top of page
Bittech kunder Logoer (1).png

Ransomware-beredskab for SMV: en konkret plan, der virker på en travl hverdag

  • Forfatters billede: Michael Lund
    Michael Lund
  • for 5 dage siden
  • 4 min læsning

Hvad gør du, når en medarbejder pludselig ikke kan åbne filer, og der dukker en besked op om betaling for at få adgang igen? For mange SMV’er er det ikke et tænkt scenarie, men et spørgsmål om tid.


Et ransomware beredskab SMV handler ikke om at have en 50-siders manual, ingen læser. Det handler om at kunne træffe få, rigtige valg under pres, få styr på gendannelse, og komme tilbage i drift uden at gøre skaden større.


Her får du en plan, der kan ligge i en mappe, printes på én side, og bruges, når det brænder på.


Hvad et ransomware-beredskab i praksis skal kunne (og de typiske SMV-faldgruber)


Ransomware er i bund og grund et driftstop forklædt som IT-problem. Når filer og systemer krypteres, rammer det fakturering, produktion, mail, kundesager og ofte også telefonerne, fordi folk går i panik og bruger samme enheder til alt.


Et brugbart beredskab har tre mål:


  1. (så én pc ikke bliver til hele serveren).

  2. (så du kan finde indgangen og undgå gentagelse).

  3. (så du ikke genindfører infektionen).


Hvis du vil have et bredere overblik over grundstenene, kan du supplere med BitTechs IT-sikkerhedsguide 2025 – beskyttelsesstrategier.


De klassiske faldgruber i SMV’er er næsten altid de samme:


  • Første gang man prøver gendannelse, er efter angrebet.

  • Én kompromitteret bruger bliver til fuld kontrol.

  • Især gamle konti, shared mailbokse, VPN, RDP eller tredjepartsportaler.

  • Patching bliver “når der er tid”, og der er aldrig tid.

  • Hvem må lukke serveren? Hvem ringer til kunder? Hvem taler med myndigheder?


Brug rammer som inspiration, ikke som bureaukrati: NIST CSF giver en god struktur (Identify, Protect, Detect, Respond, Recover), NIST 800-61 beskriver incident response-livscyklus, og ISO 27001 hjælper med at få ansvar og politikker forankret.

Vil du have konkrete anbefalinger målrettet ransomware, er CFCS’ guide rigtig god, se CFCS’ vejledning til at reducere risikoen for ransomware.


Forebyggelse der passer ind i hverdagen (billige wins, der gør en stor forskel)

Forebyggelse behøver ikke være tungt. Det handler om få kontroller, der fjerner de mest brugte indgange.

Start her, hvis du kun har én uge:


MFA overalt: Microsoft 365, VPN, fjernadgang, admin-konti, økonomisystem, supportportaler. Kræv det også hos leverandører. Et “MFA-hul” er en åben dør.


Least privilege: Brugere skal ikke være lokale administratorer. Del admin-opgaver op i separate konti (en normal bruger og en admin-bruger). Slå gamle konti fra, især tidligere medarbejdere og gamle servicekonti.

Patching med fast rytme: Aftal en cadence, som ingen diskuterer hver uge. Hellere “godt nok” fast end “perfekt” sjældent.


EDR på endpoints: Antivirus alene er ofte ikke nok. EDR hjælper med at opdage mistænkelig adfærd og stoppe kryptering tidligt.

Netværkssegmentering light: Du behøver ikke et stort projekt. En enkel opdeling kan gøre meget: gæstenet adskilt, servere i eget segment, og begrænsning af “fri trafik” mellem klienter og servere.


Backup, der overlever ransomware: Følg 3-2-1, men tilføj to ting: immutabel backup (kan ikke ændres) og en offline-kopi. Planlæg også restore-test, ellers er det ønsketænkning.


Som pejlemærke kan du også kigge i vejledningen til tekniske minimumskrav, selv om den er skrevet til staten, er mange punkter direkte brugbare i SMV’er.

Din 1-sides ransomware-beredskabsplan (skabeloner + “første 60 minutter”-tjekliste)

Et ransomware beredskab SMV skal kunne bruges kl. 07:30 en mandag. Her er en “printbar” struktur, du kan kopiere direkte ind i et dokument.


1) 1-sides beredskabsplan (skabelon)


Formål: Stop spredning, sikre drift, gendanne data, håndtere kommunikation.


Roller (navn, telefon, alternativ):

  • Incident lead (beslutninger, prioritering)

  • IT-ansvarlig eller ekstern IT-partner (teknisk håndtering)

  • Ledelse (driftsbeslutninger, økonomi)

  • Kommunikation (kunder, medarbejdere)

  • DPO eller GDPR-ansvarlig (vurdering af brud, anmeldelse)


Kritiske systemer i prioritet:

  1. Økonomi og fakturering

  2. Mail og identitet (Microsoft 365)

  3. Fildeling og ERP/CRM

  4. Produktion og driftssystemer


Gendan fra: Primær backup, sekundær (immutabel), offline-kopi.

Myndighedskontakt: Beredskabet skal have en fast beslutning om, hvem der kontakter politi og relevante instanser.

2) “Første 60 minutter”-tjekliste

  1. : Tag den mistænkte pc fra net (kabel ud, Wi-Fi fra). Sluk ikke alt ukritisk, men stop spredning hurtigt.

  2. : Deaktiver VPN, RDP og midlertidigt eksterne forbindelser, hvis I kan gøre det kontrolleret.

  3. : Reset passwords og sessions for mistænkte brugere, især admin.

  4. : Notér tid, beskeder på skærm, filendelser, brugernavn, IP hvis muligt. Tag fotos. Gem logs, hvis I har dem.

  5. : Hvilke enheder, hvilke servere, hvilke cloud-konti?

  6. : Én kanal internt (fx Teams på mobil) og én talsperson. Undgå rygter.


Tip: CFCS har mere generel hjælp til forebyggelse og håndtering på CFCS’ side om forebyggelse.

3) Kontaktliste (skabelon)


  • Ekstern IT-support: navn, vagttelefon, kunde-ID

  • Backup-leverandør: hotline, kontrakt nr.

  • Cloud admin (Microsoft 365): navn, nødadgang

  • Forsikring (cyber): police nr., skadesmail

  • Juridisk rådgiver: kontakt (hvis relevant)

  • Lokalt politi: kontaktvej (aftal internt, hvem der ringer)


4) Kommunikationsskabelon til kunder (kopiér og tilpas)


Emne: Driftshændelse påvirker vores IT-systemer


Hej [navn], Vi oplever lige nu en IT-hændelse, som påvirker dele af vores systemer. Vi arbejder sammen med vores IT-partner på at afgrænse og gendanne driften. På nuværende tidspunkt [kan vi/can’t we] bekræfte, om kundedata er berørt. Vi vender tilbage senest [tidspunkt] med en status. Hvis du har en igangværende sag, kan du kontakte os på [telefon] i mellemtiden. Venlig hilsen [Navn], [titel]


5) De næste 24-72 timer (kort plan)

  • Gendan kun til

    og opdaterede systemer.

  • Undersøg indgangen (phishing, sårbarhed, fjernadgang, leverandørkonto).

  • Vurder databrud og dokumentér beslutninger. Datatilsynet har et kort

    , som er relevant at have i baghovedet.

  • Hold fast i linjen: Fokus på gendannelse og læring, ikke på at betale løsesum.


Konklusion: Gør det enkelt, og øv det én gang i kvartalet


Et ransomware beredskab SMV virker kun, hvis det er enkelt nok til at blive brugt. Sæt en fast patch-rytme, få MFA og rettigheder på plads, og gør backup til noget I tester, ikke noget I håber på.


Print 1-sides planen, udfyld kontaktlisten, og lav en 30-minutters øvelse i kvartalet. Når det sker, er det ikke planens skønhed, der redder jer, det er tempo og klare roller.


Ansvarsfraskrivelse: Indholdet er generel vejledning og er ikke juridisk rådgivning. Ved mistanke om persondatabrud eller andre lovpligtige forhold bør du rådføre dig med relevant fagperson og følge gældende regler.

bottom of page