>_AYSOLI SECURITY HUB
THREAT AREA

B2B REST-API

REST-APIs sind das Rückgrat der modernen B2B-Kommunikation. Da sie oft direkt über das Internet erreichbar sind, stehen sie im Fokus von automatisierten Angriffen und komplexen Business-Logic-Exploits.

Deine Strategie

Nutze mTLS für eine unbrechbare Partner-Authentifizierung. Erzwinge eine strikte Schema-Validierung für jeden Request, um unvorhersehbare Payloads zu blockieren. Behalte durch ein lückenloses API-Inventory immer den Überblick über alle Endpunkte.

Best Practices

  • Zero Trust: Jede API-Anfrage muss authentifiziert, autorisiert und verschlüsselt sein.
  • Monitoring: Protokolliere alle API-Interaktionen und integriere sie in dein SIEM.
  • Schutz: Implementiere Egress-Filter am API-Server, um SSRF-Angriffe zu neutralisieren.

STRIDE-LM Design-Risiken

SpoofingS-API-01

Identity Spoofing (API)

Angreifer gibt sich als legitimer Partner-Dienst aus.

TamperingT-API-01

API Parameter Tampering

Manipulation von Request-Parametern zur Umgehung von Geschäftslogik.

RepudiationR-API-01

API Log Manipulation

Verschleierung von böswilligen API-Aktivitäten.

Information DisclosureI-API-01

Excessive Data Exposure

API gibt mehr Daten zurück als für den Client notwendig sind.

Denial of ServiceD-API-01

Insecure Resource Consumption

Überlastung der API durch fehlende Rate-Limits (DoS).

Elevation of PrivilegeE-API-01

Broken Function Level Authorization

Zugriff auf administrative API-Endpunkte durch reguläre Partner.

Lateral MovementL-API-01

Cloud-Pivot via API

Nutzung der API-Server-Identität zum Zugriff auf interne Cloud-Ressourcen.

Monitoring GapsM-API-01

Hidden API Abuse

Missbrauch von undokumentierten oder "Schatten"-APIs.

MITRE ATT&CK® Techniken

Reconnaissance
T1592

Gather Victim Digital Network Information

ATT&CK

Sammeln von Informationen über die Ziel-Infrastruktur.

Mitigiert durch
API Documentation & InventoryGrundschutzMittel
CIS: 1.1OWASP: API9
API Security Audit (Logging)Erweiterter SchutzMittel
CIS: 8.5NIST: PR.PT-1
Output Content FilteringGrundschutzNiedrig
NIST: AI-1.2OWASP: LLM02
Initial Access
T1190

Exploit Public-Facing Application

ATT&CK

Ausnutzen von Schwachstellen in Internet-exponierten Diensten.

Mitigiert durch
Mutual TLS (mTLS)Erweiterter SchutzHoch
CIS: 6.3NIST: PR.DS-2
Strict Schema ValidationGrundschutzMittel
CIS: 16.11OWASP: API6
Strict Transport Security (TLS 1.3)GrundschutzNiedrig
CIS: 6.3OWASP: A02:2021
API Security Audit (Logging)Erweiterter SchutzMittel
CIS: 8.5NIST: PR.PT-1
B2B IP AllowlistingGrundschutzNiedrig
CIS: 12.10NIST: PR.AC-3
Persistence
T1098

Account Manipulation

ATT&CK

Ändern von Berechtigungen oder Erstellen neuer Konten.

Mitigiert durch
Regular Access ReviewsGrundschutzNiedrig
CIS: 6.6NIST: PR.AC-1OWASP: A01:2021
Credential Access
T1557

Adversary-in-the-Middle

ATT&CK

Abfangen von Kommunikation zwischen zwei Parteien.

Mitigiert durch
JWT Signature VerificationGrundschutzMittel
NIST: PR.AC-1OWASP: API2
Mutual TLS (mTLS)Erweiterter SchutzHoch
CIS: 6.3NIST: PR.DS-2
Strict Transport Security (TLS 1.3)GrundschutzNiedrig
CIS: 6.3OWASP: A02:2021
T1110

Brute Force

ATT&CK

Versuche, durch systematisches Ausprobieren Zugriff auf Konten oder API-Keys zu erhalten.

Mitigiert durch
Rate Limiting & ThrottlingGrundschutzNiedrig
CIS: 12.1OWASP: API4
API Security Audit (Logging)Erweiterter SchutzMittel
CIS: 8.5NIST: PR.PT-1
B2B IP AllowlistingGrundschutzNiedrig
CIS: 12.10NIST: PR.AC-3
T1539

Steal Web Session Cookie

ATT&CK

Abgreifen von aktiven Session-Tokens zur Umgehung der Authentifizierung.

Mitigiert durch
JWT Signature VerificationGrundschutzMittel
NIST: PR.AC-1OWASP: API2
Strict Transport Security (TLS 1.3)GrundschutzNiedrig
CIS: 6.3OWASP: A02:2021
T1552

Credentials from Password Stores

ATT&CK

Auslesen von Passwörtern aus Web-Browsern oder Passwort-Managern.

Mitigiert durch
Output Content FilteringGrundschutzNiedrig
NIST: AI-1.2OWASP: LLM02
Centralized Secrets VaultingErweiterter SchutzMittel
CIS: 6.12NIST: PR.DS-1
T1528

Steal Application Access Token

ATT&CK

Diebstahl von Tokens zur Umgehung der Authentifizierung.

Mitigiert durch
Centralized Secrets VaultingErweiterter SchutzMittel
CIS: 6.12NIST: PR.DS-1
Command & Control
T1071-001

Application Layer Protocol

ATT&CK

Missbrauch legitimer Web-Protokolle (HTTP/S) für C2-Kommunikation.

Mitigiert durch
Egress Filtering (SSRF Protection)Erweiterter SchutzMittel
CIS: 12.2OWASP: A10:2021
Exfiltration
T1020

Automated Exfiltration

ATT&CK

Automatisiertes Abgreifen von Daten über Schnittstellen.

Mitigiert durch
Rate Limiting & ThrottlingGrundschutzNiedrig
CIS: 12.1OWASP: API4
API Security Audit (Logging)Erweiterter SchutzMittel
CIS: 8.5NIST: PR.PT-1
Auftragsverarbeitungsvertrag (AVV)GrundschutzNiedrig
CIS: 17.3NIST: GV.SC-7
Output Content FilteringGrundschutzNiedrig
NIST: AI-1.2OWASP: LLM02
T1567

Exfiltration Over Web Service

ATT&CK

Abfluss von Daten über legitime Web-Schnittstellen.

Mitigiert durch
Egress Filtering (SSRF Protection)Erweiterter SchutzMittel
CIS: 12.2OWASP: A10:2021
SIEM IntegrationErweiterter SchutzHoch
CIS: 8.5NIST: DE.AE-3NIST: DE.CM-1OWASP: A09:2021
Impact
T1499

Endpoint Denial of Service

ATT&CK

Gezielte Überlastung der API-Endpunkte.

Mitigiert durch
Rate Limiting & ThrottlingGrundschutzNiedrig
CIS: 12.1OWASP: API4

Dein Szenario ist komplexer?

Die AYSOLI Experten unterstützen dich bei der Umsetzung deiner spezifischen Sicherheitsanforderungen.

Kostenloses Erstgespräch
B2B REST-API | IT-Sicherheit Checkliste für KMU · AYSOLI Security Hub