På en parkeringsplads badet i forårssol står en gruppe mennesker foran en 40-fods hvid stålcontainer. Iklædt habitjakker og blanke sko drikker de kaffe af papkrus fra en lille baristavogn. 

Frakkerne virker lidt fine til en omgang parkeringsplads-kaffe, men der er en forklaring.

Containeren placeret i hjørnet af parkeringspladsen er trækplasteret. Den er placeret uden for IT-virksomheden Ateas kontorbygning i Skejby. 

Eventet har tiltrukket både Aarhus’ borgmester Anders Winnerskjold (S) og repræsentanter fra blandt andet Kredsløb A/S, Microsoft, Security Tech Space og Dansk Erhverv.

Containeren har tidligere stået foran Christiansborg, og har nu rejst tværs over landet, så også Jylland kan få let adgang til den. Indenfor gemmer der sig et tilsyneladende almindeligt kontor: et aflangt mødebord, en storskærm til videoopkald og en enkelt kontorplante som det eneste livlige indspark. 

Men der er ikke tale om et almindeligt kontor. 

Det er et war-room – et rum, hvor en virksomhed arbejder febrilsk på at forsvare sig mod et cyberangreb fra ondsindede hackere. 

Eller det leger vi i hvert fald lige. 

I virkeligheden indeholder containeren, som kaldes The Esc Room, et specialbygget escape room, som er særligt udviklet til, at offentlige og private organisationer kan øve sig i at afværge et realistisk cyberangreb.   

 

Øvelse er alfa og omega 

Scenariet er bygget op om en fiktiv virksomhed, der er under et fiktivt angreb, men det føles meget virkeligt.

En maskeklædt mand med forvrænget robotstemme dukker op på storskærmen og erklærer, at han har taget ejerskab over it-systemerne. Om 60 minutter er al data slettet, proklamerer han. 

- Welcome to your worst IT nightmare, siger stemmen. 

Herfra har deltagerne en time til at analysere sig frem til, hvad der er sket, og hvordan truslen kan afværges uden at systemerne og dataen tager skade. 

Formålet er, at virksomheder kan træne deres menneskelige og organisatoriske muskler i en presset situation, uden at det koster noget i drift eller omdømme. 

Ligesom en brandøvelse. 

 

 

Og aktuelt er det vigtigere end nogensinde at have styr på sit digitale beredskab. 

En undersøgelse foretaget af Dansk IT og Rambøll udgivet i december 2025 viser, at to ud af tre kommuner ikke har et stærkt og løbende afprøvet kriseberedskab for cybersikkerhed. 

Samtidig fastslår den seneste trusselsvurdering fra myndighederne, at “cybertruslen mod Danmark er alvorlig”, og at cybertruslen er kommet for at blive. 

Ifølge it-virksomheden Atea, som i samarbejde med Microsoft står bag konceptet The Esc Room, er der dog mange organisationer og virksomheder, som har beredskabsplaner, der ikke ser dagens lys. Det har været katalysator for projektet, lyder det fra virksomheden. 

- Det er den klassiske situation, hvor man har en beredskabsplan, men den måske ligger i skuffen. Man har måske ikke talt nok om vigtigheden af at træne og øve den, siger Sara Amini, Group Chief Information Officer i Atea. 

Atea gennemfører en af nordens største it-analyser, CIO Analytics, hvor omkring 1.400 it-ledere deltager. Også flere danske kommuner deltager i analysen med egne erfaringer på området. 

Ifølge Sara Amini viser analysen fra sidste år, at cybersecurity vægter højt hos danske virksomheder og organisationer. Men samtidig viste resultaterne også, at det er et fåtal, der rent faktisk afprøver deres cyberberedskab løbende.

 

 

- Det er alfa og omega at træne det løbende. Vi ved, at hver tredje virksomhed i Danmark har været eller vil blive ramt. Derfor er det vigtigt at vide, hvad der sker, når alvoren rammer, siger Sara Amini. 

Derfor er The Esc Room et nyttigt redskab for kommunerne at kunne gøre brug af, pointerer hun. 

- Når man træner det, lærer man præcis, hvilke roller og ansvar man har. Hvordan skal kommunikationen drives? Hvordan reagerer vi under pres? Det kan man godt have en idé om, og man kan også forsøge at træne det rundt om et skrivebord. Men herinde kommer man reelt under pres. Det er netop det, vi gerne vil træne, siger Sara Amini. 

Nye inputs og energi

Ude på parkeringspladsen høres banken og rumsteren inde fra containeren. Et hold fra Kredsløb A/S er inde og teste samarbejdsevner. 

To gamemasters kigger med på en skærm, der viser, hvad der foregår derinde. Gennem store hørebøffer lytter de med og analyserer holdets indsats. Bagefter evaluerer de kommunikation, samarbejdsevner og valg under øvelsen. 

Håbet er, at øvelsen bliver en øjenåbner for virksomhederne, der får en anledning til at øve deres egen beredskabsplan eller hjælp til at spotte noget nyt. 

Anders Kjær er it-chef i Kredsløb A/S, som netop har været inde i containeren. 

Han ser det som en selvfølge, at man er nødt til at ruste sig for at stå bedre mod cyberangreb. 

- Vi er jo et forsyningsselskab, og derfor er vi en del af den kritiske infrastruktur. Med det trusselsniveau, vi har, er vi nødt til at forberede os, siger han. 

 

 

Ifølge Anders Kjær holder Kredsløb sig løbende opdateret på kompetencer og metoder, som gør det så svært som muligt at trænge igennem den digitale mur. Dog kan man aldrig vide sig sikker, siger han: 

- Vi er også nødt til at forberede os på, at det alligevel kan gå galt. Det ser man jo eksempler på ude i verden - selv når man gør sig umage og er dygtig, så kan det ske.

Fra selve oplevelsen tager Anders Kjær og hans hold med sig, at det kan kaste nyt lys på, hvordan et godt cyberberedskab ser ud: 

- Det giver ekstra input og energi til samarbejdet, som er rigtig godt. Derudover har vi haft lejlighed til at prøve et tænkt scenarie, som måske adskiller sig fra det, vi normalt ville kigge ind i.

Winnerskjold: Sårbare data skal beskyttes ordentligt 

Aarhus’ borgmester Anders Winnerskjold (S) var mødt op for at holde åbningstalen for The Esc Room, som allerede har huset 127 Sjællandske organisationer. Heraf var 39 pct. fra den offentlige sektor.

Markeringen i Skejby betyder, at jyske virksomheder, kommuner og regioner nu frit kan teste deres evner inden for cybersikkerhed. 

Det glæder Anders Winnerskjold: 

-  Jeg er selv ansvarlig for en stor kommune, og vi bliver angrebet hele tiden. Vi sidder på ekstremt mange sårbare data om borgere i det her land, så selvfølgelig skal vi kunne beskytte os og beskytte os godt.

- Det er godt, at nogen tager ansvar og laver et mock-up, hvor man kan få lov til at øve sig. 

 

 

Han oplyser, at man i Aarhus Kommune allerede laver øvelser i cybersikkerhed, hvor den øverste administrative ledelse er med. 

Selvom Aarhus Kommune har investeret kraftigt i cybersikkerhed, er det en løbende diskussion om man skal gøre endnu mere: 

- Nogle af angrebene er jo relativt simple, og kan let afværges. Det har vi haft held med indtil videre. Men hvis det er et meget målrettet og sofistikeret angreb, er vi også sårbare, selvom vi er en stor kommune.

Den store hvide stålcontainer kommer for nuværende til at blive stående på parkeringspladsen i det nordlige Aarhus, men på sigt skal der udvides med flere containere på flere lokationer.  

Selvom efterspørgslen på at prøve The Esc Room har været stor, er der stadig ledige tider i kalenderen til at få afprøvet sig selv og sit team under pres.