ra2 studio - stock.adobe.com

Feature

TDoS-Angriffe bedrohen SIP- und Cloud-Telefoniesysteme

Telephony Denial of Service (TDoS) entwickelt sich zu einer ernsthaften Bedrohung für IP-basierte Telefonie in Unternehmen. Angriffe treffen SIP-Umgebungen und Cloud-Telefonie.

Michael Eckert
von
Zuletzt aktualisiert: 22 Mai 2026

Telephony Denial of Service (TDoS) stellt für Unternehmen mit IP-basierter Telefonie eine zunehmend ernsthafte Bedrohung dar. Während klassische DDoS-Angriffe vor allem Webanwendungen und Rechenzentren treffen, zielen TDoS-Angriffe direkt auf die Sprachkommunikation. Der Ausfall von Hotlines, Supportcentern oder Notrufsystemen kann erhebliche betriebliche und wirtschaftliche Folgen haben.

Aktuelle Studien zeigen zudem, dass sich Angriffe zunehmend von einfachen volumetrischen Überlastungen hin zu intelligenten SIP- und Voice-basierten Angriffsmethoden verlagern. Besonders KI-gestützte Angriffswerkzeuge verändern die Bedrohungslage erheblich.

Frühere TDoS-Angriffe basierten häufig auf einfachen Überlastungsstrategien gegen Netzwerkprotokolle. Heute konzentrieren sich Angreifer jedoch zunehmend auf die Anwendungsebene moderner VoIP- und SIP-Umgebungen.

Da viele Unternehmen ihre klassische Telefonie vollständig durch IP-basierte Unified-Communications-Plattformen ersetzt haben, entstehen neue Angriffsflächen. Besonders betroffen sind SIP-Trunks, Cloud-Telefonanlagen und zentrale Session Border Controller (SBC).

Eine Forschungsarbeit zu föderierten Lernverfahren für die SIP-DDoS-Erkennung zeigt, dass Angriffe heute häufig verteilt und adaptiv erfolgen. Die Autoren beschreiben insbesondere koordinierte SIP-INVITE-Flooding-Kampagnen gegen Cloud- und Edge-basierte VoIP-Architekturen.

Moderne Angriffsmethoden gegen SIP-Umgebungen

Die Bedrohungslage im Bereich TDoS hat sich in den vergangenen Jahren deutlich verändert. Während frühe Angriffe vor allem auf eine reine Überlastung abzielten, kombinieren moderne Kampagnen heute SIP-Manipulation, automatisierte Sprachsysteme und KI-gestützte Botnetze. Die Tabelle Typische TDoS-Angriffe gegen VoIP- und SIP-Infrastrukturen zeigt die wichtigsten Angriffsmethoden, ihre Zielsetzung und ihre typischen Auswirkungen auf die Unternehmenskommunikation und die VoIP-Infrastruktur.

SIP-Flooding gegen VoIP-Komponenten

Beim SIP-Flooding senden Botnetze massenhaft SIP-INVITE-Anfragen an den SBC oder die IP-PBX (IP Private Branch Exchange). Das Ziel besteht darin, die Signalisierungslogik zu überlasten.

Folgende Auswirkungen treten häufig auf:

  • Verzögerte Rufsignalisierung.
  • Abgebrochene Gespräche.
  • Nicht erreichbare Nebenstellen.
  • Überlastete SBC-Prozesse.
  • Instabile SIP-Registrierungen.

Besonders kritisch wird dies in Multi-Standort-Umgebungen mit zentralisierter SIP-Architektur.

Eine im Jahr 2025 veröffentlichte Untersuchung zu Asterisk-basierten PBX-Plattformen zeigt, dass bereits moderate SIP-Flooding-Angriffe erhebliche Auswirkungen auf die Sprachqualität und die Systemstabilität haben können. Die Forscher beobachteten steigenden Jitter, Paketverluste und deutliche CPU-Überlastungen bei den getesteten VoIP-Systemen.

Volumetrische Leitungsüberlastung

Bei einer weiteren Methode werden gezielt verfügbare Sprachkanäle blockiert. Dazu erzeugen Angreifer über weltweit verteilte Botnetze tausende gleichzeitige Anrufe.

Die Infrastruktur bleibt technisch erreichbar, allerdings sind sämtliche Sprachkanäle ausgelastet. Kunden erhalten dann ein Besetztzeichen oder gelangen lediglich in die Warteschleife.

Besonders problematisch ist dies für:

  • Notrufzentralen
  • Krankenhäuser
  • Finanzdienstleister
  • Callcenter
  • Managed Service Provider

Auf europäischer Ebene unterstreicht der European Electronic Communications Code (EECC) die besondere Schutzwürdigkeit elektronischer Kommunikationsdienste. Er verpflichtet die Mitgliedstaaten und die Betreiber dazu, die Verfügbarkeit von Kommunikations- und Notrufdiensten sicherzustellen und angemessene Maßnahmen gegen Störungen und Ausfälle vorzusehen. Ergänzend ergibt sich aus dem deutschen Telekommunikationsrecht, insbesondere dem Telekommunikationsgesetz (TKG), eine Betriebspflicht zur Sicherstellung von Notrufverbindungen und zur Gewährleistung der Netzstabilität auch unter Lastbedingungen.

KI-gestützte Voice-Bots

Generative KI hat auch TDoS-Angriffe verändert. Moderne Sprach-Bots simulieren heute realistische Gesprächsabläufe und umgehen einfache Interactive-Voice-Response-Systeme (IVR).

Die Systeme reagieren dynamisch auf Rückfragen und können:

  • Menüsysteme durchlaufen.
  • Wartezeiten künstlich verlängern.
  • Support-Mitarbeiter binden.
  • Priorisierungssysteme umgehen.

Dadurch verlieren klassische Bot-Filter zunehmend an Wirksamkeit.

Eine Studie von Researchgate zur maschinell lernenden SIP-DDoS-Erkennung zeigt, dass KI-basierte Angriffe häufig variable Gesprächsmuster und adaptive Verhaltensweisen nutzen, um klassische Schwellenwertsysteme zu umgehen.

Warum TDoS geschäftskritischsind

Telefonie zählt inzwischen zu den zentralen Echtzeitdiensten moderner Unternehmen. Ein Ausfall beeinträchtigt nicht nur die Kommunikation, sondern häufig auch Geschäftsprozesse.

Besonders kritisch sind folgende Szenarien:

  • Ausfall von Kunden-Hotlines.
  • Unterbrechung von Incident-Response-Prozessen.
  • Störungen in Leitstellen.
  • Nichterreichbarkeit medizinischer Einrichtungen.
  • Produktionsstillstand durch Kommunikationsprobleme.

Im Unterschied zu klassischen DDoS-Angriffen betrifft TDoS unmittelbar die externe Erreichbarkeit eines Unternehmens.

Studien zur VoIP-Resilienz zeigen zudem, dass Unternehmen die Sprachkommunikation häufig weniger stark absichern als klassische IT-Systeme. Dadurch entstehen zusätzliche Risiken für Unified-Communications-Umgebungen.

Strategien zur technischen TDoS-Abwehr

Die Abwehr einer TDoS-Attacke ist nicht mehr allein durch eine Firewall zu gewährleisten, sondern erfordert ein dynamisches Schichtmodell. Da Angreifer heute sowohl mit brutaler Gewalt (volumetrische Flutung) als auch mit subtilen Methoden operieren, müssen Unternehmen auf eine Kombination aus kryptografischer Verifizierung, Hardware-Schutz und KI-gestützter Analyse setzen.

Die Tabelle Technische Schutzmaßnahmen gegen moderne TDoS-Angriffe gibt einen Überblick über die entscheidenden Verteidigungslinien.

Fazit

TDoS-Angriffe entwickeln sich zunehmend zu professionell organisierten Kampagnen gegen geschäftskritische Kommunikationssysteme. Durch die Verlagerung auf VoIP- und Cloud-Telefonie erhöht sich die Angriffsfläche erheblich.

Insbesondere KI-gestützte SIP-Angriffe, adaptive Voice-Bots und verteilte Flooding-Kampagnen setzen die bisherigen Schutzmechanismen unter Druck setzen. Gleichzeitig gewinnen verhaltensbasierte Analyseverfahren, moderne SBC-Architekturen und cloudbasierte Maßnahmen zunehmend an Bedeutung.

Unternehmen sollten Sprachkommunikation deshalb nicht länger als isolierte Infrastruktur betrachten. Wer seine VoIP-Systeme frühzeitig absichert, Redundanzen etabliert und eine Echtzeitüberwachung integriert, reduziert das Risiko geschäftskritischer Kommunikationsausfälle erheblich.

Erfahren Sie mehr über Unified Communications