Mange ejere af små virksomheder tror stadig, at ransomware-angreb kun rammer hospitaler, globale varemærker eller offentlig infrastruktur. I virkeligheden er risikoen for ransomware i små virksomheder et af de rydeligste eksempler på, hvordan angribere konsekvent målretter deres indsats mod organisationer med værdifulde data, begrænset tid og svagere forsvar.

Nylige resultater fra Protons Data Breach Observatory viser, at små og mellemstore virksomheder ofte er ofre for databrud. De er også uforholdsmæssigt repræsenteret i de mest skadelige hændelser, herunder databrud, der involverer højrisikodata og eksponering af store mængder oplysninger.

Ransomware er et problem for driftskontinuitet, sikkerhed af legitimationsoplysninger og databeskyttelse. Den britiske regerings Cyber Security Breaches Survey viste, at 1 % af de britiske virksomheder identificerede ransomware-hændelser i de foregående 12 måneder, hvilket er en stigning fra mindre end 0,5 % i 2024. På nationalt plan svarer det til anslået 19.000 virksomheder.

Trods stigningen i ransomware er phishing stadig den mest almindelige type cyberangreb. Angribere får oftest adgang til virksomhedsnetværk gennem mennesker, legitimationsoplysninger og rutinemæssige arbejdsgange snarere end gennem storstilede cyberangreb. De kan i det væsentlige bruge et phishing-angreb til derefter at lancere et større ransomware-angreb, hvis de vejrer en større gevinst.

For en lille virksomhed kan skaderne fra ransomware forårsage betydelige forstyrrelser af driftskontinuiteten. Teammedlemmer mister adgang til filer og kan ikke fortsætte deres arbejde, driften sættes ned i gear eller stopper, og kunder eller klienter får ikke tilstrækkelige tjenester. Hvis personoplysninger bliver kompromitteret, vil der følge indberetningspligter. En praktisk ransomware-strategi for små og mellemstore virksomheder skal dække begge aspekter af et angreb: forebyggelse og gendannelse.

Hvordan fungerer ransomware?

Ransomware er en type malware, der forhindrer Dem i at få adgang til enheder eller data, normalt ved at kryptere filer, og derefter kræver en betaling i bytte for dekryptering. I mange tilfælde gør angribere nu mere end blot at låse filer. De stjæler også data og truer med at lække dem, hvis løsesummen ikke betales, hvilket gør begivenheden til både en tilgængelighedskrise og et potentielt databrud.

Ofre bliver ofte instrueret i at kommunikere via anonym e-mail eller websider og at betale i kryptovaluta. For små virksomheder er den skelnen vigtig, fordi kryptovaluta er anonym, decentraliseret og ureguleret af traditionelle finansielle institutioner: det er næsten umuligt at spore betalinger.

En ransomware-begivenhed er ikke altid begrænset til at miste adgang til filer. Det kan også betyde, at kundeoplysninger, medarbejderdata, økonomiske optegnelser, kontrakter eller login-legitimationsoplysninger allerede er blevet eksfiltreret. Ransomware kan føre til tab af rettidig adgang til personoplysninger og, hvor en sikkerhedskopi ikke er passende eller tilgængelig, endda permanent tab.

Angrebskæden er normalt mere ordinær, end De forventer. De hændelser, der er lette at overse, og som kan føre til et ransomware-angreb, omfatter:

  • Phishing-links bliver fulgt.
  • Genbrugte adgangskoder bliver eksponeret i et databrud.
  • Fjernadgangstjeneste efterlades eksponeret.
  • Kendte sårbarheder efterlades uden fejlrettelser

Når en angriber får adgang til et virksomhedsnetværk, bevæger de sig sidelæns, eskalerer privilegier, deaktiverer gendannelsesstier, hvor det er muligt, og udruller kryptering eller afpresning, hvor det gør mest ondt. Intet enkelt værktøj eller løsning kan forhindre ransomware-angreb. I stedet må organisationer fokusere på at reducere antallet af nemme stier ind i deres netværk.

Hvorfor små virksomheder er uforholdsmæssigt målrettede

Små virksomheder er attraktive mål for ransomware af en simpel årsag: de ligger inde med værdifulde data, der ikke er så godt beskyttet, som de burde være. Protons seneste observationer viser, at små og mellemstore virksomheder tegner sig for 63 % af de databrud, der er sporet siden januar 2025, og mere end 352 millioner lækkede optegnelser.

De tegner sig også for 61 % af de databrud, der involverer højrisikodata, hvor små virksomheder alene repræsenterer 48 % af disse kritiske hændelser. Blandt databrud, der eksponerer mere end 100.000 optegnelser, tegner små og mellemstore virksomheder sig for 60 %, og små virksomheder repræsenterer 42 %.

Små virksomheder er ikke skødesløse. Faktisk beviser Protons SMB Cybersecurity Report 2026, at små virksomheder forsøger at forbedre deres cybersikkerhed. Problemet er, at deres forsvar svigter under virkelige forhold. Inkonsekvent håndhævelse, menneskelige fejl, vaner med delt adgang og begrænset intern sikkerhedskapacitet er det, der gør små virksomheder til fristende mål.

I Protons undersøgelse af 3.000 ledere i virksomheder med under 250 ansatte svarede 39 %, at hændelser stammede fra menneskelige fejl, og 48 % svarede, at de ikke havde en adgangskodeadministrator på plads.

Større virksomheder har ofte dedikerede responsteams, segmenterede miljøer, testede sikkerhedskopieringsplaner og ekstern hændelsessupport allerede på plads. Mindre virksomheder har ofte én begrænset it-funktion, outsourcet support eller ingen dedikeret sikkerhedsekspert. Når angrebet rammer, tvinges virksomheden til at træffe beslutninger med store indsatser, mens den er under operationelt pres. Det pres er præcis, hvad ransomware-operatører satser på.

De mest almindelige adgangsveje for ransomware i små og mellemstore virksomheder

Efter at have undersøgt de studier, der er udført i Storbritannien, ved vi, at phishing fortsat er den dominerende vektor for cyberkriminalitet mod virksomheder. Men hvorfor? Det er fordi phishing ofte er det første skridt mod tyveri af legitimationsoplysninger, kompromittering af konto, levering af malware eller misbrug af fjernadgang.

Svage eller genbrugte legitimationsoplysninger er et andet stort problem. Små virksomheder har ofte delte logins, adgangskoder genbrugt på tværs af flere tjenester eller gamle konti, der forbliver aktive, efter at nogen skifter rolle eller stopper. Når først angribere får fat i ét fungerende login, behøver de ikke at hacke sig ind på konti. De kan blot logge ind.

Derfra kan en dårligt beskyttet admin-konto, en eksponeret sky-konsol eller et fjernadgangspunkt uden to-faktor-godkendelse (2FA) blive broen til en bredere ransomware-hændelse. Realistisk set er organisationer nødt til at udrulle 2FA, adgang med færrest mulige privilegier og regelmæssige gennemgange af tilladelser for at reducere, hvor let stjålne legitimationsoplysninger kan genbruges, og hvor langt malware kan sprede sig.

U-patchet software er et andet tilbagevendende indgangspunkt. NCSC bemærker, at ransomware i stigende grad udrulles via eksponerede tjenester såsom RDP eller u-patchede fjernadgangsenheder, og anbefaler, at sårbarheder i fjernadgangs- og internetvendte systemer patches, så snart opdateringerne bliver tilgængelige. For SMB’er er dette punktet, hvor en overset hændelse i al stilhed bliver til en angrebsflade.

Sådan beskytter De mod ransomware: en lagdelt tilgang

Der findes ingen enkelt kontrolforanstaltning, der kan forhindre ransomware. Den mest effektive tilgang er lagdelt og praktisk.

Start med identitetsadministration

Dataene på teammedlemmernes konti kræver grundig beskyttelse for at afvise ransomware-angreb. Gør to-faktor-godkendelse obligatorisk, hvor det er muligt, på tværs af forretningskritiske konti, især e-mail, administrationsværktøjer, skylager, finansielle platforme, fjernadgangspunkter og alle systemer, der gemmer kundernes personoplysninger eller andre følsomme personhenførbare oplysninger (PII).

Forbedr adgangskodehygiejnen

Angribere bryder ikke altid ind på konti. Ofte logger de ind med stjålne eller genbrugte legitimationsoplysninger. Enhver virksomhedskonto skal have en unik, stærk adgangskode, og delt adgang bør erstattes med administreret, sikker deling af legitimationsoplysninger via en adgangskodeadministrator til erhverv frem for via regneark, chats eller e-mail.

Protons egen SMB-rapport fremhæver, at selv virksomheder med de rette værktøjer ofte stadig falder tilbage på usikre vaner for deling af adgangskoder. Det er præcis her, en sikker adgangskodeadministrator til erhverv som Proton Pass for Business kan reducere risikoen: den hjælper teams med at oprette stærke og unikke legitimationsoplysninger, gemme dem sikkert og give adgang på en kontrolleret og sikker måde.

Patch-administration skal være disciplineret

Sikkerhedsopdateringer til operativsystemer, apps, VPN’er, værktøjer til fjernadgang og grænseenheder bør behandles som driftsmæssige nødvendigheder, ikke valgfri vedligeholdelse. Installer sikkerhedsopdateringer så hurtigt som muligt, og aktivér automatiske opdateringer, hvor det er praktisk muligt.

Robust e-mail- og webbeskyttelse

E-mailfiltrering, kontrol af vedhæftninger, blokering af kendte ondsindede websteder og beskyttelse ved sikker browsing reducerer alt sammen sandsynligheden for, at ransomware overhovedet bliver leveret. Da phishing er så udbredt, er disse kontrolforanstaltninger vigtige.

Håndtér menneskelige fejl

Selv når De har implementeret sikkerhedsforanstaltninger og en adgangskodepolitik, er træning i sikkerhedsbevidsthed stadig nødvendig. Træning hjælper personalet med at spotte mistænkelige e-mails og forsøg på social engineering, men folk vil stadig begå fejl.

Stærkere værktøjer eller funktioner og adgangskontrol bør tage udgangspunkt i dette. NCSC anbefaler udtrykkeligt bevidsthedstræning, men Protons forskning påpeger også, at træning alene ikke fanger alle fejl. Godt sikkerhedsdesign reducerer skaden, når nogen klikker, ved at gøre det mindre sandsynligt, at én fejl bliver til en fuldskala hændelse, hvad enten det er via 2FA, adgang med færrest mulige privilegier, stærkere e-mailbeskyttelse, segmenteret adgang eller testede sikkerhedskopier, der understøtter gendannelse.

Beskyt gendannelsen, før De får brug for den

Sikkerhedskopier skal være regelmæssige, isolerede og testede. ICO anbefaler en 3-2-1-tilgang: tre kopier, på to forskellige enheder, med én lagret eksternt. NCSC tilføjer en vigtig driftsmæssig advarsel: ransomware kan have infiltreret Deres miljø før opdagelsen, så sikkerhedskopier bør scannes før gendannelse, og selve sikkerhedskopisystemerne bør beskyttes.

Forbindelsen til legitimationsoplysninger: hvorfor adgangskoder stadig betyder noget i ransomware-forsvar

Det er let at tænke på ransomware som malware og glemme, at adgangskoder spiller en rolle i et vellykket angreb. Men mange ransomware-hændelser begynder med tyveri, genbrug eller misbrug af logins.

Det kan betyde, at en medarbejder genbruger en adgangskode fra en anden tjeneste, at en konto tilhørende en tidligere ekstern konsulent forbliver aktiv, at legitimationsoplysninger til en administrator deles mellem flere personer, eller at et eksponeret fjernadgangspunkt kun er beskyttet af en adgangskode. Hver af disse genveje udvider angrebsfladen.

Dette er en af grundene til, at stærk administration af legitimationsoplysninger hører hjemme i enhver plan for gendannelse efter ransomware og i enhver forebyggelsesramme. Unikke adgangskoder pr. tjeneste reducerer skadesomfanget af et stjålet login. MFA gør den stjålne adgangskode mindre nyttig i sig selv, mens centraliseret lagring af legitimationsoplysninger fjerner behovet for usikre nødløsninger.

Sikker deling betyder, at medarbejderne får den adgang, de har brug for, via kontrollerede metoder, der kan spores, frem for via uformel deling af adgangskoder. Regelmæssig gennemgang af, hvem der har adgang til hvad, understøtter også princippet om færrest mulige privilegier, som NCSC anbefaler som en del af at begrænse lateral bevægelse og spredning.

Vi har skrevet udførligt om de ransomware-trusler, som SMB’er står over for. Igen og igen ser vi det samme: angribere leder i stigende grad efter de virksomheder, der er lettere at bryde ind i, ikke kun virksomhederne med de største navne.

Hvad De skal gøre, hvis Deres lille virksomhed bliver ramt

1. Inddæm hændelsen

Hvis Deres virksomhed rammes, er Deres højeste prioritet inddæmning. Afbryd inficerede enheder fra netværket, deaktiver kompromitterede konti, hvis De kan identificere dem, isoler stier til fjernadgang, bevar beviser og undgå at slette systemer for hurtigt, hvis De får brug for retsmedicinsk support senere.

2. Rapportér hændelsen

NCSC råder britiske organisationer til at rapportere hændelser og leverer dedikeret ransomware-vejledning til respons og gendannelse. Protons guide til hændelsesrespons er også en nyttig reference til at strukturere den bredere beslutningsproces omkring inddæmning, efterforskning, kommunikation og gendannelse.

3. Betal ikke løsesummen

NCSC og britiske retshåndhævende myndigheder opfordrer, støtter eller tolererer ikke betaling af løsesumskrav. De bemærker, at der ikke er nogen garanti for, at De vil få adgang til Deres systemer igen, at de stadig kan være inficerede, at De vil finansiere kriminelle grupper, og at De kan være mere tilbøjelig til at blive angrebet igen.

ICO er ligeledes klar omkring, at betaling af en løsesum ikke reducerer risikoen for personer og ikke sikrer oplysningerne. Selv hvis der tilbydes en dekrypteringsnøgle, er der ingen garanti for, at den vil fungere, eller at stjålne data ikke stadig vil blive lækket.

4. Start gendannelse

Gendannelse bør fokusere på langsom og sikker genopretning. Det betyder genopbygning fra rene sikkerhedskopier, validering af, at angrebsstien er blevet lukket, rotation af berørte legitimationsoplysninger, omhyggelig genaktivering af adgang og dokumentation af, hvad der skete. Hvis sikkerhedskopier er forbundet til live-systemer eller ikke er blevet testet, er det ofte her, virksomheder opdager fejl nummer to efter den første. En god plan for gendannelse efter ransomware starter reelt længe før en hændelse overhovedet finder sted.

Britiske rapporteringsforpligtelser: hvornår ICO skal inddrages

Hvis en ransomware-hændelse påvirker personoplysninger, kan dette være et databrud under den britiske GDPR. ICO forklarer, at tab af adgang til personoplysninger i sig selv kan udgøre et brud, hvor det skaber risiko for enkeltpersoner, og at De skal underrette ICO uden unødig forsinkelse og, hvor det er muligt, inden for 72 timer, hvis bruddet sandsynligvis vil resultere i en risiko for personers rettigheder og friheder. Hvis risikoen er høj, skal de berørte personer muligvis også informeres uden unødig forsinkelse.

Nogle organisationer antager stadig, at hvis de genopretter systemer hurtigt, eller der ikke er nogen åbenlys offentlig lækage, er rapportering unødvendig. Det er ikke en sikker antagelse. ICO’s ransomware-vejledning adresserer eksplicit scenarier for underretning om databrud og gør det klart, at vurderingen afhænger af risikoen for enkeltpersoner, ikke kun af om stjålne filer allerede er dukket op online.

Ransomware er nu et problem for SMV’er

Små virksomheder rammes af løsesumsangreb hyppigere og hyppigere, og når de rammes, kan konsekvenserne være alvorlige, fordi angribere udnytter deres svagheder. Protons seneste data om databrud synliggør dette: truslen er målbar, voksende og operationelt forstyrrende.

Den gode nyhed er, at det grundlæggende kan gøre meget af det tunge arbejde for enhver SMV. Foranstaltninger såsom brug af en adgangskodeadministrator til virksomheder til at udrulle 2FA og oprette unikke legitimationsoplysninger, opdatering, e-mail-filtrering, medarbejderbevidsthed, gennemgang af tilladelser, testede sikkerhedskopier og planlægning af hændelsesrespons virker måske ikke prangende i sig selv, men tilsammen gør de en betydelig forskel. De reducerer sandsynligheden for, at en enkelt stjålet adgangskode, én phishing-e-mail eller én eksponeret fjerntjeneste eskalerer til et virksomhedsomfattende nedbrud.