Den 3. februar 2026 udsendte det nordiske sikkerhedsfirma Truesec en advarsel, der fik danske it-chefer til at rette ryggen: en nydannet pro-russisk hackeralliance ved navn Russian Legion havde varslet et storstilet cyberangreb mod Danmark under kodenavnet OpDenmark. Det var ikke en isoleret hændelse. Det var kulminationen på flere måneders koordinerede DDoS-angreb mod danske kommuner, politiske partier, sundhedssektoren og kritisk infrastruktur. Dette er en analyse af, hvad der skete, hvem der står bag, og hvad det betyder for cybersikkerheden i Danmark og resten af Norden.
Et cyberangreb mod Danmark har sjældent haft så tydelig en politisk adresse. Russian Legion stillede et konkret krav: Danmark skulle offentligt afvise en militær hjælpepakke til Ukraine på 1,5 milliarder kroner inden for 48 timer. Da fristen udløb, fulgte angrebsbølgen. For et af verdens mest digitaliserede samfund, hvor sundhed.dk, borger.dk og netbank er en del af hverdagen, er det en trussel, der rammer dybt.
OpDenmark: Hvad vi ved om angrebskampagnen
OpDenmark er navnet på en koordineret kampagne af distribuerede lammelsesangreb (DDoS), der overbelaster danske hjemmesider med kunstig trafik, indtil de bryder sammen. Ifølge Truesecs analyse fra 3. februar 2026 dukkede den første trussel op den 28. januar 2026 på Russian Legions Telegram-kanal. Budskabet var utvetydigt: den danske regering skulle trække støtten til Ukraine tilbage, ellers ville angrebene eskalere.
Truesec beskrev, hvordan gruppen i løbet af de følgende 48 timer offentliggjorde skærmbilleder af danske virksomheders hjemmesider, som de hævdede at have lammet. Energisektoren blev nævnt gentagne gange som mål. Ifølge gruppens egne udmeldinger var hovedangrebet planlagt til at begynde klokken 18 Moskva-tid, hvilket Truesec omregnede til klokken 16 dansk tid. Angrebene var altså ikke tilfældige, men tidsbestemte og iscenesat som en politisk demonstration.
Det centrale ved OpDenmark er ikke den tekniske raffinement. DDoS-angreb er blandt de mest primitive værktøjer i hacktivisternes arsenal. Det centrale er timingen og symbolikken. Kampagnen kom i kølvandet på det danske folketingsvalg den 24. marts 2026, hvor alle 179 mandater var på spil, og i en periode med intens debat om dansk våbenstøtte til Ukraine. Cyberangrebet var et budskab, ikke et forsøg på at stjæle data.
Tidslinje: Fra valgnat til OpDenmark
For at forstå OpDenmark skal man se kampagnen som ét kapitel i en længere fortælling om pro-russisk hacktivisme mod Danmark. Angrebene begyndte ikke i februar 2026. De byggede oven på en bølge, der havde rullet siden efteråret 2025.
| Dato | Hændelse | Ansvarlig gruppe |
|---|---|---|
| November 2025 | DDoS-angreb mod kommuner i Danmark og Sverige | NoName057(16) |
| 17. november 2025 | Angreb mod danske politiske partiers hjemmesider på valgnatten | NoName057(16) |
| 18. december 2025 | Danmark indkalder den russiske ambassadør efter angreb mod vandsystemer og valgkampagner | Russisk-tilknyttede grupper |
| 28. januar 2026 | Russian Legion stiller ultimatum på Telegram om 1,5 mia. kr i ukrainsk hjælp | Russian Legion |
| 3. februar 2026 | Truesec offentliggør advarsel om OpDenmark | Russian Legion |
| 24. marts 2026 | Folketingsvalg i Danmark, 179 mandater på spil | (politisk kontekst) |
Mønstret er tydeligt: hver gang Danmark traf en beslutning om Ukraine, fulgte et cyberangreb. Den 18. december 2025 rapporterede Le Monde, at den danske regering ville indkalde den russiske ambassadør på grund af cyberangreb, der ramte vandsystemer og valgkampagner. Regeringen pegede direkte på hackergrupper med forbindelse til den russiske stat. Det var en sjælden diplomatisk markering i en konflikt, der normalt udspiller sig anonymt.
Hvem er Russian Legion?
Russian Legion er ifølge Truesec en nydannet alliance af pro-russiske hackergrupper. Alliancen blev offentligt annonceret i ugen op til Truesecs rapport fra 3. februar 2026. Det interessante er strukturen: i stedet for en enkelt gruppe er der tale om et løst forbund af mindre aktører, der koordinerer deres angreb under ét fælles banner.
Truesec identificerede alliancens sammensætning. Den blev ledet af gruppen Cardinal og omfattede grupperne The White Pulse, Russian Partizan og Inteid. Sidstnævnte, Inteid, blev koblet til et nyligt DDoS-angreb mod Danmarks sundhedsportal sundhed.dk. Denne modulopbyggede struktur gør alliancen svær at bekæmpe: hvis én gruppe lukkes ned, fortsætter de øvrige.
| Gruppe | Rolle i alliancen | Kendt aktivitet |
|---|---|---|
| Cardinal | Leder af alliancen | Koordinering af OpDenmark |
| Inteid | Medlem | DDoS mod sundhed.dk |
| The White Pulse | Medlem | DDoS mod danske mål |
| Russian Partizan | Medlem | DDoS mod danske mål |
| NoName057(16) | Tilknyttet aktør | Angreb mod kommuner og partier |
Truesec citerede gruppen for en trussel, der opsummerer hele kampagnens karakter. Alliancen skrev: “DDoS er kun toppen af isbjerget. Efter 48 timer skifter vi til rigtige cyberangreb.” Citatet afslører hacktivisternes retoriske strategi. De forsøger at fremstå farligere, end deres faktiske kapacitet tilsiger, fordi frygt i sig selv er et våben.
NoName057(16): Den drivende kraft bag DDoS-bølgen
Bag mange af angrebene mod Danmark står gruppen NoName057(16), som først erklærede sig selv i marts 2022, kort efter Ruslands invasion af Ukraine. Gruppen er kendt for DDoS-angreb mod hjemmesider tilhørende myndigheder, medier og virksomheder i NATO-lande. Den driver et frivilligt netværk kaldet DDoSia, hvor sympatisører installerer software, der automatisk udfører angreb mod udvalgte mål.
I november 2025 påtog NoName057(16) sig ansvaret for DDoS-angreb mod kommuner i både Danmark og Sverige. Truesec skrev i sin analyse: “En pro-russisk hacktivistgruppe ved navn NoName057(16) har påtaget sig ansvaret for angrebene.” Gruppens officielle begrundelse var, at kampagnen var en gengældelse for Operation Eastwood, en international politiaktion mod gruppen.
Europol, der koordinerede Operation Eastwood sammen med Eurojust i juli 2025, beskrev gruppens profil præcist. Europol skrev: “Personer, der handler for NoName057(16), er hovedsageligt russisktalende sympatisører, som bruger automatiserede værktøjer til at udføre distribuerede lammelsesangreb.” Operation Eastwood ramte gruppens infrastruktur, men som OpDenmark viser, var virkningen midlertidig. Hacktivisterne reorganiserede sig hurtigt under nye navne og alliancer.
Sådan ramte angrebene sundhed.dk og energisektoren
Valget af mål i OpDenmark var ikke tilfældigt. Hacktivister sigter efter institutioner, der er synlige for den almindelige borger, fordi formålet er at skabe en følelse af sårbarhed. Da Inteid ramte sundhed.dk, ramte de ikke blot en server. De ramte en portal, som millioner af danskere bruger til at se journaler, booke lægetider og hente recepter.
Energisektoren blev nævnt gentagne gange i Russian Legions udmeldinger. Det er værd at bemærke forskellen mellem at nævne et mål og rent faktisk at ramme det. DDoS-angreb mod energiforsyningens offentlige hjemmesider er irriterende, men de slukker ikke for strømmen. De industrielle styresystemer (OT-systemer), der faktisk driver elnettet, er typisk adskilt fra de internetvendte hjemmesider. Alligevel skaber omtalen af energisektoren netop den frygt, hacktivisterne ønsker.
Det reelle problem opstår, når DDoS-angreb bruges som røgslør. Mens it-afdelinger kæmper for at holde hjemmesider oppe, kan mere avancerede aktører forsøge at trænge ind ad andre veje. Derfor advarer eksperter mod at affærdige DDoS som “bare overbelastning”. Et lammelsesangreb kan være den synlige del af en bredere operation, præcis som gruppen selv antydede med metaforen om isbjerget.
Hvad eksperterne siger om OpDenmark
Sikkerhedsbranchen har været forsigtig med at overdrive truslen, men tydelig i sin vurdering af motivet. Truesec, der først dokumenterede kampagnen, lagde vægt på det koordinerede mønster.
“I løbet af de seneste 48 timer har Russian Legion udsendt flere erklæringer, der hævder, at danske virksomheder og offentlige organisationer er blevet ramt af DDoS-angreb, hvor energisektoren nævnes gentagne gange.”
Truesec, sikkerhedsanalyse, 3. februar 2026
Europol satte angrebene ind i en bredere europæisk sammenhæng. Operationen mod NoName057(16) viste, at myndighederne tager hacktivismen alvorligt, men også at problemet er svært at udrydde permanent.
“Personer, der handler for NoName057(16), er hovedsageligt russisktalende sympatisører, som bruger automatiserede værktøjer til at udføre distribuerede lammelsesangreb.”
Europol, pressemeddelelse om Operation Eastwood, juli 2025
Selve trusselsaktøren leverede det mest sigende citat. Russian Legion skrev på Telegram: “DDoS er kun toppen af isbjerget. Efter 48 timer skifter vi til rigtige cyberangreb.” Sikkerhedsanalytikere læser sådanne udsagn som psykologisk krigsførelse snarere end tekniske løfter. Den faktiske eskalering til “rigtige cyberangreb” udeblev i det omfang, der blev varslet, hvilket understreger kløften mellem hacktivisternes retorik og kapacitet.
Tallene: Cyberhændelser i Norden 2025
For at sætte OpDenmark i perspektiv er det nyttigt at se på det samlede billede af cyberhændelser i Norden. Klassificeringsselskabet DNV Cyber offentliggjorde i 2026 en rapport om Nordens cyberrobusthed, der opgjorde antallet af registrerede hændelser, som ramte organisationer i hvert land i 2025.
| Land | Registrerede cyberhændelser 2025 | NATO-medlem |
|---|---|---|
| Sverige | 60 | Ja (siden 2024) |
| Finland | 44 | Ja (siden 2023) |
| Danmark | 41 | Ja (grundlægger) |
| Norge | 21 | Ja (grundlægger) |
| Norden i alt (DNV-udvalg) | 166 | Alle |
Tallene viser, at Danmark med 41 hændelser ligger i den tunge ende af skalaen, men ikke i bund. Sverige toppede med 60 hændelser, Finland fulgte med 44, og Norge lå lavest med 21. Bemærk, at lavere tal ikke nødvendigvis betyder bedre sikkerhed. De kan også afspejle forskelle i rapporteringspraksis og synlighed. Det vigtige er tendensen: hele Norden er under pres fra den samme bølge af pro-russisk aktivitet.
DNV Cyber undersøgte også holdningen til forsyningskædesikkerhed. I en undersøgelse offentliggjort den 9. april 2026, baseret på svar fra 200 ledere og 500 borgere, svarede 54 procent af lederne i kritisk infrastruktur, at de er afhængige af leverandører fra geopolitisk spændte lande. Hele 52 procent ville støtte at flytte deres digitale forsyningskæde til allierede nationer. Det er et tydeligt tegn på, at OpDenmark og lignende kampagner ændrer beslutningstageres risikoopfattelse.
Markedseffekt: Hvad koster DDoS-bølgen Danmark
De direkte tab fra et DDoS-angreb er ofte beskedne sammenlignet med ransomware eller datatyveri. En hjemmeside er typisk nede i timer, ikke uger. Men de indirekte omkostninger er reelle. De omfatter overarbejde i it-afdelinger, investeringer i DDoS-beskyttelse, tabt produktivitet og, vigtigst, eroderet tillid til offentlige digitale tjenester.
For et land som Danmark, hvor den digitale forvaltning er en kilde til national stolthed og effektivitet, er tillidstabet den dyreste post. Når borgere oplever, at sundhed.dk eller borger.dk er utilgængelig, sår det tvivl om hele den digitale infrastruktur. Den tvivl er præcis, hvad hacktivisterne forsøger at fremkalde. Markedet har reageret med øget efterspørgsel på DDoS-afbødning, content delivery networks og beredskabstjenester.
DNV-undersøgelsens fund om forsyningskæder peger på en dybere markedseffekt. Når 52 procent af lederne i kritisk infrastruktur overvejer at flytte deres digitale forsyningskæde til allierede lande, skabes der et nyt marked for “geopolitisk sikre” leverandører. Cybersikkerhed er gået fra at være et teknisk spørgsmål til at være et strategisk og geopolitisk anliggende, der påvirker indkøbsbeslutninger på direktionsniveau.
Den geopolitiske kontekst: Ukraine, NATO og 1,5 mia. kr
OpDenmark kan ikke forstås uden krigen i Ukraine. Russian Legions konkrete krav var, at Danmark skulle afvise en militær hjælpepakke på 1,5 milliarder kroner inden for 48 timer. Det placerer cyberangrebet direkte i forlængelse af den fysiske konflikt. Hacktivisterne fungerer som et asymmetrisk pressionsmiddel, der forsøger at påvirke et demokratisk lands udenrigspolitik gennem digital chikane.
Danmark har været en af Ukraines mest markante støtter blandt de mindre NATO-lande. Den danske model med at finansiere ukrainsk våbenproduktion direkte har vakt opsigt internationalt. Det gør Danmark til et oplagt mål for pro-russisk hacktivisme. Jo mere synlig en nations Ukraine-støtte er, desto mere sandsynligt er det, at den figurerer på hacktivisternes målliste.
Det er her, kløften mellem symbol og substans bliver afgørende. Ingen seriøs analytiker forventer, at en dansk regering ændrer sin Ukraine-politik, fordi en hjemmeside er nede i nogle timer. Angrebene handler ikke om at vinde en politisk sejr på kort sigt. De handler om at signalere til både den russiske og den vestlige offentlighed, at støtte til Ukraine har en pris, også i cyberspace.
Grønland og den nordatlantiske front
OpDenmark begrænsede sig ikke til det danske fastland. Kampagnen ramte også grønlandske offentlige hjemmesider, hvilket fik danske og grønlandske myndigheder til at koordinere deres respons. Det er en vigtig detalje, fordi Grønland har fået fornyet geopolitisk betydning i 2025 og 2026 på grund af debatten om øens strategiske placering i Arktis.
At hacktivisterne udvidede til Grønland viser en bevidsthed om dansk politiks ømme punkter. Rigsfællesskabet mellem Danmark, Grønland og Færøerne er et følsomt emne, og et cyberangreb mod grønlandske tjenester rammer både praktisk og symbolsk. Det understreger, at moderne hacktivisme er nøje afstemt med den politiske nyhedsstrøm. Angriberne læser avisen, før de vælger deres mål.
Konkurrenceanalyse: Danmark mod Sverige, Finland og Norge
Hvordan klarer Danmark sig sammenlignet med sine nordiske naboer? De nordiske lande deler en høj grad af digitalisering, hvilket både er en styrke og en sårbarhed. Et samfund, der har flyttet alt online, har mere at miste, når tjenesterne lammes.
Sverige, der blev NATO-medlem i 2024, registrerede flest hændelser med 60 i 2025. Det kan afspejle landets nye, mere eksponerede position. Finland, NATO-medlem siden 2023 og med den længste landegrænse til Rusland, registrerede 44 hændelser. Danmark, en af NATO’s grundlæggere, lå på 41. Norge, ligeledes grundlægger, registrerede færrest med 21.
Den fælles lære er, at NATO-medlemskab og synlig Ukraine-støtte korrelerer med øget hacktivistisk opmærksomhed. Ingen nordisk nation er immun. Styrken ved den nordiske model ligger i samarbejdet. Landene deler trusselsefterretninger og koordinerer respons gennem fora som det nordiske CERT-samarbejde. Mod en fælles fjende er en fælles front den mest effektive strategi, og netop her har Norden en konkurrencefordel sammenlignet med mere fragmenterede regioner.
NIS2: Danmarks nye forsvarslinje
Midt i denne trusselsbølge implementerer Danmark EU’s NIS2-direktiv, der skærper kravene til cybersikkerhed for virksomheder i kritiske sektorer. NIS2 udvider antallet af omfattede sektorer markant og stiller krav om risikostyring, hændelsesrapportering og ledelsesansvar. For mange danske virksomheder betyder det, at cybersikkerhed flytter fra it-afdelingen op til bestyrelsesbordet.
OpDenmark fungerer som en realtidstest af, hvorfor NIS2 er nødvendigt. Direktivet kræver, at organisationer i energi, sundhed, transport og andre kritiske sektorer kan modstå og rapportere angreb. Da Inteid ramte sundhed.dk, og da energisektoren blev udpeget som mål, blev det konkret, hvad direktivet skal beskytte. NIS2 handler ikke om teoretiske risici, men om de angreb, der allerede er i gang.
Kritikere påpeger, at NIS2 medfører betydelige administrative byrder, særligt for mindre virksomheder, der nu omfattes af reglerne. Modargumentet er enkelt: alternativet, en uforberedt kritisk infrastruktur, er dyrere. OpDenmark gav direktivets fortalere et konkret eksempel at pege på, når omkostningerne diskuteres.
Center for Cybersikkerheds rolle i forsvaret
Danmarks nationale cyberforsvar koordineres af Center for Cybersikkerhed (CFCS) under Forsvarets Efterretningstjeneste. CFCS udgiver løbende trusselsvurderinger, der hjælper offentlige og private organisationer med at prioritere deres forsvar. Disse vurderinger placerer cybertruslen fra fremmede stater og hacktivister blandt de mest alvorlige, Danmark står over for.
CFCS’s tilgang er, at robusthed er vigtigere end perfekt forsvar. Man kan ikke forhindre ethvert DDoS-angreb, men man kan sikre, at samfundskritiske tjenester hurtigt kommer på benene igen. Denne filosofi, at acceptere at angreb sker og fokusere på hurtig genopretning, er kernen i moderne cyberforsvar. Det handler om at gøre angrebene virkningsløse snarere end umulige.
For virksomheder og myndigheder er CFCS’s anbefalinger praktiske: hav en beredskabsplan, test den, sørg for DDoS-afbødning hos din udbyder, og adskil internetvendte systemer fra kritiske styresystemer. OpDenmark bekræftede værdien af disse råd. De organisationer, der havde forberedt sig, kom hurtigere igennem bølgen.
Historisk kontekst: Hacktivisme siden 2022
Pro-russisk hacktivisme er ikke et nyt fænomen. NoName057(16) opstod i marts 2022, umiddelbart efter Ruslands fuldskala-invasion af Ukraine. Siden da har gruppen og dens allierede ført en lavintens cyberkampagne mod NATO-lande, hvor DDoS-angreb er det foretrukne våben. OpDenmark er den seneste, danske udgave af et mønster, der har gentaget sig i hele Europa.
Det, der har ændret sig over tid, er organisationsformen. Hvor de tidlige angreb kom fra enkeltstående grupper, ser vi nu alliancer som Russian Legion, der samler flere aktører. Denne udvikling gør grupperne mere modstandsdygtige over for politiaktioner. Operation Eastwood i juli 2025 ramte NoName057(16) hårdt, men inden for måneder var nye konstellationer aktive. Det er en kat-og-mus-leg uden tydelig ende.
Den historiske lære er, at hacktivisme følger den geopolitiske temperatur. Så længe krigen i Ukraine fortsætter, og så længe Danmark og resten af Norden støtter Ukraine synligt, vil cyberangreb som OpDenmark være en tilbagevendende del af virkeligheden. Spørgsmålet er ikke, om der kommer flere angreb, men hvornår.
5 forudsigelser for cybertruslen mod Danmark 2026-2027
Baseret på det dokumenterede mønster er her fem rimelige forudsigelser for, hvordan cybertruslen mod Danmark udvikler sig:
- Flere alliancedrevne kampagner. Modellen med løse alliancer som Russian Legion vil brede sig, fordi den er svær at bekæmpe. Forvent flere kampagner under fælles bannere mod nordiske mål.
- DDoS forbliver hovedvåbnet, men som røgslør. Lammelsesangreb vil fortsætte, men i stigende grad bruges til at sløre forsøg på mere alvorlig indtrængen i kritiske systemer.
- Timing efter politiske begivenheder. Angreb vil fortsat være afstemt med danske beslutninger om Ukraine, forsvarsbudgetter og NATO. Den politiske kalender bliver angrebskalenderen.
- NIS2 hæver forsvarsniveauet. Efterhånden som NIS2 implementeres fuldt ud, vil danske virksomheders modstandskraft mod DDoS stige målbart, hvilket reducerer angrebenes effekt.
- Øget nordisk samarbejde. Trusselsdeling og koordineret respons mellem Danmark, Sverige, Finland og Norge vil intensiveres som direkte svar på den fælles trussel.
Sådan beskytter danske virksomheder sig mod DDoS
For danske virksomheder og myndigheder er den gode nyhed, at forsvar mod DDoS-angreb er en velkendt disciplin. De fleste angreb kan afbødes med standardforanstaltninger, hvis de er på plads, før angrebet rammer. Det handler om forberedelse, ikke om avanceret teknologi.
- Brug en DDoS-afbødningstjeneste eller et content delivery network, der kan absorbere store trafikmængder.
- Adskil internetvendte hjemmesider fra interne og samfundskritiske styresystemer (OT).
- Hav en testet beredskabsplan, der beskriver, hvem der gør hvad under et angreb.
- Overvåg trafikmønstre, så unormale spidser opdages tidligt.
- Forbered ekstern kommunikation, så borgere informeres roligt og sagligt, mens en tjeneste er nede.
- Behandl DDoS-angreb som et muligt røgslør, og hæv overvågningen af andre systemer under et angreb.
Den vigtigste mentale omstilling er at acceptere, at angreb vil ske. Et samfund, der er forberedt på at blive ramt og hurtigt rejser sig igen, fratager hacktivisterne deres vigtigste våben: følelsen af kaos. Robusthed er det bedste svar på OpDenmark.
Ofte stillede spørgsmål om OpDenmark
Hvad er OpDenmark?
OpDenmark er navnet på en koordineret kampagne af pro-russiske DDoS-angreb mod danske mål i starten af 2026. Den blev dokumenteret af sikkerhedsfirmaet Truesec den 3. februar 2026 og var knyttet til hackeralliancen Russian Legion.
Hvem står bag cyberangrebene mod Danmark?
Bag angrebene står pro-russiske hacktivistgrupper, primært alliancen Russian Legion (ledet af Cardinal med medlemmerne Inteid, The White Pulse og Russian Partizan) samt den tilknyttede gruppe NoName057(16). Danmark har offentligt peget på grupper med forbindelse til den russiske stat.
Hvad krævede hackerne?
Russian Legion krævede, at Danmark offentligt afviste en militær hjælpepakke til Ukraine på 1,5 milliarder kroner inden for 48 timer. Da kravet ikke blev imødekommet, fulgte angrebsbølgen.
Hvor farlige er DDoS-angreb i virkeligheden?
DDoS-angreb lammer hjemmesider midlertidigt, men stjæler hverken data eller slukker for kritisk infrastruktur direkte. Den største risiko er, at de bruges som røgslør for mere alvorlige indtrængningsforsøg, og at de eroderer tilliden til digitale tjenester.
Blev sundhed.dk ramt?
Ja. Ifølge Truesec blev gruppen Inteid, der er en del af Russian Legion-alliancen, koblet til et DDoS-angreb mod Danmarks sundhedsportal sundhed.dk.
Hvordan klarer Danmark sig sammenlignet med de øvrige nordiske lande?
Ifølge DNV Cyber registrerede Danmark 41 cyberhændelser i 2025, mod Sveriges 60, Finlands 44 og Norges 21. Hele Norden er under pres fra den samme bølge af pro-russisk aktivitet.
Hvad gør Danmark for at beskytte sig?
Danmark koordinerer sit cyberforsvar gennem Center for Cybersikkerhed og implementerer EU’s NIS2-direktiv, der skærper kravene til kritiske sektorer. Fokus ligger på robusthed og hurtig genopretning snarere end på at forhindre ethvert angreb.
Related Coverage
- Online sikkerhed forklaret: En praktisk guide (pillar)
- Cyberangreb i Tyskland: +124 % i DACH-regionen
- Ivanti-sårbarheden: EU ramt på 9 timer
- Jaguar Land Rover-cyberangrebet: 1,9 mia. £ i tab
- Databrud: Sådan sker de, og sådan beskytter du dig
- Post-kvantekryptografi: 50 % af nettet er nu sikret
