Ransomware-beskyttelse for SMV’er: Backup alene er ikke nok

Dansk SMV-leder gennemgår ransomware-beredskabsplan ved skærm med Microsoft 365 sikkerhedsoversigt

Ransomware-beskyttelse for SMV’er: Backup alene er ikke nok

Af Sten Albert Person A-one Solutions ·
·
Kategori: IT-sikkerhed

Jeres backup kan gendanne filer. Men den kan ikke gendanne jeres omdømme, når kundedata ligger frit tilgængeligt på en lækside. Ransomware-angreb handler ikke længere kun om kryptering – hackere stjæler data og truer med at offentliggøre dem, uanset om I betaler eller ej. Denne guide giver jer en konkret plan til ransomware-beskyttelse, der dækker forebyggelse, forsikringskrav og de første kritiske timer under et angreb.

Det vigtigste I tager med

  • Dobbelt afpresning er normen: 87,6 % af ransomware-krav involverer nu datatyveri ud over kryptering (StationX/Ransomware Statistics, 2026). Backup løser kun halvdelen af problemet.
  • SMV’er er hovedmålet: Over to tredjedele af alle ransomware-angreb i 2024–2025 ramte virksomheder med under 500 ansatte (VikingCloud, 2026). Aktivér Defender for Business og Conditional Access nu.
  • Cyberforsikringen dækker ikke automatisk: Mangler I MFA og EDR, risikerer I afslag på dækning. Kortlæg kravene inden næste fornyelse.
  • Identiteten er indgangsdøren: 83 % af ransomware-angreb kompromitterer identitetsinfrastruktur (Guardz, 2026). Håndhæv phishing-resistent MFA på alle konti.
  • Tid er alt: Median-opholdstid for ransomware er nede på 4 dage (Splunk, 2026). Uden overvågning opdager I angrebet for sent.

Diagram der viser dobbelt afpresning: datatyveri plus kryptering i et ransomware-angreb

Hvorfor dobbelt afpresning ændrer alt for danske SMV’er

Traditionel ransomware krypterede jeres filer og krævede betaling for nøglen. Havde I en god backup, kunne I gendanne og komme videre. Den tid er forbi.

Nu kopierer angriberne jeres data før de krypterer. Kundelister, kontrakter, lønoplysninger, sundhedsdata – alt sammen ender på en lækside, hvis I ikke betaler. Og selv hvis I betaler, er der ingen garanti for, at data slettes. Ifølge Sophos State of Ransomware (2024) har virksomheder, der betaler løsesum, ofte længere genopretningstid og højere samlede omkostninger.

For danske virksomheder tilføjer GDPR et ekstra lag: Enhver datalæk med persondata udløser 72-timers indberetningspligt til Datatilsynet. Angriberne ved det – og bruger det som pressionsmiddel i forhandlingen.

Før: I stolede på daglig backup som jeres primære ransomware-forsvar. Hvis filerne blev krypteret, gendannede I fra backup og var oppe igen inden for et døgn.

Efter: I kombinerer backup med forebyggelse via Zero Trust, EDR og identitetsbeskyttelse i Microsoft 365. Selv hvis et angreb slipper igennem, forhindrer I datatyveri – og undgår GDPR-bøder og omdømmeskade.

Sådan udnytter I Microsoft 365 Business Premium mod ransomware

Mange danske SMV’er betaler allerede for Microsoft 365 Business Premium. Problemet er, at sikkerhedsfunktionerne sjældent er aktiveret fuldt ud. Her er de tre vigtigste lag:

1. Defender for Business (endpoint og e-mail)

Defender for Business giver jer EDR (Endpoint Detection and Response) på alle enheder plus beskyttelse mod phishing-mails med Safe Links og Safe Attachments. Det er præcis den type endpoint-beskyttelse, cyberforsikringsselskaber nu kræver som minimum.

Udrul Defender på alle Windows- og Mac-enheder. Aktivér automatisk undersøgelse og respons (AIR), så trusler isoleres uden manuel indgriben.

2. Conditional Access i Entra ID

23 % af ransomware-hændelser starter med stjålne loginoplysninger (Guardz, 2026). Conditional Access lukker den dør:

  • Bloker legacy-autentificering (POP, IMAP, SMTP Basic) – det er en åben bagdør uden MFA.
  • Kræv MFA ved login fra ukendte lokationer eller enheder.
  • Begræns admin-adgang til betroede enheder og netværk.

3. Purview til databeskyttelse

Klassificér følsomme data (CPR-numre, sundhedsdata, kontrakter) med sensitivity labels. Sæt DLP-politikker op, der forhindrer massedownload eller ekstern deling. Det gør det markant sværere for en angriber at eksfiltrere data – selv med en kompromitteret konto.

Før: I havde 10 forskellige sikkerhedsværktøjer fra 10 leverandører. Ingen havde det fulde overblik, og alarmer faldt mellem to stole.

Efter: I konsoliderer sikkerhedsværktøjerne i Microsoft Defender-suiten. Ét dashboard, ét team, færre blinde vinkler – og ifølge Gartner (2024) reducerer konsolidering risikoen for oversete trusler markant.

Tjekliste med cyberforsikringskrav til MFA, EDR og backup for danske SMV'er

Tjekliste: 5 krav jeres cyberforsikring sandsynligvis stiller

Forsikringsselskaber i Norden har strammet kravene markant. Kan I ikke dokumentere disse kontroller, risikerer I afslag eller kraftig merpris ved fornyelse:

Krav Hvad forsikringen forventer Microsoft 365-løsning
1. MFA på alle konti MFA håndhævet på e-mail, VPN og admin-konti Entra ID + Conditional Access
2. EDR på alle endpoints Endpoint Detection & Response på servere og klienter Defender for Business
3. Testet backup med offline kopi Immutable backup adskilt fra produktionsmiljøet, testet minimum årligt Azure Backup / tredjeparts SaaS-backup
4. Incident response-plan Dokumenteret plan med roller, kontaktlister og GDPR-procedure Intern plan + MSP-aftale
5. Awareness-træning Årlig phishing-træning og rapporteringsprocedure for medarbejdere Defender for Office 365 Attack Simulation

Gennemgå jeres forsikringspolice og spørgeskema. Marker hvert punkt med grønt, gult eller rødt – og prioritér de røde inden næste fornyelse.

Er I dækket af jeres cyberforsikring? Book et gratis 30-minutters ransomware-tjek, hvor vi gennemgår jeres Microsoft 365-opsætning for de 5 mest kritiske huller. Book her →

Tidslinje over de første 24 timer under et ransomware-angreb med handlingstrin for ledelsen

Hvad gør ledelsen de første 24 timer under et ransomware-angreb?

Panik er den dyreste reaktion. Her er en kortfattet drejebog for de første timer:

  1. Time 0–1: Isolér og bekræft. Tag kompromitterede enheder offline. Bekræft omfanget med jeres IT-team eller MSP-partner. Sluk ikke servere – forensic-data går tabt.
  2. Time 1–4: Aktivér beredskabsplanen. Ring til jeres incident response-kontakt (MSP, forsikringsselskab, juridisk rådgiver). Dokumentér alt i en separat kanal (ikke i det kompromitterede miljø).
  3. Time 4–12: Vurdér datalæk. Undersøg om data er eksfiltreret. Tjek Defender-logs og Entra ID-loginhistorik for usædvanlig aktivitet. Hvis persondata er berørt, start GDPR-uret (72 timer til Datatilsynet).
  4. Time 12–24: Kommunikér. Informér bestyrelse, nøglekunder og medarbejdere. Vær ærlig om omfanget. Undgå at betale løsesum – det forlænger typisk genopretningen og finansierer næste angreb.

Har I ikke en plan klar, koster det tid. Og tid er det, I har mindst af under et angreb.

Fejl der koster: 4 ting danske SMV’er overser

  1. Legacy-autentificering er stadig aktiv. POP og IMAP omgår MFA. Bloker det i Conditional Access – i dag.
  2. Backup af Microsoft 365 mangler. Microsoft garanterer oppetid, ikke jeres data. Implementér en separat SaaS-backup af Exchange, SharePoint og OneDrive.
  3. Admin-konti uden separat MFA. Globale administratorer bør have dedikerede konti med phishing-resistent MFA (FIDO2-nøgler) og ingen daglig e-mail.
  4. Ingen test af gendannelse. En backup, I aldrig har testet, er ikke en backup. Kør en restore-test mindst én gang om året, og dokumentér resultatet.

Ofte stillede spørgsmål om ransomware-beskyttelse

Hvad er dobbelt afpresning ved ransomware?

Dobbelt afpresning betyder, at angriberne både krypterer jeres filer og stjæler data. De truer med at offentliggøre de stjålne data, hvis I ikke betaler. Det gør backup utilstrækkeligt som eneste forsvar, fordi data allerede er kopieret ud af jeres miljø.

Er Microsoft 365 Business Premium nok til ransomware-beskyttelse?

Business Premium dækker en stor del af fundamentet: Defender for Business (EDR), Conditional Access, MFA og e-mailbeskyttelse. Men det kræver korrekt konfiguration, overvågning og en separat backup-løsning for M365-data. Licensen alene beskytter jer ikke – opsætningen gør.

Skal vi betale løsesum ved et ransomware-angreb?

Nej. Betaling forlænger typisk genopretningstiden og giver ingen garanti for, at data slettes eller returneres. Ifølge Sophos (2024) har virksomheder, der betaler, højere samlede omkostninger. Investér i stedet i forebyggelse og testet backup.

Hvilke krav stiller cyberforsikringen til vores IT-setup?

De fleste forsikringsselskaber kræver som minimum: MFA på alle konti, EDR på alle endpoints, testet og immutable backup, en dokumenteret incident response-plan og årlig awareness-træning. Mangler I ét af disse punkter, risikerer I afslag eller merpris.

Hvordan spreder ransomware sig via Microsoft 365?

Typisk via phishing-mails, der stjæler loginoplysninger til Entra ID. Derfra kan angriberen tilgå SharePoint, OneDrive og e-mail. Hvis OneDrive-synkronisering er aktiv, kan krypterede filer fra en lokal maskine synkronisere op og overskrive cloud-kopier. Conditional Access og Defender for Office 365 er de primære modforanstaltninger.

Hvor hurtigt skal vi reagere på et ransomware-angreb?

Inden for den første time. Isolér kompromitterede enheder, aktivér jeres beredskabsplan og kontakt jeres MSP eller incident response-team. Median-opholdstid for ransomware er 4 dage – jo hurtigere I opdager og reagerer, jo mindre skade.

Er backup af Microsoft 365 nødvendigt, når Microsoft selv tager backup?

Ja. Microsofts indbyggede retention beskytter mod infrastrukturfejl, ikke mod ransomware eller utilsigtet sletning. I har brug for en separat SaaS-backup med immutable kopier og tilstrækkelig retention til at dække langsom kryptering over uger.

Sådan styrker I jeres ransomware-beskyttelse: 6 konkrete skridt

  1. Håndhæv MFA på alle konti i Entra ID – start med admin-konti og udvid til alle brugere inden 30 dage. Bloker legacy-autentificering samme dag.
  2. Udrul Defender for Business på alle endpoints – aktivér automatisk undersøgelse og respons (AIR). Verificér, at alle enheder rapporterer ind i Defender-portalen.
  3. Implementér separat backup af Microsoft 365 – vælg en løsning med immutable kopier og minimum 90 dages retention. Test gendannelse kvartalsvis.
  4. Dokumentér en incident response-plan – inkludér kontaktlister (MSP, forsikring, juridisk, Datatilsynet), roller og kommunikationsskabeloner. Kør en tabletop-øvelse årligt.
  5. Kortlæg jeres cyberforsikringskrav – gennemgå policen og spørgeskemaet. Luk huller i MFA, EDR og backup inden næste fornyelse.
  6. Book et ransomware-tjek med A-one Solutions – vi gennemgår jeres Microsoft 365-opsætning og identificerer de mest kritiske huller på 30 minutter.

Tilmeld dig vores nyhedsbrev

Synes du også det er fantastisk at lære nye ting? Tilmeld dig til vores nyhedsbrev, og få opdateringer og tilbud.

Ved at tilmelde, accepterer du vores datapolitik

Kontakt os

Har du flere spørgsmål? Vi står klar ved linjen

Du kan ringe til dette nummer for alle relvante sprøgsmål eller support.

+45 70 26 48 50

IT support firma medarbejder hjælper erhvervskunde med teknisk løsning

Skal vi tage et kig på jeres IT?

Skriv jer op — vi kontakter dig inden for én arbejdsdag med en uforpligtende vurdering?