Jeres backup er det eneste, der står mellem jer og en løsesum på flere hundrede tusinde kroner. Angriberne ved det. Derfor går de efter at slette eller kryptere jeres backup-data, før de låser resten af miljøet. Denne guide giver jer en konkret plan til at isolere jeres backups, teste gendannelse korrekt og opfylde de skærpede krav fra cyberforsikringsselskaber.

Det vigtigste på 60 sekunder

• 96% af ransomware-angreb forsøger at kompromittere backups – hvis jeres backup-konto deler credentials med produktionsmiljøet, er den allerede i fare. (VikingCloud, 2026)
• Kun halvdelen gendanner via backup – resten betaler løsesum, fordi deres backups var slettet eller inficeret. (Sophos, 2025)
• Immutable backup er nu et forsikringskrav – 93% af aktive cyberpolicer kræver dokumenteret immutable backup og MFA. (SQ Magazine, 2026)
• Gennemsnitlig recovery-omkostning for en SMV: $1,53M – størstedelen er tabt omsætning, ikke løsesum. (Sophos, 2025)
• Test af gendannelse er ikke nok – I skal teste for clean restore, dvs. at jeres backup ikke indeholder malware, der geninficerer miljøet.

Hvorfor angriberne går efter jeres backup før alt andet

Ransomware-grupper opererer som virksomheder. De ved, at en SMV med fungerende backups aldrig betaler. Derfor er det første mål i et angreb at finde og ødelægge backup-repositories.

Ifølge Veeam (2025) forsøger angribere at kompromittere backup-systemer i over 90% af tilfældene. De bruger kompromitterede admin-konti til at logge ind på backup-konsoller, slette snapshots og deaktivere retention policies. I Microsoft 365-miljøer sker det ofte via stjålne Global Admin-credentials.

Microsofts Digital Defense Report (2025) dokumenterer massiv vækst i “human-operated ransomware”, hvor angriberne bruger legitime remote management-værktøjer til at bevæge sig lateralt. De behøver ikke malware – de bruger jeres egne værktøjer.

Før: Backup-admin-kontoen deler password med den daglige admin-konto. Angriberen logger ind og sletter 6 måneders backups på 4 minutter.
Efter: Backup-kontoen er isoleret i et separat Azure-abonnement med dedikeret MFA og break-glass-procedure. Angriberen kan ikke nå den, selv med fuld kontrol over produktionsmiljøet.

Tjekliste: 7 skridt til ransomware-sikret backup

Brug denne tjekliste til at auditere jeres nuværende backup-setup. Hvert punkt har et konkret kriterium, I kan verificere.

#	Handling	Hvad I kigger efter	Status
1	Aktivér immutable storage	Azure Blob Immutable Policy eller Veeam Hardened Repository er konfigureret med WORM (Write Once, Read Many). Retention lock er sat til minimum 30 dage.	☐
2	Isolér backup-identiteter	Backup-admin-kontoen lever i et separat Azure AD-tenant eller har dedikeret Conditional Access-policy med phishing-resistent MFA.	☐
3	Implementér 3-2-1-1-0	3 kopier, 2 medietyper, 1 offsite, 1 immutable/offline, 0 fejl ved seneste test-restore.	☐
4	Test clean restore kvartalsvist	Gendannelse sker i et isoleret netværk. Scan backup-data for malware inden restore til produktion. Dokumentér resultatet.	☐
5	Overvåg backup-jobs dagligt	Automatiske alerts ved fejlede jobs, uventede sletninger eller ændringer i retention policies. Integrer med jeres MSP-overvågning.	☐
6	Segmentér netværksadgang	Backup-servere er på et separat VLAN. Ingen direkte RDP/SSH-adgang fra bruger-segmentet.	☐
7	Dokumentér for cyberforsikring	Samlet dokumentation af punkt 1-6 i en backup-policy, der kan fremvises ved forsikringsfornyelse og NIS2-audit.	☐

Sådan beregner I prisen på nedetid (og retfærdiggør budgettet)

De fleste ejerledere forstår risikoen, men mangler et tal at forholde sig til. Her er en simpel formel:

Daglig nedetidsomkostning = (Årlig omsætning ÷ 250 arbejdsdage) × tabsfaktor

Tabsfaktoren afhænger af, hvor digitalt afhængig jeres forretning er. For en typisk dansk SMV med 50 medarbejdere og 40 mio. kr. i årlig omsætning:

• Daglig omsætning: 160.000 kr.
• Tabsfaktor 0,7 (de fleste processer kræver IT): 112.000 kr. pr. dag i tabt omsætning
• Gennemsnitlig nedetid ved ransomware: 24 dage (Spacelift, 2026)
• Potentielt tab: 2,7 mio. kr. – før I overhovedet tæller recovery-omkostninger

Sæt det op mod prisen på en managed backup-løsning med immutable storage og test. For de fleste SMV’er ligger den på 3.000-8.000 kr./md.

Før: Ledelsen ser backup som en driftsomkostning og skærer budgettet ved næste sparerunde.
Efter: IT-ansvarlig præsenterer en RTO-beregning i kroner. Ledelsen godkender immutable backup som en forsikring mod 2,7 mio. kr. i potentielt tab.

Hvorfor jeres cyberforsikring nægter dækning uden immutable backup

Forsikringsselskaber har lært af de seneste års udbetalinger. Ifølge en 2026-opgørelse kræver 93% af aktive cyberpolicer nu dokumentation for immutable backup, MFA og endpoint detection (SQ Magazine, 2026).

Mangler I bare ét af disse punkter, risikerer I:

• Afvisning af skadesanmeldelse ved ransomware
• Forhøjet præmie ved fornyelse (gennemsnitligt 24% stigning i 2025)
• Krav om re-audit inden dækning genaktiveres

NIS2-direktivet forstærker presset. Jeres større kunder i forsyningskæden kræver nu dokumentation for, at I har testede, isolerede backups. Kan I ikke levere den, mister I kontrakten – ikke kun forsikringen.

Sådan undgår I at genindlæse ransomware fra jeres egen backup

En test-restore beviser, at I kan gendanne data. Den beviser ikke, at data er rent. Ransomware kan ligge dormant i jeres backup i uger, før det aktiveres.

En clean restore-proces kræver tre ting:

1. Isoleret gendannelsesmiljø: Gendan til et separat VLAN eller Azure-subscription uden forbindelse til produktion.
2. Malware-scanning af backup-data: Kør endpoint detection og antivirus-scanning på de gendannede filer, inden de flyttes til produktion.
3. Validering af integritet: Kontrollér at kritiske databaser, AD-objekter og konfigurationsfiler er intakte og uændrede.

Ifølge CyberFortress/Veeam (2025) kræver sand resiliens “clean backups” og foruddefinerede processer for, hvem der gør hvad under gendannelse. Uden det risikerer I at starte forfra – to gange.

Ofte stillede spørgsmål om ransomware beskyttelse for SMV’er

Tager Microsoft ikke backup af vores M365-data?

Nej. Microsoft garanterer platformens oppetid, ikke jeres data. Microsofts Shared Responsibility Model placerer ansvaret for databeskyttelse hos jer. I har brug for en dedikeret Microsoft 365 backup-løsning med immutable retention.

Hvad er forskellen på immutable backup og almindelig backup?

Almindelig backup kan slettes eller ændres af en admin-konto. Immutable backup bruger WORM-teknologi, så data ikke kan ændres eller slettes inden for en fastsat periode – heller ikke af en kompromitteret admin.

Hvor ofte skal vi teste gendannelse?

Tommelfingerregel: Kvartalsvis for forretningskritiske systemer, halvårligt for øvrige. Dokumentér altid resultatet – jeres cyberforsikring kræver det.

Hvad koster immutable backup i Azure for en 50-mands virksomhed?

Regn med 2.000-6.000 kr./md. afhængigt af datamængde og retention-periode. Sæt det i forhold til en potentiel nedetidsomkostning på 100.000+ kr. pr. dag.

Kan ransomware ramme vores cloud-backups i Azure?

Ja, hvis backup-kontoen deler credentials med produktionsmiljøet. CISA advarer specifikt om, at angribere målretter cloud-snapshots og hypervisor-backups. Løsningen er logisk og identitetsmæssig adskillelse.

Hvad gør vi de første 4 timer efter et ransomware-angreb?

Isolér inficerede maskiner fra netværket. Ring til jeres MSP eller incident response-kontakt. Lad være med at slukke servere (det ødelægger forensic-data). Aktivér jeres break-glass-procedure for backup-adgang. Kommunikér internt via en kanal, der ikke er kompromitteret (f.eks. mobil).

Opfylder vi NIS2-kravene med en standard backup-løsning?

Sandsynligvis ikke. NIS2 kræver dokumenterede og testede beredskabsplaner, herunder backup-procedurer. En standard backup uden immutability, test-dokumentation og incident response-plan lever sjældent op til kravene.

Jeres næste 5 skridt

1. Auditér jeres backup-identiteter i dag. Tjek om backup-admin-kontoen har separat MFA og ikke deler credentials med produktions-admin.
2. Aktivér immutable storage. Slå WORM/immutable policy til på jeres Azure Blob Storage eller Veeam repository med minimum 30 dages retention lock.
3. Planlæg en clean restore-test inden næste kvartal. Gendan til et isoleret miljø, scan for malware, og dokumentér resultatet.
4. Beregn jeres daglige nedetidsomkostning. Præsentér tallet for ledelsen sammen med prisen på immutable backup.
5. Book et gratis Backup & Ransomware Sanity Check – vi tester om jeres setup kan modstå et angreb og lever op til cyberforsikringens krav.