Gode råd om IT-sikkerhed: 7 konkrete tiltag der virker for danske SMV'er

Opdateret maj 2026 · 8 min læsetid

De fleste IT-sikkerheds-råd er enten for tekniske eller for vage. Her er 7 konkrete tiltag, I kan begynde på i dag — med tidsestimater, omkostninger og kilder. Listen er bygget til danske SMV'er med 5-100 ansatte, hvor IT er noget I gør ved siden af kerneforretningen.

Vi har sorteret rådene efter effekt pr. indsats. Nr. 1 er det vigtigste, hvis I kun har tid til ét.

1Aktívér MFA på alle administrator- og email-konti5-10 min/konto

Multifaktor-autentifikation (MFA) er det enkelte tiltag, der har dokumenteret størst effekt. Coalitions Cyber Claims Report 2024 viste, at 82% af afviste cyberforsikrings-krav skyldtes manglende MFA på kritiske konti. (Coalition, 2024)

Start med administrator-konti og email-konti i Microsoft 365 eller Google Workspace. Brug en authenticator-app (Microsoft Authenticator, Google Authenticator, Authy) frem for SMS — SMS kan opsnappes via SIM-swap.

Hvorfor: MFA blokerer over 99% af automatiserede konto-overtagelser, selv når passwordet er lækket. Microsofts egen telemetri viser, at konti med MFA aktiveret stort set ikke kompromitteres via credential stuffing.

Anvend conditional access, hvis I har Microsoft 365 Business Premium — så kan MFA-kravet styres på baggrund af enhed, lokation og risikoniveau.

2Tjek om jeres emails er dukket op i kendte databrud2 min

Lige nu cirkulerer der milliarder af email/password-kombinationer på det mørke net. Hver gang et nyt site bliver hacket, vokser bunken. Have I Been Pwned aggregerer disse lækager og lader jer søge gratis.

I kan tjekke jeres domæne hos os og få en samlet rapport på alle email-adresser, der har været involveret i kendte databrud — uden at I selv skal kigge dem op én for én.

Læs mere om hvad et lækket password reelt koster jer: Lækkede passwords — den skjulte risiko for danske SMV'er.

Hvorfor: Verizon DBIR 2025 rapporterer, at stjålne credentials er involveret i 31% af alle databrud — og har været den førende initial-access-vektor i over et årti. Hvis en medarbejder genbruger sit password på et site, der bliver hacket, har angriberen pludselig nøglen til jeres systemer også.

3Aktívér SPF, DKIM og DMARC på jeres domæne2-8 uger

Email-protokollen fra 1982 har ingen indbygget afsenderverifikation. Det betyder, at hvem som helst i princippet kan sende mails, der ser ud som om de kommer fra jeres domæne — medmindre I har konfigureret SPF, DKIM og DMARC korrekt.

Resultatet af manglende email-autentifikation: falske fakturaer til jeres kunder, CEO-svindel mod jeres bogholderi, og domæne-spoofing der ødelægger jeres domæne-omdømme over tid.

Vi har skrevet en detaljeret guide: Hvad er SPF, DKIM og DMARC? Forklaret simpelt. Processen tager typisk 2-8 uger at gennemføre korrekt, fordi I skal verificere alle legitime afsendere før I slår DMARC i "reject"-tilstand.

Hvorfor: PwC Cybercrime Survey 2025 viser, at 62% af alle sikkerhedshændelser hos danske virksomheder starter med phishing. Korrekt DMARC (reject) stopper angribere fra at sende mails i jeres navn til andre — og beskytter dermed jeres kunder, leverandører og medarbejdere.

4Implementér 3-2-1 backup-strategien1-2 dage opsætning

3-2-1-reglen er den eneste backup-strategi, der konsekvent overlever ransomware-angreb:

3 kopier af jeres data (original + 2 backups)
2 forskellige medier (fx lokal disk + cloud, eller NAS + cloud)
1 kopi off-site — ude af huset, gerne offline eller immutable

Det kritiske element er off-site og immutable. Hvis ransomware kan nå jeres backup over netværket, krypterer den også den. Brug enten luftgapped offline-backups (rotation af eksterne diske) eller cloud-backup med immutability/object lock.

Test jeres restore mindst en gang i kvartalet. En backup, I aldrig har gendannet fra, er ikke en backup — den er håb.

Hvorfor: Sophos State of Ransomware 2024 rapporterer, at kun 35% af ramte virksomheder kommer fuldt på fode inden for en uge — og at 94% af angribere aktivt forsøger at kompromittere backups. En testet 3-2-1-strategi med immutable backups er forskellen på en hændelse og en katastrofe.

5Indfør regelmæssig patching af OS, browsere og apps30 min/måned

Patch-disciplin er kedsommeligt — og præcis derfor effektivt. En betydelig del af de aktivt udnyttede sårbarheder i 2024 var kendte i over et år. (CISA Known Exploited Vulnerabilities Catalog · Mandiant M-Trends 2025)

Konkret rytme for en SMV:

Windows-opdateringer: aktivér automatisk via Windows Update for Business eller en RMM-løsning. Sigt efter installation inden for 7 dage efter release.
Browsere: Chrome, Edge og Firefox opdaterer selv — men kun hvis brugeren genstarter dem. Lav en månedlig "luk alle vinduer fredag eftermiddag"-rutine.
Tredjepartsapps: Adobe Reader, Zoom, Teams, VPN-klienter, Java — brug Winget, Chocolatey eller en patch-manager.
Firmware på routere, switches, NAS, printere: kvartalsvis check. Disse glemmes oftest.

Hvorfor: Mandiant M-Trends 2024 viser, at 33% af alle initial-access-vektorer i 2023 var udnyttelse af kendte sårbarheder. Det er sjældent 0-days, der rammer SMV'er — det er gamle CVE'er, hvor patchen har været tilgængelig i måneder.

I vores Pro- og Enterprise-pakker kører vi daglig CVE-scanning på enheder med agent og leverer en prioriteret handlingsplan på kritiske sårbarheder. Udbedringen sker via jeres normale change-proces — vi automatisererer ikke selve patchingen, men holder øje og rapporterer.

6Awareness-træning og phishing-simuleringer15-30 min/medarbejder/år

Center for Cybersikkerhed (CFCS) anbefaler awareness-træning som et af de mest omkostningseffektive tiltag for danske virksomheder. Verizon DBIR 2024: 68% af alle databrud involverer en menneskelig faktor — klik på et link, åbning af en fil, indtastning af credentials på et falsk site.

Realistisk minimum for en dansk SMV:

Årlig grunduddannelse — 15-30 min/medarbejder. Phishing, password-hygiejne, BEC-genkendelse, sikker email-håndtering.
Kvartalsvise phishing-simuleringer — mål klik-rate og brug det som indikator, ikke som straf. Frekvensen er vigtigere end intensiteten.
Mikro-læring efter hændelser — når en medarbejder klikker, send et 2-minutters læringsklip i stedet for en irettesættelse.

Hvorfor: KnowBe4's 2024 Phishing by Industry Benchmarking Report viser at klik-rater på phishing-simuleringer falder fra 34,3% (uden træning) til 4,6% efter 12 måneders kontinuerlig træning — en reduktion på ca. 87%. CFCS anbefaler årligt minimum, gerne kvartalsvis.

7Skriv en incident response-plan — inden I får brug for den1 arbejdsdag

Når noget brænder, tæller minutter. Hvis I først skal opfinde processen på dagen, mister I 4-12 timer på afklaring — tid, hvor angriberen stadig er aktiv.

Minimum-indhold i en incident response-plan for en SMV:

Hvem ringes hvornår? Navne, mobilnumre, backup-personer. Ledelse, IT-partner, dataansvarlig, evt. forsikring og advokat.
Hvilke systemer er kritiske? Hvilke skal genoprettes først, hvilke kan vente. Hvilke har personoplysninger.
Hvordan dokumenteres hændelsen? Datavurdering, logs, samtaler, beslutninger — til Datatilsynet (72 timer ved persondatabrud) og forsikring.
Kommunikation: hvem taler med medarbejdere, kunder, presse. Hvem siger ingenting.
Genopretning: rul tilbage til seneste rene backup, isolér kompromitterede enheder, skift credentials.

Hvis I har eller overvejer en cyberforsikring, er en incident response-plan ofte et formelt krav — og en betingelse for hurtig udbetaling. Læs mere: Cyberforsikringens krav til danske SMV'er.

Hvorfor: IBM Cost of a Data Breach 2024: virksomheder med en testet incident response-plan reducerer den gennemsnitlige omkostning pr. databrud med 1,49 mio. USD sammenlignet med virksomheder uden plan. For NIS2-omfattede virksomheder er det desuden et lovkrav, at hændelser rapporteres inden for 24 timer — det kræver en plan på plads på forhånd.

Hvad nu? Prioriterér de tre næste

Det kan virke overvældende at se 7 punkter på en gang. Det er det også. Vores anbefaling er at vælge de tre, der har størst effekt for jeres situation, og lukke dem helt inden I går videre.

For de fleste danske SMV'er er det:

MFA på alle administrator-konti (råd 1) — kan gøres i dag
Tjek lækkede passwords (råd 2) — tager 2 minutter via vores gratis sikkerhedstjek
3-2-1 backup-verifikation (råd 4) — ring jeres backup-leverandør og bed dem demonstrere en restore

De øvrige råd kan køre som projekter over de næste 1-3 måneder. Hvis I ønsker en samlet plan, kan I se hvordan vi arbejder med dansk IT-sikkerhed — eller hoppe direkte til pakkerne.

Næste skridt

To måder at komme i gang på — vælg den der passer jeres situation.

Gratis sikkerhedstjek

30 sekunder. Vi scanner jeres domæne for åbne porte, email-sikkerhed, lækkede passwords og infostealer-kompromitteringer. Ingen installation.

Start gratis tjek →

Book 15 min med Michal

Uforpligtende samtale om jeres situation. Vi gennemgår jeres største risici og hvilke af de 7 råd, der har størst effekt for jer.

Book 15 min →

Ofte stillede spørgsmål

Hvor skal vi starte med IT-sikkerhed i en lille virksomhed?

Start med multifaktor-autentifikation (MFA) på alle administrator-konti og email-konti. Det er den enkelte foranstaltning, der stopper flest angreb — Microsoft har dokumenteret, at MFA blokerer over 99% af automatiserede konto-overtagelser.

Dernæst: tjek om jeres emails er dukket op i kendte databrud (haveibeenpwned.com), aktivér SPF/DKIM/DMARC på jeres domæne, og lav en 3-2-1 backup-strategi. De fire tiltag tager samlet under en arbejdsdag og koster typisk 0 kr. i licenser, hvis I allerede har Microsoft 365 eller Google Workspace.

Hvor meget koster det at opnå et fornuftigt sikkerhedsniveau?

For de fleste danske SMV'er kan man opnå et fornuftigt sikkerhedsniveau for 599-1.999 kr/md ex. moms.

Basis (599 kr/md) dækker månedlig ekstern scanning, email-sikkerhedstjek og credential-overvågning. Pro (1.999 kr/md) tilføjer daglig CVE-scanning på enheder via agent, ugentlig LAN-scan, Microsoft 365-hærdning og NIS2-dokumentation.

Mange af rådene i denne artikel (MFA, SPF/DKIM/DMARC, basal backup) kan I implementere selv uden ekstra licenser — rådgivningen er typisk det, der koster. Se vores pakker for detaljer.

Skal vi have awareness-træning, når vi kun er 10 ansatte?

Ja. Center for Cybersikkerhed (CFCS) anbefaler awareness-træning som et af de mest omkostningseffektive tiltag for danske virksomheder — også små. Verizon DBIR 2024 rapporterer, at 68% af alle databrud involverer en menneskelig faktor.

Med 10 ansatte er det realistisk at køre årlig grunduddannelse (15-30 min/medarbejder) suppleret med kvartalsvise phishing-simuleringer. Mange phishing-simulatorer koster 50-100 kr/bruger/md.

Hvad er det allervigtigste tiltag, hvis vi kun har tid til ét?

MFA på alle administrator- og email-konti. Coalitions Cyber Claims Report 2024 viste, at 82% af afviste cyberforsikrings-krav skyldtes manglende MFA.

Det er den enkelte sikkerhedsforanstaltning, der har størst dokumenteret effekt mod konto-overtagelser, ransomware og forretningsmail-kompromittering (BEC). Aktivering tager 5-10 minutter pr. konto i Microsoft 365 eller Google Workspace, og koster ingenting hvis I allerede har licenser.