Ransomware-beredskab for danske SMV’er: tjekliste til backup, adgang, logning og træning

12. februar 2026

Et cyberangreb føles ofte som at møde på arbejde og opdage, at alle døre er låst, og nøglerne er væk. Systemer virker ikke. Filer er krypteret. Og driften stopper, mens man prøver at forstå, hvad der sker.

For danske SMV’er er ransomware beredskab ikke en “nice to have”. Det er en robust beredskabsplan for at opretholde IT-sikkerhed og holde hjulene i gang, også når en medarbejder klikker på det forkerte link, eller en sårbar server bliver ramt.

I området omkring Århus, Randers og Lystrup ser vi samme mønster: mange har avanceret digitalisering, men har for lidt tid til sikkerhed, for få hænder til IT-support og for uklare rutiner, når det brænder på.

Hvorfor ransomware rammer SMV’er hårdt (og ofte uden varsel)

Modern minimalist Nordic-style office scene with two IT professionals at a desk reviewing a network diagram on screen, subtle lock and skull cyber threat icons in background, calm professional atmosphere with modern furniture and Nordic light. Et typisk scenarie: IT-ansvarlig og ledelse vurderer risiko og næste skridt, skabt med AI.

Et hackerangreb starter sjældent med en “stor” hændelse. Cybertrusler starter småt. En mail der ligner en leverandør. Et genbrugt password. En pc uden patch. En fjernaccess der aldrig blev lukket efter en tidligere leverandør.

Konsekvensen bliver stor, fordi SMV’er typisk har:

  • få systemejere (ofte én person, der også har andre opgaver)
  • afhængighed af fællesdrev, ERP og mail
  • begrænset overblik over, hvad der er kritisk, og hvad der kan vente

Myndighederne peger også på et gab mellem risiko og praksis i danske SMV’er. Styrelsen for Samfundssikkerhed beskriver et markant behov for at løfte sikkerheden, blandt andet fordi en formel risikovurdering og en klar IT-sikkerhedspolitik ofte mangler, og nogle helt basale tiltag stadig mangler hos mange (opdatering og backup). Se analysen: behovet for at styrke SMV’ers digitale sikkerhed.

Ransomware er heller ikke kun “kryptering”. I dag er afpresning ofte dobbelt: først låses data, så trues der med læk. Datatilsynet beskriver netop den praksis og hvad den betyder for behandlingssikkerhed: Datatilsynets beskrivelse af ransomware og brud.

Når man ser det sådan, bliver beredskab mindre “IT-projekt” og mere “driftsforsikring”.

Tjekliste til ransomware-beredskab: backup, adgang, logning og træning

Modern minimalist corporate Nordic-style infographic featuring four icon groups for backup, secure access, logging, and training, arranged in a clean checklist layout with dark blue, white, gray colors and subtle red accents. Tjekliste-områderne samlet: backup, adgang, logning og træning, skabt med AI.

Et brugbart ransomware beredskab kan forklares i fire spor. Hvis ét spor mangler, bliver de andre sværere at bruge, når det gælder.

Tjekliste til backup (det, der giver jer en vej tilbage)

Backup handler om databeskyttelse og at kunne genskabe driften, ikke om at have “en kopi et sted”.

Minimum for de fleste SMV’er:

  • mindst én offline backup eller “immutable” kopi (en kopi som ikke kan ændres af en angriber)
  • daglig backup af kritiske systemer og filområder
  • månedlig restore-test

Mange bruger Microsoft 365 til mail og dokumenter. Det er fint, men det fjerner ikke behovet for en selvstændig backup-strategi. Man skal kunne genskabe SharePoint, OneDrive og mail, også hvis konti misbruges, eller data slettes med forsinkelse.

For en praktisk, dansk vinkel kan CFCS’ vejledning bruges som pejlemærke: CFCS vejledning om at reducere risikoen for ransomware.

Adgang (hvem kan hvad, og hvor nemt kan det misbruges)

De fleste angreb bliver nemme, fordi adgangsstyring er for løs.

Prioritér:

  • Multifaktor-godkendelse på alle konti, især admin og Microsoft 365
  • separate admin-konti (ingen admin-rettigheder til daglig drift)
  • sikker VPN ved fjernadgang for at minimere risici for kundedata
  • “least privilege” (kun de rettigheder, der er nødvendige)
  • hurtig lukning af konti ved fratrædelse, samme dag, ikke “når vi får tid”

Proaktive IT-sikkerhedstiltag som en penetrationstest kan finde huller, før hackerne gør. Tænk adgang som nøglekort. Jo flere master-nøgler der findes, jo større bliver oprydningen.

Logning (bevis og overblik, når man er under pres)

Når et angreb rammer, opstår der altid samme spørgsmål: Hvornår startede det, og hvor langt er det nået?

Derfor skal logning være besluttet på forhånd:

  • central log for Microsoft 365 og identitet (sign-ins, ændringer, nye regler)
  • alarmer på umulige logins, masse-sletning og privilegie-ændringer
  • retention (opbevaring) der passer til jeres risiko (ofte mindst 30 til 90 dage)

Logning er virksomhedens “sort boks”. Uden den gætter man.

Træning (den del, der typisk gør størst forskel)

SMV’er får sjældent tid til lange kurser. Træning virker bedst i små bidder, og med klare regler:

  • stop og tjek ved fakturaændringer og hastebetalinger
  • rapportér mistænkelige mails med det samme
  • “hellere én gang for meget” som kultur

Her bliver hurtig hjælp afgørende. Når en medarbejder sidder fast med et IT-problem, vælger mange en genvej. Og genveje bliver sikkerhedshuller. Derfor giver fast It-support og adgang til IT-eksperter en direkte sikkerhedseffekt, ikke kun bedre trivsel.

Når angrebet sker: de første 60 minutter og samarbejdet med IT-eksperter

Modern minimalist corporate scene in Nordic style with dark blue, white, gray tones and subtle red accents, showing a war-room overview with playbook on table, phone, network diagram, PC and backup icons, three relaxed professionals, and subtle cyber threat icon. En rolig, struktureret incident response med klare roller og værktøjer, skabt med AI.

Ransomware beredskab er en del af den overordnede beredskabsplan for “når det sker”. Her vinder man tid ved at have roller og handlinger skrevet ned, før stressen rammer.

De første 60 minutter er en kritisk del af beredskabsplanen og bør være simple:

  1. Isolér berørte enheder (tag netværk fra, stop spredning).
  2. Stop automatiske synkroniseringer, hvis der sker masseændringer.
  3. Bevar beviser (logs, tidspunkter, skærmbilleder), men undgå at rode rundt.
  4. Afklar IT-drift: hvad skal op igen først (mail, økonomi, produktion, kundesystem).
  5. Kontakt ekstern hjælp, hvis I ikke selv har kapacitet.

Her er det, mange SMV’er mærker deres største udfordring: der er ikke tid til fejlsøgning, mens produktionen står stille i nedetid. Man har brug for cybersecurity -hjælp til infrastrukturen her og nu, og man har brug for folk, der kan træffe beslutninger hurtigt.

Hos NETDK handler beredskab om at få det ned på jorden: klare prioriteringer, realistiske mål for gendannelse og en supportmodel, der virker i praksis. Det gælder både remote og on-site, især når virksomheder i Århus, Randers og Lystrup har brug for en tekniker, der kan møde op og få overblik.

Samtidig bliver krav og forventninger strammere. NIS2 fylder mere i 2026, også for mange leverandører til større virksomheder. Hvis man vil forstå den operationelle del (hvad man faktisk skal kunne), giver denne gennemgang et godt overblik: NIS2-parathed for SMV’er.

Konklusion: Beredskab er ro, ikke panik

Ransomware kommer ofte ind ad en lille sprække, men skaden kan blive stor. Et godt Ransomware-beredskab bygger på fire ting der hænger sammen: backup, adgang, logning og træning. Og det bliver stærkere, når der er IT-support, som kan reagere hurtigt, både teknisk og praktisk. Dette handler om langsigtede modstandsdygtighed og risikominimering, med det ultimative mål at hæve sikkerhedsniveauet så virksomheden aldrig behøver betale en løsesum. Proaktiv IT-sikkerhed forvandler frygt til kontrol. Næste skridt er enkelt: vælg én svaghed i dag, luk den, og gentag næste uge.