Ransomware beskyttelse for SMV: 7 lag der stopper angreb

IT-chef i dansk advokatfirma gennemgår ransomware-forsvar i Microsoft 365 på skærm

Ransomware beskyttelse for SMV: 7 lag der stopper moderne angreb

Af Sten Albert Person A-one Solutions ·
·
Kategori: IT-sikkerhed

Antivirus alene stopper ikke et moderne ransomware-angreb. Angriberne lister sig ind, ligger i jeres netværk i dagevis og stjæler klientdata, før de krypterer. For advokater og revisorer er det ikke kun nedetid — det er et datalæk, der kan koste klienter og omdømme. Her får I de syv lag, der reelt holder dem ude, og hvordan I sætter dem op med de Microsoft 365-licenser, I allerede betaler for.

Det vigtigste i korte træk om ransomware beskyttelse for SMV

  • Identitet er den nye perimeter: Skift fra SMS-koder til phishing-resistent MFA (FIDO2 eller Authenticator med number-matching) — det lukker AI-phishing.
  • I har 4-5 dage: Angribere ligger typisk dage i netværket før kryptering. EDR med adfærdsdetektion fanger dem i det vindue (Vectra AI, 2025).
  • Backup skal være immutable: Hackerne sletter jeres backup først. Uden offline/uforanderlig kopi har I intet at gendanne fra.
  • Double extortion er den reelle risiko: Data stjæles og bruges til afpresning. Stop exfiltration med DLP, ikke kun gendannelse.
  • En plan slår panik: 54% af danske SMV’er mangler procedurer for hændelser (IT-Branchen). En kort playbook sparer timer.

Diagram over syv sikkerhedslag mod ransomware i et Microsoft 365-miljø

Hvorfor rammer ransomware netop danske SMV’er nu?

Cyberkriminalitet er blevet en franchise. Ransomware-as-a-Service (RaaS) sælger færdige angrebsværktøjer, og antallet af aktive grupper er steget kraftigt, mens angrebene voksede 47% år over år (Vectra AI, 2025). Professionelle services er et yndlingsmål, fordi I sidder på fortrolige klientdata, der kan bruges til afpresning.

Samtidig halter forsvaret. 40% af danske SMV’er har et sikkerhedsniveau, der ikke matcher deres risiko, og 15% mangler helt basal patching og backup (Sikkerdigital.dk, 2024). 75% af SMV’er vurderer, at de ikke overlever et succesfuldt angreb (StationX, 2026). Det er ikke en teknisk fodnote — det er en forretningsrisiko.

Tjekliste: De 7 lag i jeres ransomware-forsvar

Rækkefølgen er bevidst. Start ved identitet, slut ved beredskab. Hvert lag har en konkret kontrol og hvad I kigger efter.

  1. Phishing-resistent MFA på alle konti. Erstat SMS med FIDO2-nøgler eller Microsoft Authenticator med number-matching i Entra ID. MFA blokerer fortsat ~99% af automatiserede angreb (Microsoft, 2025). Kig efter: ingen brugere undtaget, heller ikke ledelse og IT-admins.
  2. Conditional Access og Zero Trust. Bloker login fra ukendte lande, ukonforme enheder og legacy-protokoller. Antag at brud sker, og begræns adgang per rolle. Kig efter: politikker i “enforce”, ikke “report only”.
  3. EDR med adfærdsdetektion. Microsoft Defender for Business fanger “Living off the Land”-teknikker (PowerShell, RDP) i dwell time-vinduet. Kig efter: automatisk isolering af inficerede enheder slået til.
  4. Systematisk patching. Kritiske sårbarheder lukkes inden for 48-72 timer via Intune. Kig efter: en compliance-rapport, der viser dækningsgrad over 95%.
  5. Immutable backup. Ugentlig fuld + daglig inkrementel, offline eller uforanderlig (Sourcepass, 2026). Kig efter: at I har testet en faktisk gendannelse inden for de seneste 90 dage.
  6. Netværkssegmentering og lukket RDP. RDP må aldrig eksponeres mod internettet — kun bag VPN med MFA (CISA). Segmentér så et brud ét sted ikke spreder sig. Kig efter: ingen åbne 3389-porte i jeres firewall.
  7. Incident response-plan + brugertræning. En kort playbook og simuleret phishing fire gange om året. Kig efter: at planen er testet i en tabletop-øvelse, ikke kun skrevet.

Før: MFA via SMS, manuel patching når der er tid, backup på en NAS i samme netværk. Efter: FIDO2 i Entra ID, automatisk patching via Intune med 96% dækning, immutable backup adskilt fra produktion — og en testet gendannelse i baghånden.

Er jeres Microsoft 365-miljø sikret mod moderne ransomware? Book 30 minutters uforpligtende sparring med en sikkerhedsspecialist og få en gap-analyse af jeres nuværende Defender- og Entra ID-opsætning.

Tidslinje der viser dwell time fra indtrængen til kryptering ved et ransomware-angreb

Hvad er double extortion — og hvorfor er det værre for advokater og revisorer?

Moderne angreb kører i to trin. Først stjæler angriberne data, derefter krypterer de. Selv hvis I gendanner fra backup, truer de med at lække klientdata (ENISA, 2025). For professionelle services er det fatalt: et datalæk er et GDPR-brud med anmeldelsespligt og potentielt tab af klientforhold.

Løsningen er at stoppe data, før det forlader huset. Microsoft Purview Data Loss Prevention markerer og blokerer udførsel af fortrolige dokumenter, og Defender opdager unormal datatrafik. Før: ingen kontrol med hvad der forlader SharePoint. Efter: DLP-politikker, der blokerer masseudførsel af klientmapper og alarmerer IT med det samme. Det flytter fokus fra oppetid til fortrolighed — som er det, jeres branche faktisk lever af.

Sådan får I mest ud af Microsoft 365 Business Premium

Zero Trust er ikke kun for store koncerner. Business Premium indeholder Defender for Business, Entra ID Conditional Access, Intune og Purview. Mange SMV’er betaler allerede for licenserne, men har kun slået halvdelen til. En licensgennemgang afslører hurtigt, hvor I kan hæve sikkerheden uden nye omkostninger. Læs vores guide til it-sikkerhed og hvordan vi kobler det med Microsoft 365.

Skærmbillede-koncept af Conditional Access-politik i Microsoft Entra ID

Ofte stillede spørgsmål om ransomware beskyttelse for SMV

Hvad koster et ransomware-angreb for en SMV?

Regn ikke kun med løsesummen. De reelle omkostninger er nedetid, gendannelse, juridisk bistand, anmeldelse til Datatilsynet og tabt forretning. 75% af SMV’er vurderer, at de ikke ville overleve et succesfuldt angreb (StationX, 2026). Tommelfingerregel: forebyggelse er en brøkdel af prisen for genopretning.

Er Microsoft 365 backup nok mod ransomware?

Nej. Microsofts indbyggede genopbevaring beskytter mod fejlsletning, men er ikke en fuld, uforanderlig backup. I skal have en separat tredjeparts-backup af Exchange, SharePoint, OneDrive og Teams med immutable storage. Test gendannelsen mindst hvert kvartal.

Hvordan stopper man ransomware?

Med lag, ikke ét produkt. Phishing-resistent MFA stopper de fleste indbrud, EDR fanger dem der slipper igennem, og immutable backup sikrer, at I altid kan komme tilbage. Lukket RDP og patching fjerner de mest udnyttede indgange.

Hvad er double extortion ransomware?

Det er når angriberne både krypterer jeres data og truer med at offentliggøre stjålne filer. Selv med en god backup er presset reelt, fordi et datalæk udløser GDPR-konsekvenser. Forsvaret er Data Loss Prevention og overvågning af datatrafik.

Dækker cyberforsikring ransomware?

Kun hvis I opfylder kravene. Forsikringsselskaberne kræver typisk MFA, EDR, immutable backup og en hændelsesplan. Mangler I én af kontrollerne, kan dækningen bortfalde. Dokumentér jeres opsætning, så I kan vise compliance.

Hvor lang tid tager det at gendanne efter ransomware?

Med en testet immutable backup: timer til få dage. Uden: uger, hvis det overhovedet lykkes. Forskellen ligger i, om I har øvet gendannelsen før angrebet, ikke under det.

Er SMS-MFA godt nok i 2026?

Nej. AI-phishing og SIM-swap omgår SMS-koder. Skift til FIDO2-nøgler eller Microsoft Authenticator med number-matching. Det er gratis at slå til i Entra ID og lukker det største hul.

Sådan kommer I i gang — konkrete skridt

  1. Slå phishing-resistent MFA til i Entra ID for alle konti denne uge — start med IT-admins og ledelse.
  2. Aktivér automatisk enheds-isolering i Defender for Business.
  3. Tjek jeres firewall for åbne RDP-porte (3389), og luk dem bag VPN med MFA.
  4. Opsæt eller verificér immutable backup, og kør en testgendannelse inden for 30 dage.
  5. Skriv en én-sides incident response-plan: hvem ringer I til, og i hvilken rækkefølge.
  6. Book en gap-analyse af jeres M365-opsætning, så I ved præcis hvilke af de syv lag der mangler. Kontakt os her.

Tilmeld dig vores nyhedsbrev

Synes du også det er fantastisk at lære nye ting? Tilmeld dig til vores nyhedsbrev, og få opdateringer og tilbud.

Ved at tilmelde, accepterer du vores datapolitik

Kontakt os

Har du flere spørgsmål? Vi står klar ved linjen

Du kan ringe til dette nummer for alle relvante sprøgsmål eller support.

+45 70 26 48 50

IT support firma medarbejder hjælper erhvervskunde med teknisk løsning

Skal vi tage et kig på jeres IT?

Skriv jer op — vi kontakter dig inden for én arbejdsdag med en uforpligtende vurdering?