Hvordan kommer ransomware typisk ind?

De tre store indgange er phishing, stjålne eller svage loginoplysninger uden MFA, og upatchede internetvendte tjenester. Forsvaret skal derfor dække alle tre — træning og DMARC, MFA, og patch-styring.

Beskytter vores backup os ikke?

Kun hvis den overlever angrebet og kan gendannes hurtigt nok. Angribere går målrettet efter at slette eller kryptere backups, og dobbelt afpresning rammer uanset backup. Offline/immutable kopier og testede gendannelsesplaner er afgørende.

Hvor hurtigt skal vi reagere ved mistanke?

Med det samme. Isolér berørte maskiner fra netværket (uden at slukke dem — hukommelsen kan indeholde beviser og krypteringsnøgler), aktivér jeres incident response-plan, og tilkald kvalificeret hjælp. De første timer afgør omfanget.

Skal et ransomware-angreb anmeldes?

Politianmeldelse anbefales altid. Er persondata berørt, gælder GDPR’s 72-timersfrist til Datatilsynet, og NIS2-omfattede virksomheder skal varsle den nationale CSIRT inden for 24 timer ved væsentlige hændelser.

Viden

Hvad er ransomware — og hvordan beskytter I virksomheden?

Ransomware er skadelig software, der krypterer virksomhedens filer og systemer, hvorefter angriberne kræver løsesum for at låse dem op igen. Moderne angreb kombinerer ofte kryptering med tyveri af data, så afpresningen fortsætter med trusler om offentliggørelse — såkaldt dobbelt afpresning. Ransomware er den hændelsestype, der oftest lukker driften helt i ramte SMV'er.

Udgivet: 20. juni 2026Opdateret: 20. juni 2026Læsetid: 5 min.

Hvordan foregår et ransomware-angreb?

Et typisk forløb starter længe før, skærmene bliver sorte. Angriberen skaffer sig adgang — oftest via phishing, stjålne loginoplysninger eller en upatchet, internetvendt tjeneste (fx VPN eller fjernskrivebord). Derefter bevæger angriberen sig rundt i netværket, eskalerer rettigheder, lokaliserer backups og forretningskritiske systemer — og stjæler data undervejs.

Først når fodfæstet er solidt, udløses krypteringen, ofte uden for arbejdstid. At krypteringen er sidste skridt betyder også, at der typisk har været dage eller uger, hvor angrebet kunne være opdaget med ordentlig overvågning.

Hvad er dobbelt afpresning?

Ved dobbelt afpresning krypterer angriberne ikke kun data — de stjæler dem først. Selv hvis I kan gendanne alt fra backup, fortsætter afpresningen: betal, eller data offentliggøres eller sælges. Det ændrer regnestykket, fordi backup alene ikke længere neutraliserer hele truslen, og fordi et datalæk samtidig udløser forpligtelser efter GDPR og — for omfattede virksomheder — underretningsfrister efter NIS2-loven.

Skal man betale løsesummen?

Betaling garanterer hverken fungerende dekryptering eller at stjålne data slettes — I har kriminelles ord for det. Betaling finansierer samtidig næste angreb og markerer jer som betalingsvillige. Myndigheder fraråder generelt betaling, og i visse tilfælde kan betaling til sanktionerede grupper i sig selv være ulovlig.

Den reelle beslutning bør dog ikke træffes i panik under et angreb. Tag stilling på forhånd i jeres incident response-plan, sammen med jeres backup-strategi og forsikringsdækning — så er spørgsmålet afklaret, før det bliver akut.

Hvad beskytter reelt mod ransomware?

Backup efter 3-2-1-princippet med mindst én kopi offline eller uforanderlig (immutable) — og regelmæssig test af, at gendannelse faktisk virker.
MFA på alt eksternt tilgængeligt: VPN, mail, administrationsadgange. Stjålne koder er den hyppigste indgang.
Patching af internetvendte systemer hurtigt efter offentliggjorte sårbarheder.
Segmentering og least privilege, så ét kompromitteret endpoint ikke giver adgang til hele netværket — og backupsystemer ikke kan nås med almindelige driftskonti.
Detektion og respons (EDR/SIEM/XDR), der opdager angriberens bevægelser i dagene før krypteringen, mens skaden stadig kan begrænses.

Ofte stillede spørgsmål

Hvordan kommer ransomware typisk ind?
De tre store indgange er phishing, stjålne eller svage loginoplysninger uden MFA, og upatchede internetvendte tjenester. Forsvaret skal derfor dække alle tre — træning og DMARC, MFA, og patch-styring.
Beskytter vores backup os ikke?
Kun hvis den overlever angrebet og kan gendannes hurtigt nok. Angribere går målrettet efter at slette eller kryptere backups, og dobbelt afpresning rammer uanset backup. Offline/immutable kopier og testede gendannelsesplaner er afgørende.
Hvor hurtigt skal vi reagere ved mistanke?
Med det samme. Isolér berørte maskiner fra netværket (uden at slukke dem — hukommelsen kan indeholde beviser og krypteringsnøgler), aktivér jeres incident response-plan, og tilkald kvalificeret hjælp. De første timer afgør omfanget.
Skal et ransomware-angreb anmeldes?
Politianmeldelse anbefales altid. Er persondata berørt, gælder GDPR’s 72-timersfrist til Datatilsynet, og NIS2-omfattede virksomheder skal varsle den nationale CSIRT inden for 24 timer ved væsentlige hændelser.

Kilder

Forsvarets Efterretningstjeneste / CFCS: trusselsvurderinger om cyberkriminalitet

NIS 2-loven og vejledning om hændelsesunderretning (samsik.dk)

Datatilsynet: anmeldelse af brud på persondatasikkerheden

Vil I have styr på det i praksis?

Auroa hjælper SMV'er og kommuner med at omsætte krav og risici til konkrete tekniske løsninger. Book en uforpligtende afklaringssamtale.

Book en afklaringssamtale Se relateret ydelse

Vil I have styr på det i praksis?

Auroa hjælper SMV'er og kommuner med at omsætte krav og risici til konkrete tekniske løsninger. Book en uforpligtende afklaringssamtale.