydelser – men det, der startede det hele, var en forbavsende simpel fejl: en forkert tilføjet kontakt i en gruppe på beskedappen Signal.
Fejlen afslørede detaljerede, klassificerede oplysninger om amerikanske militæroperationer mod Houthi-militsen i Yemen til en journalist – og endte med en Pentagon-undersøgelse, der konkluderede, at informationslækagen "ville have bragt amerikanske soldater og missionen i fare". For IT-eksperter og virksomhedsledere verden over – inklusive i Danmark – er sagen en case-study i, hvad der sker, når digitale kommunikationsværktøjer bruges forkert.
Hvad skete der præcist?
I foråret 2025 oprettede den daværende nationale sikkerhedsrådgiver Mike Waltz en gruppebesked på Signal om forestående militæroperationer. Ved en fejl blev Jeffrey Goldberg, chefredaktør for det amerikanske tidsskrift The Atlantic, tilføjet til gruppen.
Inden fejlen blev opdaget, nåede Hegseth at dele detaljerede oplysninger om flytyper, missilsystemer, afgangs- og angrebstidspunkter for de planlagte angreb. Oplysningerne kom fra en e-mail klassificeret som "SECRET/NOFORN" – det vil sige "uautoriseret offentliggørelse ville med rimelighed kunne forventes at forårsage alvorlig skade på national sikkerhed og dele ikke med udenlandske statsborgere".
Hegseth brugte desuden sin private mobiltelefon frem for en regeringsudstedt sikkerhedsgodkendt enhed – direkte i strid med Pentagon-protokollen for håndtering af klassificerede oplysninger.
Menneskelig fejl som den største cybertrussel
En af de vigtigste pointer for danske virksomheder er, at den amerikanske skandale ikke skyldes en sofistikeret hackerangreb, et zero-day exploit eller statslig cyberspionage. Det skyldes menneskelig fejl.
Ifølge Center for Cybersikkerhed (CFCS) er menneskelige fejl og utilstrækkelig sikkerhedskultur fortsat en af de primære årsager til virksomhedernes eksponering for digitale trusler i Danmark. Det er ikke nødvendigvis den ondsindede insider, der udgør den største risiko – det er den travle medarbejder, der sender en fil til den forkerte modtager, bruger sin private telefon til arbejdsmail eller vælger en nem password frem for en sikker.
Hegseth-sagen er ekstraordinær i sin skala, men strukturen er genkendelig: en udbredt og populær beskedapp, kombineret med fortroligt indhold og et øjebliks uopmærksomhed, skabte en katastrofe.
Signal: sikker app, forkert kontekst
Signal er i udgangspunktet en af de mest sikre forbrugerbeskedapps på markedet. Appen anvender end-to-end-kryptering, og selskabet bag har stærke data-privatlivspolitikker. Det er netop derfor, mange journalister, aktivister og privatpersoner anvender den til følsom kommunikation.
Men Signal er designet til forbrugere – ikke til behandling af klassificeret statsinformation eller fortrolige virksomhedsdata. Der er ingen integrationsstyring, ingen adgangskontrol baseret på ansattes roller og heller ingen loggning, der opfylder kravene til revisionsspor i virksomhedssammenhæng.
For danske virksomheder rejser dette et konkret spørgsmål: bruger dine medarbejdere WhatsApp, Signal eller andre forbruger-apps til at dele kundeinformation, kontrakter eller interne strategier? Hvis svaret er ja – eller måske – bør det give anledning til en seriøs gennemgang af virksomhedens kommunikationspolitik.
Hvad siger dansk lovgivning om virksomhedskommunikation?
I Danmark er behandlingen af persondata og fortrolige oplysninger reguleret af en række regler:
GDPR. Datatilsynet kan pålægge bøder på op til fire procent af en virksomheds globale årsomsætning, hvis personoplysninger håndteres på usikker vis. Det inkluderer situationer, hvor data sendes via usikre kanaler eller utilsigtet deles med uautoriserede parter.
NIS2-direktivet. Fra 2024 er en lang række danske virksomheder inden for kritisk infrastruktur – energi, transport, sundhed, digital infrastruktur, finans med flere – forpligtede til at overholde det opdaterede NIS2-direktiv. Det stiller krav om styring af cybersikkerhedsrisici, herunder medarbejdernes brug af kommunikationsværktøjer.
Fortrolighedsaftaler og handelshemmeligheder. Ifølge loven om forretningshemmeligheder kan brud på fortrolighed have alvorlige konsekvenser – også for den medarbejder, der ved en fejl sender en fortrolig fil til den forkerte.
5 konkrete råd til sikker digital kommunikation
Hegseth-sagen illustrerer behovet for klare politikker og god adfærd. Her er fem skridt, enhver virksomhed kan tage:
1. Indfør en klar kommunikationspolitik. Bestem hvilke kanaler der er godkendt til hvilke typer information. Fortrolig kommunikation hører hjemme i godkendte, virksomhedskontrollerede systemer – ikke i private beskedapps.
2. Brug to-faktor-autentificering. To-faktor-autentificering (2FA) er en af de enkleste og mest effektive foranstaltninger mod uautoriseret adgang. Aktiver det på alle virksomhedskonti.
3. Undgå privat hardware til arbejdsformål. Medarbejderes private enheder er sjældent beskyttet af de samme sikkerhedsstandarder som virksomhedens systemer. Etabler klare retningslinjer for BYOD (bring your own device).
4. Træn medarbejderne. Menneskelige fejl er ikke elimineret med teknologi alene. Løbende sikkerhedstræning og awareness-programmer reducerer risikoen for fejl markant.
5. Gennemfør regelmæssige risikovurderinger. En IT-sikkerhedsekspert kan hjælpe med at identificere svage punkter i virksomhedens kommunikationsinfrastruktur, inden de udnyttes.
Hvem kan hjælpe din virksomhed?
Signal-skandalen er i sin kerne en menneskelig fejl forstærket af manglende strukturer. For danske virksomheder er svaret ikke nødvendigvis store investeringer i ny teknologi – det starter med at kortlægge, hvad der allerede sker i virksomheden, og få professionel rådgivning om, hvor risikoen er størst.
En IT-sikkerhedsrådgiver hos ExpertZoom kan hjælpe din virksomhed med at vurdere jeres kommunikationspolitik, identificere sikkerhedshuller og sikre, at I er på rette side af GDPR og NIS2-lovgivningen.
Se også: USA fyrer hærchef under krig: hvad det betyder for europæisk IT-sikkerhed
Ifølge Center for Cybersikkerheds vejledning til virksomheder er cybertruslen mod danske virksomheder fortsat høj – og menneskelig adfærd spiller en central rolle i, hvor sårbare de er.
