Statsrevisorerne beretning SB8/2018 - Bilag 6: Rigsrevisionens fortsatte notat af 18. september 2025 om beretning nr. 8/2018 om universiteternes beskyttelse af forskningsdata

Finansudvalget 2024-25
SB 8 6
Offentligt

Oktober 2025

Rigsrevisionens notat om

beretning om

universiteternes

beskyttelse af

forskningsdata

Statsrevisorerne beretning SB8/2018 - Bilag 6: Rigsrevisionens fortsatte notat af 18. september 2025 om beretning nr. 8/2018 om universiteternes beskyttelse af forskningsdata

Fortsat notat til Statsrevisorerne

Opfølgning i sagen om universiteternes beskyt-

telse af forskningsdata (beretning nr. 8/2018)

18. september 2025

RN 1405/25

I. Baggrund og konklusion

1. Rigsrevisionen følger i dette notat op på sagen om universiteternes be-

skyttelse af forskningsdata, som blev indledt med en beretning i 2019. Vi

har tidligere behandlet sagen i notater til Statsrevisorerne af 11. april 2019,

3. maj 2022 og 2. juni 2023.

2. Universiteterne har forskningsdata af stor værdi, som kan være potenti-

elle mål for cyberangreb eller cyberspionage. Formålet med undersøgel-

sen var derfor at vurdere, om universiteterne beskyttede forskningsdata i

tilstrækkelig grad.

I beretningen kortlagde Rigsrevisionen, om Københavns Universitet (KU),

Aarhus Universitet (AU), Aalborg Universitet (AAU), Syddansk Universitet

(SDU) og Danmarks Tekniske Universitet (DTU) beskyttede forskningsda-

ta i tilstrækkelig grad mod ukendt it-udstyr. Ukendt it-udstyr er udstyr, der

ikke bliver styret og kontrolleret af den centrale it-afdeling, som derfor ikke

har kendskab til og kontrol over sikkerheden af udstyret. Ukendt it-udstyr

kan fx være udstyr, som forskerne selv medbringer, eller forsknings- og la-

boratorieudstyr, som er indkøbt via universitetet for forskningsmidler.

Vi undersøgte bl.a., om universiteternes ledelse forholdt sig til risikoen ved

ukendt it-udstyr, om universiteterne blokerede deres netværk mod ukendt

hardware, og om universiteterne tillod, at forskere havde lokaladministra-

torrettigheder og dermed kontrol over den computer, som medarbejderen

arbejder ved og selv kan installere software på.

3. Da Statsrevisorerne behandlede beretningen, fandt de det utilfredsstil-

lende, at de fem største universiteter ikke beskyttede forskningsdata i til-

strækkelig grad, fx mod ukendt it-udstyr.

4. Rigsrevisionen konstaterede i den seneste opfølgning i juni 2023, at uni-

versiteterne havde iværksat en række tiltag i forhold til at øge beskyttelsen

af forskningsdata mod ukendt it-udstyr, men at de ikke var helt i mål med

at nedbringe risikoen.

Sagsforløb for en større

undersøgelse

Beretning

Ministerredegørelse

§ 18, stk. 4-notat

Fortsat notat

Sagen afsluttes

Du kan læse mere om

forløbet og de enkelte step

på

www.rigsrevisionen.dk

Statsrevisorerne beretning SB8/2018 - Bilag 6: Rigsrevisionens fortsatte notat af 18. september 2025 om beretning nr. 8/2018 om universiteternes beskyttelse af forskningsdata

Konklusion

KU, AU, AAU, SDU og DTU har siden opfølgningen i 2023 arbejdet videre

med en række tiltag i forhold til at øge beskyttelsen af forskningsdata mod

brug af ukendt it-udstyr. Selv om universiteterne har implementeret forskel-

lige initiativer, konstaterer Rigsrevisionen, at ingen af de fem universiteter

har nedbragt risikoen i tilstrækkelig grad. I lyset af den høje trussel fra cy-

berspionage og cyberkriminalitet mod danske universiteter finder Rigsrevi-

sionen det utilfredsstillende, at universiteterne ikke har sikret, at forsknings-

data er tilstrækkeligt beskyttet mod risikoen ved at tillade ukendt it-udstyr.

Det drejer sig primært om, at ingen af de fem universiteter fuldt ud har blo-

keret deres netværk mod brug af ukendt it-udstyr.

Rigsrevisionen vil fortsat følge udviklingen og orientere Statsrevisorerne om:

•

universiteternes initiativer i forhold til at sikre, at forskningsdata i til-

strækkelig grad beskyttes mod ukendt it-udstyr.

II. Status på sagen

5. På baggrund af beretningen og Statsrevisorernes bemærkninger har vi

fulgt op på følgende punkter:

Et opfølgningspunkt afsluttes,

når Statsrevisorerne på bag-

grund af indstilling fra Rigsrevi-

sionen vurderer, at myndighe-

dernes initiativer er tilfredsstil-

lende.

Opfølgningspunkt

1. Uddannelses- og Forskningsministeriets

arbejde med at inddrage universiteternes

implementering af ISO 27001 i det syste-

matiske tilsyn.

2. Uddannelses- og Forskningsministeriets

arbejde med at etablere en tværgående trus-

selsvurdering for universiteterne.

3. Resultatet af Uddannelses- og Forsknings-

ministeriets bestræbelser i forhold til, at uni-

versiteterne får identificeret og rettet op på

eventuelle kritiske it-sikkerhedsbrister.

4. Resultatet af Uddannelses- og Forsknings-

ministeriets bestræbelser i forhold til, at uni-

versiteterne får rettet op på kritiske it-sikker-

hedsbrister.

Status

Afsluttet i forbindelse med notat til

Statsrevisorerne af 3. maj 2022.

Afsluttet i forbindelse med notat til

Statsrevisorerne af 3. maj 2022.

Afsluttet i forbindelse med notat til

Statsrevisorerne af 3. maj 2022.

Afsluttet i forbindelse med notat til

Statsrevisorerne af 3. maj 2023

for den del, der vedrører Uddannel-

ses- og Forskningsministeriets og

universiteternes arbejde med at

identificere kritiske it-sikkerheds-

brister. Følges fortsat for den del,

der vedrører resultatet af landets

fem største universiteters risiko-

profiler i forhold til beskyttelse af

forskningsdata – som vi i dette no-

tat har omformuleret til ”Universi-

teternes initiativer i forhold til at

sikre, at forskningsdata i tilstræk-

kelig grad beskyttes mod ukendt

it-udstyr”.

Statsrevisorerne beretning SB8/2018 - Bilag 6: Rigsrevisionens fortsatte notat af 18. september 2025 om beretning nr. 8/2018 om universiteternes beskyttelse af forskningsdata

III. Universiteternes initiativer

6. Vi gennemgår i det følgende de fem universiteters initiativer i forhold til

beskyttelse af forskningsdata mod ukendt it-udstyr.

7. Opfølgningen er baseret på skriftlige statusbeskrivelser og dokumenta-

tion fra de fem universiteter og møde med nogle af universiteternes cen-

trale it-afdelinger. Resultaterne i det følgende beskriver situationen ved af-

slutningen af revisionen primo juni 2025.

Universiteternes initiativer i forhold til at sikre, at forsknings-

data i tilstrækkelig grad beskyttes mod ukendt it-udstyr

8. Rigsrevisionens beretning fra 2019 kortlagde, om de fem største univer-

siteter beskyttede forskningsdata i tilstrækkelig grad i forhold til seks ud-

valgte risikofaktorer. Vores opfølgning i 2023 viste, at universiteterne var

kommet i mål med at beskytte forskningsdata i tilstrækkelig grad mod

ukendt it-udstyr i forhold til tre af seks risikofaktorer.

9. Vi har derfor fulgt op på de tre risikofaktorer, hvor opfølgningen i 2023

viste, at forskningsdata ikke blev beskyttet i tilstrækkelig grad mod ukendt

it-udstyr. De tre risikofaktorer er, om:

universitetet tillader forskere at tage eget udstyr med

universitetet blokerer sine netværk mod ukendt hardware (dvs. ukendt

it-udstyr)

•

universitetet tillader, at forskere har lokaladministratorrettigheder.

•

Tillader universiteterne, at forskere tager eget udstyr med?

10. Det fremgik af beretningen fra 2019 og Rigsrevisionens senere opfølg-

ning, at SDU var det eneste universitet, der ikke tillod forskere at tage eget

udstyr med.

Opfølgningen i 2023 viste, at KU, AU, AAU og DTU tillod forskere at med-

bringe ukendt it-udstyr, men at universiteterne havde implementeret kom-

penserende foranstaltninger. Rigsrevisionen bemærkede dengang, at de

kompenserende foranstaltninger ikke fuldt ud reducerede risikoen ved

ukendt it-udstyr.

11. Rigsrevisionen konstaterer, at de fire universiteter fortsat tillader, at for-

skere tager eget udstyr med, og at de kompenserende foranstaltninger sta-

dig ikke fuldt ud reducerer risikoen herved.

Kompenserende foran-

staltning

En kompenserende foranstalt-

ning kan fx være opdateret in-

formationssikkerhedspolitik.

Statsrevisorerne beretning SB8/2018 - Bilag 6: Rigsrevisionens fortsatte notat af 18. september 2025 om beretning nr. 8/2018 om universiteternes beskyttelse af forskningsdata

Blokerer universiteterne deres netværk mod ukendt hardware/it-ud-

styr?

12. Det fremgik af beretningen fra 2019, at KU, SDU og DTU delvist havde

blokeret deres netværk mod ukendt hardware, mens AU og AAU ikke hav-

de.

Opfølgningen i 2023 viste, at AU havde blokeret sit netværk mod ukendt

hardware/it-udstyr, men at blokeringen kunne omgås. KU, SDU og DTU

havde delvist blokeret deres netværk, mens AAU ikke havde blokeret sine

netværk. Alle fem universiteter havde kompenserende foranstaltninger,

som ikke fuldt ud reducerede risikoen ved ukendt hardware/it-udstyr.

13. Rigsrevisionen konstaterer, at de fem universiteter er i gang med at im-

plementere forskellige initiativer med henblik på at blokere deres netværk

mod ukendt hardware/it-udstyr

–

eller sikre, at blokeringen ikke kan om-

gås. Vi konstaterer dog, at universiteterne er forsinkede med 1-5 år i forhold

til planen. Det gælder særligt for DTU, som er forsinket med ca. 5 år og der-

med forventer at have implementeret blokeringen i 2030. Rigsrevisionen

anerkender, at der er tale om en omfattende opgave, men finder, at DTU’s

forsinkelse er meget stor.

Rigsrevisionen konstaterer, at DTU’s ledelse ken-

der risikoen ved, at en blokering først er gennemført i 2030. Ligeledes har

AAU har oplyst, at universitetets ledelse er opmærksom på risikoen ved, at

blokeringen er forsinket.

Rigsrevisionen konstaterer, at universiteterne dermed fortsat er udsat for

risikoen ved ukendt hardware/it-udstyr.

Tillader universiteterne, at forskere har lokaladministratorrettigheder?

14. Det fremgik af beretningen fra 2019, at alle fem universiteter i et vist om-

fang tillod forskere at få lokaladministratorrettigheder. Forskere med lokal-

administratorrettigheder kan selv installere software på computere. Det

medfører en risiko for, at den centrale it-afdeling ikke har et overblik over,

hvilken software der installeres, eller ikke kan gennemtvinge opdateringer.

Opfølgningen i 2023 viste, at KU og AAU havde håndteret dette. Vores op-

følgning i 2025 omfatter derfor AU, SDU og DTU. AU tillod ved vores opfølg-

ning i 2023, at forskere havde lokaladministratorrettigheder. Opfølgningen

viste også, at SDU og DTU som udgangspunkt ikke tillod lokaladministrator-

rettigheder for Windows-pc’er,

men at universiteterne ikke fulgte op på, om

Mac-computere var opdaterede, og at universiteterne ikke gennemtvang

opdateringerne.

15. Vores opfølgning viser, at AU har inddraget permanente lokaladmini-

stratorrettigheder og implementeret et værktøj til at tildele forskere tids-

begrænsede lokaladministratorrettigheder på både Windows-pc’er

Mac-computere. Vi vurderer derfor, at dette punkt kan afsluttes for AU.

Statsrevisorerne beretning SB8/2018 - Bilag 6: Rigsrevisionens fortsatte notat af 18. september 2025 om beretning nr. 8/2018 om universiteternes beskyttelse af forskningsdata

SDU følger nu op på, om Mac-computere er opdaterede, og blokerer for

computere, der ikke opdateres. Vi vurderer derfor, at dette punkt kan af-

sluttes for SDU.

DTU følger fortsat ikke op på, om Mac-computere er opdaterede, og gen-

nemtvinger eller låser heller ikke Mac-computere, som ikke er opdaterede.

Sammenfatning

16. Tabel 1 viser resultaterne fra opfølgningen på de fem universiteters initi-

ativer. Vi har vurderet, om universiteternes initiativer for hver risikofaktor

øger (rød), delvist øger (gul) eller ikke øger (grøn) risikoen for, at forsknings-

data ikke beskyttes i tilstrækkelig grad mod ukendt it-udstyr.

Tabel 1

Opfølgning på risikofaktorerne i 2025

Risikofaktor

Universitetet tillader forskere at tage eget udstyr med

Universitetet blokerer sine netværk mod ukendt

hardware (dvs. ukendt it-udstyr)

Universitetet tillader, at forskere har lokaladministrator-

rettigheder



AAU



SDU



DTU



Note:

”-”

angiver, at Rigsrevisionen i beretningen fra 2019 eller i notatet af 2. juni 2023 vurderede, at universiteterne var kommet i mål med at beskytte

forskningsdata i tilstrækkelig grad mod ukendt it-udstyr i forhold til den pågældende risikofaktor.

Kilde:

Rigsrevisionens beretning fra 2019 og Rigsrevisionens opfølgninger fra 2023 og 2025.

Det fremgår af tabel 1, at universiteterne endnu ikke er helt i mål med at re-

ducere risikoen for, at forskningsdata ikke beskyttes i tilstrækkelig grad

mod ukendt it-udstyr.

17. Rigsrevisionen vil på baggrund af ovenstående fortsat følge universite-

ternes initiativer i forhold til at sikre, at forskningsdata i tilstrækkelig grad

beskyttes mod ukendt it-udstyr.

18. Hele sagen kan følges på

www.rigsrevisionen.dk

og på

www.ft.dk/Statsrevisorerne.

Birgitte Hansen