It-sikkerhedsbrist: Så let bliver du direktør i Coop eller Jysk

Alle med et NemID-kort kan logge ind i Erhvervsstyrelsens selskabsregistre og udnævne sig selv til direktør eller ændre nøgletal i en stor virksomhed.

Du skal kun bruge et nemID og en computer for at ændre på oplysninger i Erhvervsstyrelsens CVR-register og f.eks. opskrive dig selv som direktør for Coop eller Jysk. (© Colourbox)

Var det noget med en tjans som direktør i

Coop
Danmark? Eller hvad med formandsposten for bestyrelsen for TV2?

Med et

NemID
-kort, et par tast ved computeren og klik med musen kan helt almindelige borgere ændre danske virksomheders mest følsomme oplysninger i Erhvervsstyrelsens database Webreg.

DR
Nyheders journalist kunne således på få minutter via hjemmesiden Virk.dk indsætte sig selv som administrerende direktør i en lille virksomhed, som den pågældende ingen som helst
tilknytning
har til - naturligvis efter aftale med ejeren af virksomheden.

- Jeg er faktisk ret overrasket over, at det er så nemt at ændre på nogle ret væsentlige oplysninger. Og det er oplysninger, der også bruges af andre virksomheder og myndigheder. Derfor burde det kun være dem, der har rettigheder til selskabet, der kan ændre i dem, siger erhvervspolitisk chef i FSR - Danske Revisorer, Tom Vile Jensen.

Ligeledes kunne

DR
Nyheder let få adgang til at rette i oplysningerne hos blandt andre
Coop
Danmark, Jysk og TV2.

- Det kan bruges helt åbenlyst til at lave rav i den. I yderste konsekvens kan det bruges til at lave svindel, siger Tom Vile Jensen.

Kan agere på virksomhedens vegne

På Virk.dk kan alle med en

NemID
-konto ændre i langt de fleste virksomheders stamoplysninger - det drejer sig blandt andet om navne på direktører og bestyrelsesmedlemmer, virksomhedens adresse samt en række følsomme regnskabstal så som
indberetninger
af
moms
,
eksport
,
import
og antal ansatte.

Ændringerne registreres i Erhvervsstyrelsens database over selskaber, Webreg, der videresender ændringer til en lang række andre myndigheder og

registre
, herunder
Skats
it-systemer og CVR-registret.

- Det er helt åbenlyst noget rod. Kan man indsætte sig selv som direktør for en virksomhed, får man lige pludselig ret til at tegne virksomheden - det vil sige skrive under på virksomhedens vegne, agere på virksomhedens vegne, indgå aftaler og handler. Det er altså en alvorlig sag, siger Ulf Munkedal, it-sikkerhedsekspert hos Fort Consult.

En god balance

Hos Erhvervsstyrelsen forsvarer man systemet. Her mener man, at systemet er fleksibelt og åbent, men samtidig holder en god balance mellem smidighed og sikkerhed:

- Det er korrekt, at man kan registrere på en anden virksomhed, Men man gør det jo ikke

anonymt
, men ved brug af en digital signatur, siger kontorchef Lars Bunch og fortsætter:

- Så vi vil altid kunne se, hvem der har ændret hvad og hvornår. Og hvis vi konstaterer misbrug, kan man altså blive straffet i henhold til straffeloven, siger han.

Systemet bliver misbrugt

Ifølge straffelovens

paragraf
163 er det strafbart at afgive
urigtige
oplysninger til offentlige myndigheder. Erhvervsstyrelsen oplever af og til misbrug af systemet.

- Der er enkelte, der af og til registrerer sig ind i et selskab, de ikke har

tilknytning
til, og det ser vi meget alvorligt på, og nogle sager ender da også med en politianmeldelse. Men ud af de mange hundredtusinde registreringer, der foretages årligt i databasen, er der kun tale om et fåtal
svindelsager
, siger Lars Bunch.

Kan gå lang tid før ændringer opdages

Ulf Munkedal giver ikke meget for argumentet om, at

svindlere
, der benytter deres Nem-ID, ikke kan skjule sig:

- Det er rigtigt, at

myndighederne
vil kunne spore eventuelle
svindlere
, der er logget ind med
NemID
, men man skal bare huske, at især ved mindre virksomheder kan der jo gå ganske lang tid, før ejeren opdager, at der er ændret i ledelsen eller ændret i nogle nøgletal. Og til det tid kan svindlen have været i gang i flere måneder og
svindlerne
kan bogstaveligt være over alle bjerge, siger han.

- Man kan med relativt enkle midler gøre systemet langt mere sikkert. Eksempelvis ved at indføre en funktion, så virksomheden bliver adviseret om eventuelle ændringer eller skal bekræfte dem per mail, siger han.

Næste år udløser ændringer en mail

Enkelte især store selskaber har indsat et password, som man skal kende for at få adgang til de formularer, hvor man kan foretage ændringerne. Men det gælder ikke blandt andre

Coop
Danmark, hvis informationsdirektør, Jens Juul Nielsen, dog ikke vil kritisere systemet:

- Vi er godt tilfredse med Erhvervs- og Selskabsstyrelsen registreringssystem, og det har aldrig givet anledning til problemer for os, siger han i en mail.

Erhvervsstyrelsen vil næste år indføre en funktion, så virksomheden får tilsendt en advisering til den digitale postkasse, hver gang der foretages ændringer i Webreg.

Har du oplevet, at der er blevet ændret i eller svindlet med din virksomheds oplysninger i CVR-registret, så kontakt gerne DR på forside@dr.dk eller ring på tlf. 28544787.

Facebook
Twitter