Tel: 70 26 48 50
Opret din support sag Support ikon      Remote support TeamViewer logo

Ransomware ramte jer — sådan overlever jeres SMV med den rette backup og recovery

Dansk virksomhed ramt af ransomware med låst skærm og backup-recovery plan på bordet

Ransomware ramte jer — sådan overlever jeres SMV med den rette backup og recovery

Af Sten Albert Person A-one Solutions ·
·
Kategori: IT-sikkerhed

Klokken er 06:14 en mandag morgen. Jeres medarbejdere logger på — og møder en sort skærm med et krav om løsesum i Bitcoin. Alle filer er krypteret. Exchange er nede. ERP’et svarer ikke. I har backup, men ved I reelt, om den virker? Og hvor hurtigt I kan være kørende igen?

Det vigtigste fra denne artikel

  • Backup ≠ recovery. En kopi af jeres data er værdiløs uden en aftale, der garanterer, hvornår I er oppe igen (RTO/RPO).
  • Tryk aldrig “Gendan” direkte. Gendannelse uden isolation risikerer reinfection — NIST anbefaler clean-room recovery.
  • Hackere går efter backuppen først. Ifølge Veeam (2025) forsøger angribere i over 90 % af tilfældene at slette eller kryptere backup-repositories.
  • Cyberforsikringen kan afvise jer. Mangler I MFA på backup-konsollen og immutable storage, risikerer I afslag på dækning.
  • Immutable backup halverer nedetiden. Virksomheder med immutable backups kommer hurtigere op end dem, der betaler løsesum (Sophos, 2025).

Tidslinje over de første 24 timer efter et ransomware-angreb på en dansk SMV

Hvorfor “vi har backup” ikke redder jer efter ransomware

De fleste danske SMV’er betaler for en backup-løsning. Færre har en recovery-aftale med en defineret SLA. Forskellen er afgørende:

  • Backup = en kopi af jeres data, typisk gemt dagligt. Den fortæller jer intet om, hvornår I er kørende igen.
  • Recovery = en aftale med konkrete mål: RTO (Recovery Time Objective — max nedetid) og RPO (Recovery Point Objective — max datatab målt i timer).

Uden RTO og RPO er jeres backup-aftale et løfte uden deadline. I ved, at data findes et sted. Men I ved ikke, om I er oppe om 4 timer eller 4 uger.

Før: I betaler for daglig backup til én cloud-lokation. Ingen har testet en fuld gendannelse. Ingen kender RTO.
Efter: I har en managed recovery-aftale med dokumenteret RTO på 8 timer for Tier 1-systemer, kvartalsvis test-restore og immutable kopi i separat sikkerhedsdomæne.

Sådan ser de første 24 timer ud efter et ransomware-angreb

NIST anbefaler i deres Ransomware Response-guide, at I aldrig gendanner direkte i det kompromitterede miljø. Her er en realistisk køreplan:

  1. Time 0–1: Isolér. Tag kompromitterede maskiner og netværkssegmenter offline. Sluk ikke — bevar forensic-data. Ring til jeres sikkerhedspartner.
  2. Time 1–4: Kortlæg omfanget. Hvilke systemer er krypteret? Er backup-repositories intakte? Tjek sign-in-logs i Microsoft 365 for kompromitterede konti.
  3. Time 4–8: Aktivér clean-room recovery. Gendan data i et isoleret miljø — aldrig direkte tilbage i det ramte netværk. Scan for malware, valider dataintegritet.
  4. Time 8–16: Genopbyg identitet. Rotér alle credentials. Håndhæv MFA og Conditional Access. Fjern suspekte OAuth-apps og mailbox-regler.
  5. Time 16–24: Kontrolleret cutover. Flyt validerede data fra clean-room til nyt produktionsmiljø. Re-image endpoints før tilslutning.

Springer I trin 3 over og gendanner direkte, risikerer I at genoplive ransomwaren. Det er præcis det, NIST advarer imod.

Diagram over clean-room recovery-proces med isoleret gendannelsesmiljø

Tjekliste: Kan jeres backup-aftale modstå ransomware?

Brug denne tjekliste til at auditere jeres nuværende setup. Hvert “nej” er en risiko.

Krav Hvad I kigger efter Ja/Nej
Immutable backup Mindst én kopi på WORM/object-lock storage, som ingen admin kan slette i retentionsperioden
Separat sikkerhedsdomæne Backup-repository ligger i et andet cloud-abonnement/tenant end produktionsdata
MFA på backup-konsol Alle backup-administratorer bruger MFA — ikke delte konti
Defineret RTO/RPO pr. system I har skriftlige mål: fx RTO 4–8 timer for e-mail, RTO 24 timer for arkiv
Kvartalsvis test-restore I tester gendannelse af mindst ét Tier 1-system hvert kvartal — med logget resultat
3-2-1-1-0 arkitektur 3 kopier, 2 medietyper, 1 offsite, 1 immutable, 0 fejl ved restore-test
Uafhængig af primær udbyder Mindst én backup-kopi eksisterer uden for jeres primære hosting-/cloud-udbyder

Kan I ikke sætte kryds ved alle syv, har I en backup — men ikke en recovery-strategi.

Få testet jeres backup mod ransomware — gratis

Book et 30-minutters Recovery Tjek med A-one Solutions. Vi gennemgår jeres nuværende backup-arkitektur, identificerer huller i RTO/RPO og vurderer, om jeres setup lever op til kravene fra cyberforsikringen. Book Recovery Tjek her →

Fejl der koster: Hvad CloudNordic-katastrofen lærte danske virksomheder

I august 2023 mistede den danske hostingudbyder CloudNordic stort set al kundedata permanent efter et ransomware-angreb (TechCrunch, 2023). Årsagen: under en datacenter-migration blev servere, der allerede var inficeret med sovende malware, koblet på det interne administrationsnetværk. Angriberne krypterede produktionsdata og begge backup-lag i ét hug.

Tre konkrete læringer:

  1. Cloud er ikke backup. Kunderne troede, at data “i skyen” var sikret. Det var det ikke.
  2. Backup på samme netværk = ingen backup. Uden air-gap eller immutability kan ét kompromitteret admin-login slette alt.
  3. Migrationer er højrisiko-vinduer. Midlertidige ændringer i netværkssegmentering kan kollapse jeres sikkerhedsarkitektur.

Før: I stoler på, at jeres hostingudbyder håndterer backup. I har aldrig spurgt, om backup-systemet ligger i et separat domæne.
Efter: I har en udbyder-uafhængig backup-kopi på immutable storage i et separat Azure-abonnement, administreret med dedikerede konti og MFA.

3-2-1-1-0 backup-arkitektur med immutable og air-gapped lag

Hvorfor cyberforsikringen afviser dækning uden immutable backup

Danske cyberforsikringer stiller stadig skrappere krav. Underwriting-spørgeskemaer spørger direkte:

  • “Har I mindst én immutable eller air-gapped backup-kopi?”
  • “Hvor ofte tester I gendannelse fra backup?”
  • “Er MFA aktiveret på alle admin-konti — inkl. backup-konsollen?”

Kan I ikke dokumentere det, risikerer I højere selvrisiko, lavere dækningsloft eller direkte afslag. Omvendt rapporterer forsikringsmæglere, at virksomheder med dokumenteret immutability og test-restores opnår bedre præmier og bredere dækning.

Ofte stillede spørgsmål om ransomware backup og recovery for SMV’er

Er OneDrive-synkronisering det samme som backup?

Nej. OneDrive synkroniserer filer — inkl. krypterede filer. Hvis ransomware krypterer lokalt, synkroniseres skaden til skyen. Ægte backup kræver en separat, immutable kopi uden for synkroniseringskæden.

Hvad er en realistisk RTO for en dansk SMV med 50 medarbejdere?

For Tier 1-systemer (e-mail, ERP, fildeling): sigt efter 4–8 timers RTO. For Tier 2 (arkiv, sekundære SharePoint-sites): 24–72 timer er acceptabelt. Dokumentér det skriftligt i jeres driftsaftale.

Hvad koster det at mangle en recovery-plan?

Ifølge ENISA (2024) udgør ransomware over 50 % af alle rapporterede cyberhændelser i EU, og SMV’er rammes hårdest pga. manglende recovery-planer. Nedetid koster typisk langt mere end selve løsesummen — i tabt omsætning, kundetillid og genopbygning.

Hvad er forskellen på 3-2-1 og 3-2-1-1-0 backup-reglen?

3-2-1 kræver 3 kopier, 2 medietyper, 1 offsite. 3-2-1-1-0 tilføjer: 1 immutable/air-gapped kopi og 0 fejl ved restore-test. Den udvidede model er nu best practice mod ransomware.

Kan vi bare betale løsesummen og komme videre?

Frarådes. Der er ingen garanti for, at I får en fungerende dekrypteringsnøgle. Og ifølge Sophos (2025) er virksomheder med immutable backups hurtigere oppe end dem, der betaler. Betaling finansierer desuden fremtidige angreb.

Hvordan tester vi, om vores backup rent faktisk virker?

Kør en kvartalsvis sandbox-restore: gendan fx en Exchange-postkasse og et SharePoint-site i et isoleret miljø. Log målt RTO, datamængde og eventuelle fejl. Kør en fuld DR-øvelse mindst én gang årligt.

Hvad kræver NIS2 i forhold til backup og recovery?

NIS2 kræver dokumenteret forretningskontinuitet og krisehåndtering — herunder backup-strategi, test af gendannelse og incident response-planer. Læs mere om compliance-krav her.

Sådan kommer I fra sårbar til ransomware-klar: 5 konkrete skridt

  1. Auditér jeres nuværende backup. Brug tjeklisten ovenfor. Identificér om I har immutable storage, separat sikkerhedsdomæne og MFA på backup-konsollen.
  2. Definér RTO og RPO pr. system. Prioritér Tier 1 (e-mail, ERP, CRM) med stram RTO. Dokumentér det i en skriftlig recovery-plan.
  3. Implementér 3-2-1-1-0. Tilføj mindst én immutable, udbyder-uafhængig backup-kopi. Sørg for, at den administreres med dedikerede konti.
  4. Test kvartalsvist. Kør sandbox-restores og log resultaterne. Brug dem som dokumentation over for cyberforsikringen.
  5. Indgå en managed recovery-aftale. Skift fra “vi har backup” til “vi har en SLA på gendannelse”. Kontakt A-one Solutions for et uforpligtende Recovery Tjek.
Facebook Linkedin

Artikler om Sikkerhed

E-mail sikkerhed beskytte din virksomheds kommunikation mod phishing og svindel

E-mail sikkerhed er en gratis garanti hos os!

Bya-os.dk 07/03/2024
Mand arbejder koncentreret ved computer med fokus på Microsoft 365 Backup sikkerhed

Microsoft 365 Backup & Archive – hurtig og præcis hjælp

Bya-os.dk 10/10/2023

Tilmeld dig vores nyhedsbrev

Synes du også det er fantastisk at lære nye ting? Tilmeld dig til vores nyhedsbrev, og få opdateringer og tilbud.

Ved at tilmelde, accepterer du vores datapolitik

Kontakt os

Har du flere spørgsmål? Vi står klar ved linjen

Du kan ringe til dette nummer for alle relvante sprøgsmål eller support.

+45 70 26 48 50

Book møde
IT support firma medarbejder hjælper erhvervskunde med teknisk løsning

Skal vi tage et kig på jeres IT?

Skriv jer op — vi kontakter dig inden for én arbejdsdag med en uforpligtende vurdering?