Bundespatentgericht, Urteil vom 17.05.2023, Az. 5 Ni 48/20 (EP)

Die Beklagte ist Inhaberin des [X.] (Streitpatent), das unter Inanspruchnahme der Priorität der [X.] 2013 13739178 vom 11. Januar 2013 am 2. Dezember 2013 angemeldet worden ist. Die Erteilung des [X.]n Patents ist am 20. Februar 2019 veröffentlicht worden. Das in [X.] gefasste Streitpatent trägt die Bezeichnung “[X.] SWA[X.]ING IN A PACKET NETWORK“, ins [X.] übersetzt “A[X.]TA[X.]CH VON REGELN IN EINEM PAKETNETZ”. Es ist in [X.] und umfasst in der geltenden Fassung insgesamt 15 Patentansprüche mit dem Verfahrensanspruch 1 und auf diesen unmittelbar zurückbezogenen [X.] 2 bis 13, dem nebengeordneten [X.] und dem nebengeordneten Anspruch 15 auf ein computerlesbares ([X.]. Mit ihrer Klage begehrt die Klägerin die vollständige Nichtigerklärung des Streitpatents.

Die geltenden Patentansprüche 1, 14 und 15 haben mit der Gliederung des Senats folgenden Wortlaut:

Merkmal Streitpatent in Verfahrenssprache Übersetzung laut Streitpatent

M 1 A method comprising: at a network protection device (100): Verfahren, aufweisend: an einer [X.] (100):

M 1.1 receiving a first rule set; ein Empfangen einer ersten Regelgruppe;

M 1.2 receiving a second rule set; ein Empfangen einer zweiten Regelgruppe;

M 1.3 preprocessing the first rule set and the second rule set; ein Vorverarbeiten der ersten Regelgruppe und der zweiten Regelgruppe;

M 1.4 configuring a plurality of processors (300, 302, 304) of the network protection device to process packets in [X.]; ein Konfigurieren einer Mehrzahl von [X.] (300, 302, 304) der [X.] zum Verarbeiten von Paketen gemäß der ersten Regelgruppe;

M 1.5 receiving packets; ein Empfangen von Paketen;

M 1.6 processing, by at least two of the plurality of processors, a first portion of the packets in [X.]; ein Verarbeiten eines ersten Teils der Pakete gemäß der ersten Regelgruppe durch mindestens zwei aus der Mehrzahl von [X.];

M 1.7 signaling each of the at least two of the plurality of processors to process packets in [X.]; ein Signalisieren an jeden der mindestens zwei aus der Mehrzahl von [X.], Pakete gemäß der zweiten Regelgruppe zu verarbeiten;

M 1.8 responsive to the signaling to process packets in [X.]: in Reaktion auf die Signalisierung, Pakete gemäß der zweiten Regelgruppe zu verarbeiten:

M 1.8.1 ceasing, [X.], processing of the packets; ein Beenden des Verarbeitens der Pakete durch jeden der mindestens zwei aus der Mehrzahl von [X.];

M 1.8.2 caching, [X.], [X.]; ein Zwischenspeichern von unverarbeiteten Paketen durch jeden der mindestens zwei aus der Mehrzahl von [X.];

M 1.8.3 reconfiguring each of the at least two of the plurality of processors to process packets in [X.]; and ein Neukonfigurieren von jedem der mindestens zwei aus der Mehrzahl von [X.], Pakete gemäß der zweiten Regelgruppe zu verarbeiten; und

M 1.8.4 signaling, [X.], completion of reconfiguration to process packets in [X.]; and ein Signalisieren des Abschlusses der Neukonfiguration zum Verarbeiten von Paketen gemäß der zweiten Regelgruppe durch jeden der mindestens zwei aus der Mehrzahl von [X.]; und

M 1.9 responsive to receiving signaling that each of the at least two of the plurality of processors has completed reconfiguration to process packets in [X.], processing, by the at least two of the plurality of processors, the cached [X.]. in Reaktion auf ein Empfangen der Signalisierung, das jeder der mindestens zwei aus der Mehrzahl von [X.] die Neukonfiguration zum Verarbeiten von Paketen gemäß der zweiten Regelgruppe abgeschlossen hat, ein Verarbeiten der zwischengespeicherten unverarbeiteten Pakete durch die mindestens zwei aus der Mehrzahl von [X.].

M 14.1 A network protection device apparatus (100), comprising: [X.] (100), aufweisend:

M 14.1.1 a plurality of processors (300, 302, 304); and eine Mehrzahl von [X.] (300, 302, 304); und

M 14.1.2 a memory storing instructions that when executed by at least one processor of the plurality of processors cause the apparatus to perform the method of any of claims 1-13. einen Arbeitsspeicher, der Anweisungen speichert, die, wenn sie von mindestens einem Prozessor aus der Mehrzahl von [X.] ausgeführt werden, die Vorrichtung veranlassen, das Verfahren nach einem der Ansprüche 1 bis 13 auszuführen.

M 15.1 One or more non-transitory computer-readable media having instructions stored thereon, Eine oder mehrere nicht flüchtige, von einem Computer lesbare Medien mit darauf gespeicherten Anweisungen,

M 15.2 that when executed by one or more computers, die, wenn sie von einem oder mehreren Computern ausgeführt werden,

M 15.3 cause the one or more computers to perform the method of any of claims 1-13. den einen oder die mehreren Computer veranlassen, das Verfahren nach einem der Ansprüche 1 bis 13 auszuführen.

(Das offensichtlich fehlerhafte Bezugszeichen 392 in Merkmal M14.1.1 wurde korrigiert zu 302.)

Wegen des Wortlauts der abhängigen [X.] 2 bis 13 wird auf das Streitpatent verwiesen.

Die Klägerin macht die Nichtigkeitsgründe der unzulässigen Erweiterung bezüglich des Anspruchs 1 (Art. II § 6 Abs. 1 Nr. 3 [X.], Art. 138 Abs. 1 c) EPÜ) sowie der mangelnden Neuheit und der mangelnden erfinderischen Tätigkeit (Art. II § 6 Abs. 1 Nr. 1 [X.], Art. 138 Abs. 1 a) i. V. m. Art. 54, 56 EPÜ) hinsichtlich der unabhängigen Ansprüche 1, 14 und 15 geltend.

Sie stützt ihre Klage u. a. auf folgende Dokumente:

NK6 EP 1 313 290 A1

[X.] WO 2005/046145 A1

[X.] [X.] 2011/0055916 A1

[X.] [X.] 2006/0248580 A1

[X.] [X.] 2006/0195896 A1

[X.] Written Opinion ISA zur PCT/[X.]2013/072566

[X.] Katamaya, M. et al.; [X.] in Photonic Era. [X.] Joint Special Section on Recent Progress in [X.]. In: [X.] TRANS. [X.]., VOL. [X.], [X.], [X.]. 1914 – 1920, [X.] 2005.

[X.] [X.] 2006/0048142 A1

[X.] Golnabi, [X.] et al.; Analysis of Firewall Policy Rules Using Data Mining Techniques. In: 10th IEEE Network Operations and Systems Management ([X.] 2006), [X.]. 305 – 315, April 2006.

[X.] [X.] 2002/0174255A1

[X.] [X.] 2004/0015905 A1

[X.], [X.]; Computer Programming – I, [X.] ([X.]) Pvt. Ltd., S.112, 2010

[X.]: DAPDNA-2 Dynamically Reconfigurable Processor, [X.] LIMITED, [X.] 2005

Die Klägerin ist insbesondere der Auffassung, dass die Gegenstände der angefochtenen Ansprüche vor allem bei Berücksichtigung der Druckschrift [X.] jeweils mangels Neuheit nicht patentfähig seien und auch gegenüber der [X.] jeweils kombiniert mit dem Fachwissen des Durchschnittsfachmanns, der [X.], der [X.], der [X.], der [X.], der [X.] bzw. der [X.] nicht auf einer erfinderischen Tätigkeit beruhten.

Die Klägerin beantragt,

das [X.] Patent [X.] mit Wirkung für das Hoheitsgebiet der [X.] für nichtig zu erklären.

Die Beklagte beantragt,

die Klage abzuweisen.

Die Beklagte verteidigt das Streitpatent in der erteilten Fassung und tritt der Klage in allen Punkten entgegen. Die Druckschrift [X.] stehe der Neuheit des erteilten Patents nicht entgegen. Sie ist der Auffassung, dass auch die Druckschrift [X.] kombiniert mit dem Fachwissen des Durchschnittsfachmanns nicht gegen die erfinderische Tätigkeit des Streitpatents spreche.

Wegen der weiteren Einzelheiten des Vorbringens der Parteien wird auf die zwischen den Parteien gewechselten Schriftsätze nebst Anlagen und den weiteren Inhalt der Akte Bezug genommen.

Die zulässige Klage ist nicht begründet. Der Gegenstand des Patentanspruchs 1 geht nicht über den Inhalt der Anmeldung in der ursprünglich eingereichten Fassung gemäß Art. II § 6 Abs. 1 Nr. 3 [X.] [X.] Art. 138 Abs. 1 Buchst. c) EPÜ hinaus und auch der geltend gemachte [X.] der mangelnden Patentfähigkeit der Patentansprüche 1 bis 15 gemäß Art. II § 6 Abs. 1 Nr. 1 [X.] [X.] Art. 138 Abs. 1 Buchst. a), 52, 54, 56 EPÜ liegt nicht vor.

I. Zum Gegenstand des [X.]s

1. Das [X.] betrifft [X.]en wie beispielsweise Firewalls, Gateways, Router und Switche, die Regeln zur Überwachung bzw. Kontrolle des an den Netzwerkgrenzen von paketvermittelnden Netzwerken ein- und ausgehenden Paketdatenverkehrs umfassten, wobei die [X.] beim [X.] von Übereinstimmungen zwischen Paketdatenverkehr und Regeln entsprechende Aktionen durchführe und u. a. den Zugang zu dem zu schützenden Netzwerk zulasse oder verwehre ([X.], Absatz [0001]). Die Regeln seien dabei in [X.] („grouped into rule sets“) organisiert, welche entsprechende Netzwerkrichtlinien bzw. Netzwerkpolitik („network policy“) verkörperten ([X.], ebd.).

Mit stetig ansteigender Netzwerkkomplexität und mit dem Wunsch der Administratoren nach einer immer feingranulareren Netzwerkverwaltung wachse auch die Anzahl der Regeln in den [X.], so dass eine [X.] zum Umschalten zwischen [X.] eine gewisse Zeit benötige, was zu Hindernissen bei einer effizienten Implementierung führe ([X.], Absätze [0001] - [0002]). [X.]en könnten beispielsweise während eines Umschaltens zwischen zwei [X.] keinen Netzwerkverkehr bearbeiten, da ihre begrenzten Ressourcen überwiegend für den [X.] gebraucht würden, oder sie müssten aus dem gleichen Grund den eingehenden Netzwerkverkehr noch anhand der alten Regelgruppe beurteilen, was gerade bei Netzwerkangriffen nachteilig wäre ([X.], Absatz [0002]).

In diesem technischen Kontext der Netzwerksicherheit bestehe daher ein Bedarf bzw. stelle sich das [X.] implizit die Aufgabe, den [X.] zwischen [X.] in [X.]en zu verbessern ([X.], Absätze [0005] - [0008]).

Als Lösung nennt das [X.] zum einen das „fast rule swapping“ umfassend eine Vorverarbeitung von [X.] vor ihrer Implementierung in die [X.], um bedingt durch deren Vorverarbeitung das schnelle Umschalten auf eine neue Regelgruppe ohne Zeitverlust zu ermöglichen ([X.], Absätze [0022] - [0023]). Zum anderen wird eine [X.] mit mehreren parallel arbeitenden [X.]en umfassend einen synchronisierten [X.]wechsel vorgeschlagen, um die Verarbeitungskapazität der [X.] zu erhöhen und dabei eine Gleichbehandlung der Pakete unabhängig vom verarbeitenden [X.] zu gewährleisten ([X.], Absätze [0025] - [0026], [0033]).

2. Als zuständigen Fachmann sieht der [X.] einen Ingenieur der Elektrotechnik bzw. Nachrichtentechnik/Informationstechnik mit abgeschlossenem Universitätsstudium und mit mehrjähriger Berufserfahrung in der Entwicklung vernetzter, paketvermittelnder Datenübertragungs- und Kommunikationssysteme, wobei dieser insbesondere über detaillierte Kenntnisse hinsichtlich der einschlägigen Netzwerkgeräte, Netzwerkprotokolle sowie [X.], z. B. Firewalls, verfügt.

3. Dieser Fachmann versteht die Lehre des [X.]s und einige der in den angegriffenen Ansprüchen verwendeten Begriffe vor dessen technischem Hintergrund wie folgt:

3.1 Zum Patentanspruch 1

Der Patentanspruch 1 beansprucht ein Verfahren, welches als räumlich-körperliche Komponente eine [X.] („network protection device 100“) aufweist (Merkmal [X.]), wobei die [X.] wiederum gemäß den Merkmalen [X.].4, [X.].6, [X.].7, [X.].8.1, [X.].8.2, [X.].8.3, [X.].8.4 und [X.].9 eine Vielzahl, d. h. mindestens zwei, [X.]en („processors 300, 302, and 304“) umfasst, wobei gemäß Merkmalen [X.].8.2 und [X.].9 zumindest noch ein Speicher („cache“) zum Zwischenspeichern von Datenpaketen durch die [X.]en vorgesehen sein muss. Der Wortlaut des Patentanspruchs 1 lässt hierbei offen, ob die multiplen [X.]en parallel oder seriell (also in einer Reihenschaltung) angeordnet sind und ob die [X.]en jeweils einen eigenen Cache oder einen gemeinsamen Cache besitzen. Das [X.] zeigt in dem Ausführungsbeispiel der [X.]uren 3a bis 3f [X.] Absätzen [0026] ff. mehrere parallel angeordnete [X.]en 300, 302, 304 mit jeweils einem eigenem Cache 306, 308, 310.

Gemäß [X.] kann es sich bei der [X.] um eine Firewall, ein Gateway, einen Router oder einen Switch ([X.], Absätze [0001], [0017]) oder auch ganz allgemein um einen Computer bzw. einen Server handeln ([X.], Absätze [0035], [0037]).

Die beanspruchten Verfahrensmerkmale bzw. Verfahrensschritte [X.].1 bis [X.].9 können laut Ausführungsbeispiel ([X.], Absätze [0035] - [0037]) in einem einzigen Gerät („located in a single computing device“) oder verteilt über mehrere separate Geräte durchgeführt werden, wobei jedoch jedes einzelne Gerät die [X.]n mindestens zwei [X.]en aufweist.

Die Verfahrensschritte [X.].1 und [X.].2 betreffen das Empfangen einer ersten und einer zweiten Regelgruppe. Gemäß [X.], Absatz [0026] kann eine Regelgruppe („rule set“) aus einer Vielzahl – insbesondere aus Hunderttausenden oder Millionen ([X.], Absatz [0025], „[X.]“; Absatz [0026], „rule sets may include hundreds of thousands or millions of individual rules“) – von individuellen Regeln bestehen. In den Ausführungsbeispielen ([X.], Absätze [0010], [0011], [0019] und [0027]) werden die [X.] dahingehend konkretisiert, dass [X.] eine mit Paketkriterien verbundene Aktion sowie ggf. weitere Funktionen umfassen, wobei die [X.] beispielsweise eine Menge an Netzwerkadressen spezifizieren, für welche die entsprechenden Pakete akzeptiert oder abgelehnt („accept or deny“), gelöscht („drop the packets“), protokolliert („log the packets“) oder weitergeleitet („forward the packets“) werden sollen.

Der [X.] lässt offen, von wem die [X.] die [X.] empfängt. Das [X.] offenbart in den Absätzen [0017], [0018] und [0022] [X.] [X.]ur 1, Bezugszeichen 112 beispielsweise lediglich ein Management-Interface ([X.]). Der Wortlaut des Patentanspruchs 1 schließt insofern nicht aus, dass die [X.] von einer anderen [X.] empfangen werden können.

Merkmal [X.].3 beansprucht das [X.] („preprocessing“) der ersten und der zweiten Regelgruppe, ohne jedoch auf Details hinsichtlich der Vorverarbeitung näher einzugehen, so dass lediglich eine ganz allgemeine Vorverarbeitung beansprucht wird. Das [X.] nennt als Ausgestaltungen explizit in Absatz [0007] eine Optimierung der Regelgruppe und in den Absätzen [0020] bis [0021] ein Zusammenfassen, Trennen und Umsortieren der Regeln („merging“, „separating“, „[X.]“, vgl. auch [X.] 10 bis 12), was ein sehr ressourcenintensiver und die Performance der [X.] degradierender Prozess sei. Der Fachmann versteht jedoch – in der Breite des Anspruchs – unter einer Vorverarbeitung ebenso bereits ein Entpacken, ein Dekomprimieren und/oder ein Entschlüsseln einer empfangenen Regelgruppe bzw. ein Kompilieren und/oder Adaptieren der Regelgruppe auf einen von den [X.]en benötigtes (z. B. ausführbares) Format. Aus fachmännischer Sicht soll durch das [X.] erreicht werden, dass der [X.] die Regeln möglichst direkt anwenden kann.

Merkmal [X.].4 betrifft ein Konfigurieren einer Vielzahl von, d. h. mindestens zwei, [X.]en in der [X.], um Pakete gemäß der ersten Regelgruppe zu verarbeiten. Wie oben bereits zum Merkmal [X.] ausgeführt, muss die verwendete [X.] dazu gegenständlich mindestens diese zwei [X.]en aufweisen.

Die Merkmale [X.].5 und [X.].6 betreffen ein Empfangen und Verarbeiten von Paketen unter Verwendung der ersten Regelgruppe, wobei die Regeln der ersten Regelgruppe auf einen ersten Anteil des empfangenen [X.] angewendet werden.

Merkmal [X.].7 beansprucht ein Signalisieren an jeden der o. g. [X.]en in der [X.], dass ein [X.]wechsel erfolgen soll, d. h., zukünftig die zweite Regelgruppe zu verwenden ist. Der Auslöser bzw. der Ursprung der Signalisierung, d. h., ob eine interne oder externe Signalisierung vorliegt, bzw. deren Art, Typ, oder Format werden im [X.] nicht spezifiziert. Gemäß [X.], Absätze [0033] und [0034] („For example, network protection device 100 may receive a message invoking policy 132’s rule set or one or more network conditions indicating a network attack may be detected.“), kann der Auslöser eine detektierte [X.] sein, wobei die [X.] eine (externe) Nachricht zum [X.]wechsel empfängt.

Darüber hinaus zeigt das [X.] in den [X.]uren 3a bis 3f [X.] Absatz [0030] beispielsweise nach einem bestimmten [X.]wechsel eine (interne) Signalisierung an die [X.]en ausgehend von einem (zentralen) Verwaltungsrechner („administrative processor 312“) mittels Steuerpaket („control packet“) auf dem Datenbus 120. Gemäß [X.], Absatz [0008] („[X.] […]“), ist diese Signalisierung der erste Teil einer (im [X.] als solche bezeichneten) „Synchronisierung“ der multiplen [X.]en. Das [X.] beschreibt diesen [X.]wechsel bzw. Synchronisierungsablauf gemäß Merkmalsgruppe [X.].8 detailliert in den [X.]uren 3a bis 3f [X.] den Absätzen [0026] bis [0033]. Insbesondere soll gemäß Absatz [0033] durch diese Synchronisierung ein einheitliches Verarbeiten der Pakete über die Vielzahl an [X.]en hinweg gewährleistet werden („[X.] uniform treatment irrespective of the particular processor which handles them.“). Die Synchronisierung gemäß der Merkmalsgruppe [X.].8 umfasst die folgenden weiteren Schritte, welche in einem kausalen Zusammenhang („responsive to“ – „in Reaktion“) nach der Signalisierung zum [X.]wechsel gemäß [X.].7 durchgeführt werden müssen:

- [X.].8.1: Beenden der aktuellen Paketverarbeitung durch die betroffenen mindestens zwei [X.]en („ceasing“),

- [X.].8.2: Zwischenspeichern von neu ankommenden Paketen durch die betroffenen [X.]en in einem Cache („caching“), wobei die gerade in der Verarbeitung befindlichen Pakete gemäß Absatz [0031] entweder noch abgefertigt werden können oder ebenfalls im Cache abzulegen sind,

- [X.].8.3: Rekonfigurieren bzw. Umschalten der [X.]en auf die zweite Regelgruppe („reconfiguring“) sowie

- [X.].8.4 Signalisieren eines erfolgreichen Abschließens des [X.]wechsels durch jeden betroffenen [X.] („signaling … completion“).

Erst bei Erhalt einer Signalisierung für ein erfolgreiches Rekonfigurieren aller betroffenen [X.]en auf die zweite Regelgruppe sollen die [X.]en gemäß Merkmal [X.].9 wieder (zeitgleich) die Arbeit aufnehmen und anschließend Pakete mittels der zweiten Regelgruppe verarbeiten, wozu zunächst auch die vorab im Cache abgelegten Pakete während des [X.]wechsels zählen sollen.

Gemäß den Merkmalen [X.].8.4 und [X.].9 erfolgt das Signalisieren grundsätzlich wie das oben beschriebene Signalisieren gemäß Merkmal [X.].7, indem Nachrichten zwischen den [X.]en und dem zentralen Verwaltungsrechner „administrative processor 312“ mittels Datenbus 120 ausgetauscht werden. Da der Gegenstand des Patentanspruchs 1 nicht auf das Ausführungsbeispiel beschränkt ist, kann der Fachmann anstelle des im [X.] explizit beschriebenen Datenbusses auch einen direkten Datenaustausch zwischen den [X.]en – exemplarisch auch entsprechende Kabel- oder Leitungsverbindungen o. ä. – vorsehen.

Soweit zwischen den Parteien das fachmännische Verständnis des Synchronisierens im Kontext der offenbarten Lehre des [X.]s streitig ist, ist der [X.] der Ansicht, dass die „Synchronisierung“ der [X.]en sowohl zu Beginn als auch am Ende jeweils die entsprechende [X.] Signalisierung erfordert, wobei die Art und Weise der Signalisierung auch heterogen sein oder auch auf unterschiedlichen Wegen erfolgen kann. [X.] muss die Signalisierung jedoch einerseits gemäß [X.].7 sowie [X.].9 an alle betroffenen [X.]en gerichtet sein (und muss folglich auch von diesen an einem Eingang empfangen werden) und andererseits gemäß [X.].8.4 von jedem einzelnen der betroffenen [X.]en ausgehen (und muss folglich auch von jedem einzelnen an einem Ausgang ausgegeben werden). Einer reinen Zeitsteuerung des [X.] bzw. des [X.]wechsels – beispielsweise anhand eines Abzählens von [X.] zum Bestimmen einer vorab festgelegten Umschaltdauer eines [X.]s nach dem Empfangen eines Triggers zum Starten des [X.]wechsels – fehlt die beanspruchte Signalisierung bzw. das Anzeigen des erfolgreichen Abschlusses der Rekonfiguration durch den [X.] und fällt nach Überzeugung des [X.]s nicht unter den Wortlaut des Patentanspruchs 1. Darüber hinaus mangelt es einem Taktsignal auch bereits schon daran, dass es von einem zentralen Taktgenerator oder Quarz bereitgestellt wird und nicht – wie in [X.].8.4 gefordert – von jedem einzelnen der betroffenen [X.]en ausgeht.

Hinsichtlich der Reihenfolge der beanspruchten Verfahrensschritte gilt nach der Überzeugung des [X.]s Folgendes:

Grundsätzlich gibt die semantische Reihenfolge der Verfahrensschritte im Text eines Verfahrensanspruchs nicht zugleich auch die funktionelle Reihenfolge für die Durchführung der einzelnen Verfahrensschritte vor (vgl. [X.], Urteil vom 9. Mai 2017, [X.], Rd. 12 - Bremsbeläge), sofern aus dem Patentanspruch als Ganzes sowie dem technischen Zusammenhang des [X.]s nichts anderes hervorgeht. Die Reihenfolge für die Verfahrensschritte der Merkmalgruppe [X.].8 zusammen mit Merkmal [X.].9 ist jedoch in Reaktion auf das Merkmal [X.].7 festgelegt, denn die Verfahrensschritte [X.].8 bis [X.].9 stehen in kausalem Zusammenhang mit der Signalisierung gemäß Merkmal [X.].7 und bilden eine logische Abfolge infolge der Signalisierung, die nicht geändert werden kann, ohne die Lehre des [X.]s zu verlassen.

Hinsichtlich der Merkmale [X.].1 bis [X.].7 entnimmt der Fachmann jedoch dem [X.], Absatz [0038] („one of ordinary skill in the art will appreciate that the steps illustrated in the illustrative figures may be performed in other than the recited order“), dass die Abfolge der Verfahrensschritte auch flexibel gehandhabt werden kann. Darüber hinaus wird eine veränderte technische Situation mit einem sequentiellen Empfangen und [X.] von neuen [X.] – während des laufenden Betriebs – aufgrund der [X.] im Netzwerk beschrieben, wobei das Empfangen und [X.] der neuen Regelgruppe zeitlich erst so viel später erfolgt, dass bereits Pakete anhand der vorherigen Regelgruppe verarbeitet werden ([X.], Absatz [0021], „For example, network protection device 100 may preprocess policy 130’s rule set and then implement the preprocessed rule set with respect to network traffic flowing between networks 104 and 106. Later, [X.] 132’s rule set with respect to network traffic flowing between networks 104 and 106. Accordingly, policy 132's rule set may be preprocessed and network protection device 100 may be reconfigured to implement the preprocessed rule set with respect to network traffic flowing between networks 104 and 106.“).

Aus diesem technischen Kontext und der Gesamtschau des [X.]s entnimmt der Fachmann daher, dass das Empfangen der zweiten Regelgruppe gemäß Merkmal [X.].2 sowie die Vorverarbeitung der zweiten Regelgruppe gemäß Merkmal [X.].3 (zweite Hälfte) auch erst nach dem Verarbeiten der empfangenen Pakete mit der ersten Regelgruppe gemäß Merkmal [X.].6, aber noch vor dem Signalisieren des [X.]wechsels zur zweiten Regelgruppe gemäß Merkmal [X.].7 erfolgen kann.

Der Gegenstand des Patentanspruchs 1 ist somit nicht darauf beschränkt, dass zunächst die erste und die zweite Regelgruppe empfangen sein müssen (Merkmale [X.].1 und [X.].2), bevor mit der Vorverarbeitung der ersten Regelgruppe (Merkmal [X.].3) begonnen wird. Vielmehr kommt es für das „fast rule swapping“ darauf an, dass die zweite Regelgruppe zum Zeitpunkt des [X.]wechsels bereits empfangen und vorverarbeitet sein muss, um ein effizientes, schnelles Umschalten der [X.] i. S. d. [X.]s zu ermöglichen.

3.2 Zum nebengeordneten Patentanspruch 14

Der nebengeordnete Patentanspruch 14 betrifft eine entsprechende [X.] („network protection device apparatus“) mit multiplen [X.]en und einem Programmspeicher zur Durchführung des Verfahrens, u. a. gemäß Patentanspruch 1. Der Fachmann versteht die Merkmale des nebengeordneten Patentanspruchs 14 daher wie die entsprechenden Merkmale des Patentanspruchs 1.

3.3 Zum nebengeordneten Patentanspruch 15

Der nebengeordnete Patentanspruch 15 betrifft ein oder mehrere nicht flüchtige, von einem Computer lesbare Medien mit darauf gespeicherten Anweisungen („[X.]) zur Durchführung des Verfahrens, u. a. gemäß Patentanspruch 1, durch einen oder mehrere Computer. Der Fachmann versteht die Merkmale des nebengeordneten Patentanspruchs 15 daher wie die entsprechenden Merkmale des Patentanspruchs 1.

II. Zu den vorgebrachten Nichtigkeitsgründen

Das [X.] ist gegenüber den [X.] nicht unzulässig erweitert (Art. II § 6 Abs. 1 Nr. 3 [X.], Art. 138 Abs. 1 c) EPÜ) und es erweist sich auch als patentfähig (Art. II § 6 Abs. 1 Nr. 1 [X.] [X.] Art. 138 Abs. 1 Buchst. a), Art. 52, 54 EPÜ).

1. Zum [X.] der unzulässigen Erweiterung:

Der Gegenstand des Patentanspruchs 1 geht nicht über den Inhalt der Patentanmeldung in ihrer bei der für die Einreichung der Anmeldung zuständigen Behörde ursprünglich eingereichten Fassung hinaus. Der Fachmann entnimmt den Gegenstand des genannten Anspruchs den ursprünglichen Anmeldeunterlagen unmittelbar und eindeutig.

Der erteilte Patentanspruch 1 setzt sich aus den ursprünglichen Ansprüchen 1 bis 3 zusammen. Die Auffassung der Klägerin, dass der beanspruchte Gegenstand des [X.]s aufgrund des Weglassens des Begriffs der „Synchronisierung“ gemäß den ursprünglichen Ansprüchen 2 und 3 nicht ursprünglich offenbart sei, greift nicht durch.

Denn zum einen offenbaren die ursprünglichen Anmeldeunterlagen hinsichtlich der Synchronisierung nichts anderes als die minimalen Anforderungen umfassend die Signalisierung der Paketverarbeitung mit der zweiten Regelgruppe, das Stoppen der Paketverarbeitung mit der ersten Regelgruppe („ceasing“), das Caching, das Rekonfigurieren sowie die Signalisierung („completion“) gemäß den bereits in den erteilten Anspruch aufgenommenen Merkmalen [X.].8 und [X.].8.1 bis [X.].8.4 (vgl. [X.] [X.], [X.]. [X.] und [X.]. 4 [X.] Absätzen [06], [28] - [34] und [36]). Zum anderen ist die Synchronisierung gemäß Offenlegungsschrift, Absatz [06], optional („… may include synchronizing the processors.“, Unterstreichung hinzugefügt) und gemäß Absatz [28] lediglich vorteilhaft und somit fakultativ („… it may be advantageous to synchronize the processors… “, Unterstreichung hinzugefügt).

2. Zum [X.] der mangelnden Patentfähigkeit:

Dem Gegenstand von Patentanspruch 1 des [X.]s in der erteilten Fassung steht der [X.] der fehlenden Patentfähigkeit nicht entgegen, da das unter Schutz gestellte Verfahren gegenüber dem im [X.] Stand der Technik – insbesondere hinsichtlich der Druckschriften [X.]/[X.] sowie [X.] – neu ist und auf einer erfinderischen Tätigkeit beruht.

2.1 Zur Neuheit

Der Gegenstand gemäß erteiltem Patentanspruch 1 erweist sich gegenüber dem von der Klägerin im Verfahren genannten Stand der Technik als neu im Sinne des Art. 54 EPÜ.

2.1.1 Das Verfahren des erteilten Patentanspruchs 1 ist neu gegenüber der Druckschrift [X.]/[X.] („Katayama“ bzw. Datenblatt „DAPDNA-2“), insbesondere fehlen die Merkmale [X.].8.2 und [X.].9 nach [X.] jeweils teilweise. Darüber hinaus geht das Merkmal [X.].8.4 aus der [X.]/[X.] nicht unmittelbar und eindeutig hervor.

Die [X.] betrifft ein verteiltes Firewall-System und ein entsprechendes Verfahren für die Netzwerksicherheit umfassend vernetzte Firewalls in den [X.] an der Netzwerkgrenze als [X.]en ([X.], Titel und [X.]. 1, [X.]914, rechte Spalte, erster Absatz und [X.]915, rechte Spalte, erster Absatz; Merkmal [X.]). Die vorgeschlagene Firewall gemäß [X.] basiert auf acht in einer Pipelinestruktur seriell verschalteten, rekonfigurierbaren DAPDNA-2-[X.]en des Unternehmens [X.]/[X.], welche als Dual-Core-[X.]en mit dem [X.] („Digital Application Processor“) und einer parallelen Datenverarbeitung mittels 376 konfigurierbaren “Processing Elements (PEs)” im DNA („Distributed Network Architecture“) ausgeführt sind, was einen Datendurchsatz von bis zu 10 Gb/s erlaubt ([X.], [X.]. 7 und 8 [X.] Zusammenfassung, “We have developed a prototype system of a network firewall using reconfigurable processors.”, [X.], linke Spalte, erster Absatz, “[X.] chips with 10 Gb/s data and 5 Gb/s control data.”; Datenblatt [X.], [X.]. 1).

Ein Empfangen einer initialen ersten Regelgruppe (in der Vergangenheit beispielsweise bei der ursprünglichen Erstinstallation bzw. Inbetriebnahme des verteilten Firewall-Systems), deren Vorverarbeitung, das Konfigurieren der [X.]en und das Verarbeiten empfangener Pakete gemäß den Merkmalen [X.].1, [X.].3 (teilweise/erste Hälfte), [X.].4, [X.].5 und [X.].6 liest der Fachmann in der Druckschrift [X.] unmittelbar mit ([X.], [X.], linke Spalte, zweiter Absatz, „The firewall system located on the gateway can be realized on the prototype system installing the firewall configuration.“).

Die [X.] lehrt ein Empfangen einer zweiten Regelgruppe an einem Border-Router im Fall einer Detektion eines Angriffs durch einen der anderen Border-Router, wobei die Border-Router – entgegen der Auffassung der [X.]n – nicht nur eine einzige Regel, sondern vielmehr eine Regelgruppe umfassend eine Vielzahl an Regeln untereinander austauschen ([X.], [X.]915, linke Spalte, letzter Absatz, „[X.] advertises the attack information and its filtering rules when the router detects the attacks.“; [X.]919, rechte Spalte, erster Absatz, “Therefore, our system does not depend on the packet size or the number of firewall rules.”, Unterstreichungen hinzugefügt; Merkmal [X.].2).

Nach [X.] werden die empfangenen Regeln gemäß einer zweiten Regelgruppe vorverarbeitet, indem die neuen Regeln (ggf. zusammen mit bereits vorhandenen Regeln) in einen der umschaltbaren Rekonfigurationsspeicher der DAPDNA-2-[X.]en implementiert werden ([X.], [X.]. 5 und [X.]915, rechte Spalte, letzter Absatz, „…, a new rule is added to the filtering table, …“; [X.]917, rechte Spalte, erster Absatz, „exchange the configurations by rewriting the configuration memories.“; [X.], [X.], rechte Spalte, „[X.]“, [X.], rechte Spalte, Tabelle DAPDNA-2 Specification: „[X.]: [X.] ([X.], [X.]. Background banks can be loaded from external memory for unlimited number of configurations to be used.)“; Merkmal [X.].3 (teilweise/zweite Hälfte).

Der Fachmann entnimmt der [X.] ebenfalls ein Signalisieren an die acht (das bedeutet i. S. des [X.]s mindestens zwei) der seriell in der [X.] angeordneten DAPDNA-2-[X.]en, dass im Folgenden die zweite Regelgruppe verwendet werden soll, wobei diese Signalisierung ein Umschalten zwischen den Rekonfigurationsspeichern der [X.]en bewirkt, um so mittels der neuen Regeln die [X.] abzuwehren ([X.], [X.]. 6, [X.]. 8 und [X.]915, rechte Spalte, letzter Absatz, „… the border firewall receives the attack information … the attacks are orchestrally blocked by border firewalls.“; [X.]917, rechte Spalte, dritter Absatz, „By dynamically exchanging the reconfiguration memories, [X.].“; [X.], linke Spalte, erster Absatz, „It is tandem implemented on eight DAPDNA-2 chips“, Unterstreichungen hinzugefügt; Merkmal [X.].7).

Die [X.] offenbart jedoch keinerlei Details hinsichtlich der genauen Implementierung, wie bzw. in welchem zeitlichen Ablauf das Umschalten der acht seriell angeordneten DAPDNA-2-[X.]en umgesetzt wird. Es bleibt also offen, ob das Umschalten der [X.]en synchron oder sequentiell erfolgt. Gleiches gilt für eine hierzu ggf. verwendete Signalisierung. Darüber hinaus lehrt die [X.] nicht, wie die zum Zeitpunkt des [X.]wechsels in der Paketverarbeitung der jeweiligen [X.]en befindlichen Pakete zu behandeln sind.

Die [X.] führt lediglich aus, dass ein „[X.]“ der [X.]en ohne Unterbrechung der Dienste („[X.]“) durchgeführt werden soll ([X.], [X.]917, rechte Spalte, oben), wobei das Update auf die zweite Regelgruppe ohne [X.] erfolgen soll ([X.], [X.]. 10 Bezugszeichen A [X.] [X.], rechte Spalte, erster Absatz: „[X.], and it is independent to function size.”). Die [X.] offenbart zudem, dass jeder [X.] innerhalb eines Taktes von 6 ns umgeschaltet werden kann ([X.], [X.]917, rechte Spalte, vorletzter Absatz, „This processor can handle more than 10 Gb/s traffic with 166 MHz processing. In addition, it has four dynamic reconfiguration memories, and exchanges within one clock (about 6 nsec.).“, Unterstreichung hinzugefügt).

Der [X.]wechsel der seriell angeordneten [X.]en gemäß [X.] erfolgt also jeweils innerhalb eines einzigen Taktzyklus mit einem Stoppen bzw. einem kurzen Unterbrechen der Paketverarbeitung in jedem der [X.]en für einen einzigen Clock-Cycle, wobei zumindest die aktuell von der Firewall empfangenen, d. h. die neu angekommenen, Pakete in einem [X.] („buffer type implementation“, „queue“) zwischengespeichert werden sollen ([X.], [X.]917, rechte Spalte, zweitletzter Absatz, „[X.] implementation is easy, and requires only a small buffer.“; [X.], linke Spalte, erster Absatz, “[X.], [X.].”; Merkmale [X.].8, [X.].8.1, [X.].8.2 teilweise, [X.].8.3).

Daher fehlt das Merkmal [X.].8.2 zumindest teilweise, da aufgrund der seriellen Pipelinestruktur der multiplen [X.]en in der [X.] nur der erste DAPDNA-2-[X.] und nicht, wie es der [X.] gemäß Patentanspruch 1 spezifiziert, mehrere [X.]en jeweils im Einzelnen beim Verarbeitungsstopp (Merkmal [X.].8.1: „ceasing“) unverarbeitete Pakete in einem jeweiligen Cache zwischenspeichern (Merkmal [X.].8.2: „caching“).

Darüber hinaus fehlt in der [X.] die [X.] Signalisierung zwischen den [X.]en gemäß Merkmal [X.].8.4 vollständig, welche den [X.]en gegenseitig den erfolgreichen Abschluss der Rekonfiguration („signaling completion“) kenntlich machen soll, um so ein synchrones Wiederaufnehmen der Paketverarbeitung zu ermöglichen.

Gemäß [X.] werden zwar zunächst die zwischengespeicherten Pakete nach der neuen Konfiguration (d. h. der zweiten Regelgruppe i. S. des [X.]s) verarbeitet, jedoch erfolgt dies ebenfalls ohne die bereits genannte, vorherige streitpatentgemäße Signalisierung („signaling completion“) zwischen den [X.]en, welche den erfolgreichen Abschluss der Rekonfiguration sämtlicher [X.]en anzeigt (vgl. [X.], [X.]; Merkmal [X.].9 teilweise).

Soweit die Klägerin hinsichtlich Merkmal [X.].8.2 argumentiert, dass der „[X.]“ ohne [X.] zwangsläufig ein Zwischenspeichern der sich in Bearbeitung befindlichen Pakete sämtlicher DAPDNA-2-[X.]en erfordere und sich dafür der gemäß [X.] [X.]ur 8 [X.] [X.], linke Spalte, erster Absatz umlaufende 5 Gb/s Kontrolldaten-Bus eigne bzw. dafür sogar vorgesehen sei, während der Rekonfiguration die aktuell bearbeiteten Pakete der jeweiligen [X.]en in den [X.] zurückzuführen, überzeugt dies den [X.] nicht. Denn die [X.] zeigt sowohl in [X.]ur 5 (b) [X.] [X.]917, rechte Spalte als auch in [X.]ur 8 [X.] [X.], linke Spalte lediglich eine einzige Warteschlange („queue“, „reconfiguration queue“, „the buffer“) bzw. einen mit dem ersten [X.] assoziierten [X.] („buffer type implementation“) zum Zwischenspeichern der während der Rekonfiguration neu empfangenen Pakete, wobei laut [X.] die Speicherimplementierung einfach zu gestalten und der [X.] entsprechend klein sei ([X.], [X.], rechte Spalte, vorletzter Absatz: „[X.] implementation is easy, and requires only a small buffer.“). Eine Rückführung der sich aktuell in Verarbeitung befindlichen Pakete sämtlicher [X.]en während der Rekonfiguration in den [X.] ist der [X.] weder unmittelbar noch eindeutig zu entnehmen.

Die Argumentation der Klägerin, dass hinsichtlich der Synchronisierung der [X.]en die komplette [X.] Signalisierung entsprechend den Merkmalen [X.].8.1 bis [X.].8.4 mitzulesen sei, überzeugt ebenso wenig. Denn ein Mitlesen bedeutet, dass der Fachmann die Synchronisierung der [X.]en in der gleichen Weise, wie im Patentanspruch 1 beansprucht, implementieren muss. Demgegenüber verweist die [X.] zu Recht auf eine Vielzahl potentieller, alternativer Implementierungsmöglichkeiten ohne eine solche [X.] Signalisierung, die gleichfalls ein „[X.]“ ohne [X.] realisieren, und nennt dabei beispielhaft das auf „[X.]“ basierte, zweite Ausführungsbeispiel gemäß [X.], Absatz [0054], wobei ein [X.]wechsel jeweils nur die neu empfangenen Pakete betrifft und die aktuellen Pakete in Bearbeitung noch mittels der ursprünglichen Regelgruppe abgearbeitet werden (dort: „[X.], will be processed to the end using those rules in effect when the processing of the packet was started. [X.] also allows frequent updating, since the principle of [X.] allows for a plurality of generations of filter code to be in [X.] execution. In other words, the interval between subsequent filter rule updates can be shorter than the average processing time of a packet, whereby many updates can occur during the average processing time of a packet.“).

2.1.2 Das Verfahren des erteilten Patentanspruchs 1 ist auch neu gegenüber der Druckschrift [X.] ([X.] 2006/0048142 [X.]). [X.] hat die Klägerin nicht geltend gemacht. Zur Überzeugung des [X.]s fehlen in der [X.] die Merkmale [X.].4, [X.].6, [X.].7, [X.].9 jeweils teilweise und die Merkmalsgruppe [X.].8, [X.].8.1 bis [X.].8.4 geht aus der [X.] überhaupt nicht hervor.

Die [X.] betrifft ein „SYSTEM AND [X.] FOR RAPID RESPONSE NETWORK POLICY IMPLEMENTATION“ ([X.], Titel). Gemäß der [X.] wird in einer Netzwerkvorrichtung („network infrastructure device“) umfassend eine [X.] („policy enforcement function“), welche beispielsweise ein Netzwerkzugangsgerät („network entry device“), eine Firewall, ein Router, ein Gateway oder ein Switch ist, im Fall eines detektierten Angriffs („attack detection“) eine Rekonfiguration von Regeln/Policies mittels ggf. vorab lokal gespeicherten Regelsätzen/Policies („pre-installed policy and/or PER sets“) durchgeführt, wobei der Fokus auf ein schnelles Umschalten („rapid reaction“) gelegt wird. Hierzu wird eine Signalisierung von „[X.]s ([X.])“ zwischen einem Policy Manager und der jeweiligen [X.] vorgeschlagen ([X.], [X.]. 2 und 4, Absätze [0037], [0046], [0050], [0056] mit Tabelle).

Die Argumentation der Klägerin, dass diese vom Policy Manager mittels Multicast oder Broadcast durchgeführte Signalisierung zum [X.]wechsel an ein oder mehrere ausgewählte [X.]s, die ebenfalls eine Überprüfung des Status einer jeweils initiierten Implementierung der neuen Regelgruppe bzw. eines [X.]wechsels durch den Policy Manager umfassen, eine [X.] „Synchronisierung“ multipler [X.]en in einer [X.] darstelle ([X.], Absatz [0021], „The policy manager function may also confirm the status of implementation of an initiated policy/rule set change.“ und Absatz [0041], „[X.](s). [X.]“), greift nicht durch. Denn der Fachmann entnimmt der [X.] bereits keine multiplen [X.]en in einem einzelnen Gerät („device“) einer [X.] zur Paketverarbeitung gemäß den Merkmalen [X.].4, [X.].6, [X.].7, [X.].9 (jeweils teilweise), da dort pro Gerät der [X.] nur ein einziger [X.] gemäß [X.]ur 2, Bezugszeichen 253 [X.] Absatz [0038] vorhanden ist ( „A network infrastructure device having forwarding functionality and with the [X.] 250 includes a forwarding engine 252, a processor 253, an [X.] interface 254, an egress port interface 255, and a communication function 258.“; Unterstreichungen hinzugefügt).

Entgegen der Auffassung der Klägerin handelt es sich bei den in der [X.], [X.]ur 1, Bezugszeichen 105a und 105b dargestellten beiden „Network entry devices“ nicht um eine verteilte [X.], sondern jeweils um eigenständige Geräte („device“) mit jeweils einer eigenen [X.] 250 zur Überwachung einer eigenen dediziert zugeordneten Schnittstelle zum Netzwerk wie beispielsweise eine WLAN-Schnittstelle oder eine [X.]/[X.]. Da hier keine Arbeitsteilung von multiplen [X.]en bei der Paketverarbeitung i. S. d. [X.]s vorliegt, ist ein Addieren der jeweils pro Gerät vorhandenen einzelnen [X.]en ([X.], [X.]. 2, Bezugszeichen 253) zu multiplen [X.]en nicht opportun.

Darüber hinaus fehlt folglich ebenso das im [X.] an die Signalisierung zum [X.]wechsel durchzuführende „Synchronisieren“ der (in der [X.] nicht vorhandenen) multiplen [X.]en gemäß der Merkmalsgruppe [X.].8, [X.].8.1 bis [X.].8.4. Die [X.] adressiert weder explizit ein anspruchsgemäßes Stoppen („ceasing“) der Paketverarbeitung durch den jeweiligen [X.], noch ein Zwischenspeichern der sich gerade in der Verarbeitung befindlichen Pakete bzw. der während des Rekonfigurierens neu empfangenen Pakete in einem Cache. Schließlich fehlt in der [X.] ebenfalls das Signalisieren einer erfolgreich abgeschlossenen Rekonfiguration („signaling … completion“) unter den [X.]en gemäß [X.].8.4, um dann anschließend gemäß Merkmal [X.].9 die Paketverarbeitung basierend auf dem neuen Regelsatz synchron weiterzuführen.

Zwar beschreibt die [X.] die Bestätigung des Empfangs einer Nachricht zur Rekonfiguration vom „Policy Manager“, die den „[X.] ([X.])“ durch jede einzelne [X.] mittels einer Bestätigung („acknowledgement“) umfasst, diese betrifft jedoch ausschließlich die Signalisierung gemäß Merkmal [X.].7, zumindest soweit diese als Broadcast-Nachricht ausgestaltet ist ([X.], Tabelle in Absatz [0056], „[X.]-N [X.], Follow-up for confirmation, with individual acknowledgements“).

Hinsichtlich der ebenfalls in der [X.] offenbarten Überprüfung des Implementierungsstatus einer Regelsatzänderung in einer [X.] wird hingegen lediglich weiter dazu ausgeführt, dass „der Policy Manager“ die [X.] diesbezüglich anfragt („polling“) und von dieser eine entsprechende Bestätigung erhält ([X.], Absatz [0048], „[X.], the effect of the policy change implementation may be verified or evaluated by, for example, polling the one or more selected [X.]s 250 to confirm receipt of the selected [X.]s communicated as well as any or all implementation activities (Step 311). Such verification may be of particular interest in those instances when policy change implementation instructions are communicated by multicast or broadcast messaging.“; Unterstreichungen hinzugefügt).

2.1.3 Dass der Gegenstand des erteilten Patentanspruchs 1 aus einer der übrigen im Verfahren befindlichen und weiter abliegenden Druckschriften neuheitsschädlich vorweggenommen sei, hat weder die Klägerin vorgetragen, noch ist dies für den [X.] ersichtlich.

2.2 Zur erfinderischen Tätigkeit

Das Verfahren gemäß erteiltem Patentanspruch 1 beruht auch auf einer erfinderischen Tätigkeit im Sinne des Art. 56 EPÜ, da es sich für den Fachmann nicht in naheliegender Weise aus dem entgegengehaltenen Stand der Technik ergibt. Insbesondere gelangt der Fachmann ausgehend vom Stand der Technik nach einer der Druckschriften [X.] oder [X.] nicht in naheliegender Weise zum Verfahren des erteilten Patentanspruchs 1.

2.2.1 [X.] Tätigkeit ausgehend von der Druckschrift [X.]

Die Argumentation der Klägerin hinsichtlich des in der [X.] fehlenden Merkmals [X.].8.2, der Fachmann sehe für das „[X.]“ ohne [X.] den 8 kByte großen „Data Cache“ des [X.] gemäß [X.], [X.]ur 1 zum Zwischenspeichern für die während der Rekonfiguration in Verarbeitung befindlichen Pakete vor, überzeugt den [X.] nicht. Denn gemäß dem Datenblatt [X.] ist der [X.] des DAPDNA-2-[X.]s verantwortlich für das parallele Verarbeiten der Nutzdaten, d. h. der Pakete, wobei die Nutzdaten über die DNA-„direct I/O“-Schnittstelle unter Umgehung des internen High-Speed-Datenbusses der [X.] zu- und abgeführt werden ([X.], [X.]. 1 [X.] [X.], linke Spalte, vierter Absatz, „[X.] also used to communicate directly with external devices, bringing data in for processing on the PE Matrix, bypassing the Bus Switch and memory interface.“). Daher ist es für den [X.] weder ersichtlich, noch lässt sich der [X.]/[X.] für den Fachmann eine entsprechende Anregung bzw. ein Hinweis entnehmen, warum der Data-Cache des [X.] zum Zwischenspeichern der sich bei der Rekonfiguration in der Verarbeitung durch den [X.] befindlichen Pakete dienen soll.

Die gleiche Begründung gilt im Wesentlichen für die Argumentation der Klägerin, dass gemäß [X.]/[X.] bereits zwei [X.]en, nämlich die beiden [X.]kerne des ersten DAPDNA-2-Chips – also der [X.] sowie der [X.] – in der Serienschaltung Zugriff auf den Cache hätten, wie dies Merkmal 1.8.2 fordert.

Auch die Ansicht der Klägerin, der Fachmann würde ausgehend von der [X.] die [X.] hinzuziehen und den ersten DAPDNA-2-[X.], welcher in der Serienschaltung aus acht [X.]en die meisten Pakete zu verarbeiten habe, aus [X.] bzw. zur Steigerung der Leistungsfähigkeit der Firewall durch zwei parallel geschaltete DAPDNA-2-[X.]en ersetzen, um in der Folge Merkmal [X.].8.2 zu verwirklichen, teilt der [X.] nicht. Zwar weist der [X.] gemäß [X.] sechs „direct I/O“-Kanäle zum Verbinden multipler DAPDNA-2-[X.]en auf, was prinzipiell eine derartige Verschaltung der acht DAPDNAs gemäß [X.] mit zwei parallelen sowie sechs seriellen [X.]en zuließe. Allerdings zeigt die [X.], [X.], linke Spalte („[X.] Gbps throughput.“) jedoch auch, dass eine Serienschaltung multipler DAPDNA-2-[X.]en in einem System integriert mit 16 Gb/s Datendurchsatz sowieso bereits eine 60% Marge gegenüber den in der [X.] vorgeschlagenen 10 Gb/s Datendurchsatz des Firewalls aufweist, wodurch die technische Veranlassung für den Fachmann zur Umsetzung einer derart modifizierten Architektur nicht ersichtlich ist.

Zudem konnte die Klägerin nicht überzeugend darlegen, dass der Fachmann für die Realisierung der „[X.]“ Funktionalität die [X.] Signalisierung „Completion“ gemäß Merkmal [X.].8.4 verwenden würde, um ein synchrones Weiterführen der Paketverarbeitung gemäß Merkmal [X.].9 durch die multiplen [X.]en zu triggern.

Die Klägerin trägt vor, dass gemäß [X.], [X.]ur 8, bedingt durch die serielle Pipelinestruktur zwischen einer Makro- und einer Mikro-Konfiguration der [X.]en unterschieden werden müsse, wobei die Signalisierung zum Umschalten der DAPDNA-2-[X.]en bzw. zur ([X.] gemäß Merkmal [X.].7 erst von einem zum nächsten [X.] in einer Art Kaskade weitergereicht werden müsse, wobei die auftretenden zeitlichen Versätze nicht zu [X.] wären. Um unter solchen Randbedingungen überhaupt das „[X.]“ ohne [X.] zu ermöglichen, müssten somit alle acht seriellen [X.]en unbedingt rechtzeitig rekonfiguriert sein, ehe mit der Weiterverarbeitung der Pakete begonnen werden könne. Aus diesem Grund verwende der Fachmann als die offensichtlichste Lösung den Sicherheitsmechanismus der Signalisierung „Completion“ gemäß Merkmal [X.].8.4.

Nach Ansicht des [X.]s berücksichtigt die Klägerin jedoch nicht, dass für eine potentielle Signalisierung „Completion“ durch die o. g. Kaskade eine im Wesentlichen ähnliche zeitliche Unsicherheit gegeben wäre wie für die o. g. (bereits erfolgte) Signalisierung zur Rekonfiguration, wobei hier jedoch verschärfend gemäß Merkmal [X.].8.4 jeder einzelne der acht [X.]en die entsprechende Signalisierung zu den anderen sieben [X.]en anstoßen müsste, welche wiederum gemäß Merkmal [X.].9 von jedem der anderen [X.]en empfangen werden müsste. Der [X.] vermag nicht zu erkennen, wie dadurch aufgrund des angeblich immanent vorliegenden zeitlichen Versatzes bei jeder einzelnen der insgesamt mindestens acht (unter Annahme eines in der [X.] nicht offenbarten Multicasts) bzw. maximal 56 (8x7=56; bei einem genauso wenig offenbarten Punkt-zu-Punkt Unicast) Signalisierungsnachrichten eine sichere Synchronisierung der acht [X.]en ohne [X.] erzielt werden kann, insbesondere unter der Randbedingung einer nicht nennenswert bemerkbaren Unterbrechung des Service ([X.], [X.]914, rechte Spalte, „a [X.] firewall algorithm update function [X.].“). Hierzu trägt die Klägerin auch nichts vor.

Darüber hinaus fehlt im Vortrag der Klägerin ein Beleg für ein solches Fachwissen, diese spezielle Form der Synchronisierung gemäß der Merkmalsgruppe [X.].8 zu verwenden, z. B. durch die Nennung von Lehrbüchern. Ebenso umfasst keine der im Verfahren genannten Entgegenhaltungen die [X.] Signalisierung „Completion“ gemäß Merkmal [X.].8.4.

Dagegen zeigt [X.] in Absatz [0054] zudem mit dem „[X.]“ eine gleichfalls mögliche, alternative Implementierung, welche ohne jegliche Signalisierung auskommt und welche trotz häufiger Updates der Regelsätze für hohe Datenraten geeignet erscheint, wie die [X.] in der mündlichen Verhandlung vorgetragen hat (siehe auch die Ausführungen zur Neuheit gemäß Ziff. 2.1.1).

Schließlich entnimmt der Fachmann aus Sicht des [X.]s der [X.] auch keinerlei Anregungen bzw. Hinweise, sowohl das [X.] Zwischenspeichern der Pakete durch multiple [X.]en gemäß Merkmal [X.].8.2, als auch die anspruchsgemäße „Synchronisierung“, umfassend insbesondere die Signalisierung „Completion“ zwischen den [X.]en, gemäß Merkmal [X.].8.4 zu implementieren.

2.2.2 [X.] Tätigkeit ausgehend von der Druckschrift [X.]

Entgegen der Auffassung der Klägerin sieht der [X.] in der [X.] weder einen Hinweis noch eine Anregung, die der [X.] fehlenden Merkmale gemäß Patentanspruch 1 hinzuzufügen, die die multiplen [X.]en und insbesondere die „Synchronisierung“ jener mittels der anspruchsgemäßen Signalisierung beim [X.]wechsel (Merkmale [X.].4, [X.].6, [X.].7, [X.].9 jeweils teilweise sowie Merkmalsgruppe [X.].8, [X.].8.1 bis [X.].8.4 komplett) umfassen.

Hinsichtlich der Kombination der Druckschrift [X.] mit dem fachmännischen Wissen belegt durch die Druckschriften [X.], [X.], [X.], [X.], [X.] und [X.] argumentiert die Klägerin lediglich pauschal, indem sie den Gegenstand des Patentanspruchs 1 aus der Vielzahl der genannten Druckschriften mosaikartig zusammenzufügen versucht. Der [X.] kann hierbei jedoch nicht erkennen, wo der Fachmann beispielsweise die Signalisierung „Completion“ der multiplen [X.]en beim Abschluss der Rekonfiguration gemäß Merkmal [X.].8.4 entnimmt.

Zwar zeigt die [X.] in einem ersten Ausführungsbeispiel für den [X.]wechsel eine Signalisierung zwischen einer Regel-Kompilierungseinheit („rule compiling entity“) und einem Paketfilter („rule processing entity“) umfassend die beiden Nachrichten „PA[X.]ING OF PROCESSING“ sowie „[X.] OF PROCESSING“, jedoch dient diese Signalisierung zum einen nur dem Umschalten eines [X.]s und nicht der Synchronisierung multipler [X.]en, und zum anderen werden gemäß [X.] die vor dem [X.]wechsel empfangenen Pakete im Paketfilter stets mit der alten, ursprünglichen ersten Regelgruppe verarbeitet ([X.], [X.]. 1, Bezugszeichen 130, 150 [X.] Absatz [0031], Absatz [0037], „[X.], …“; [X.]. 4, Bezugszeichen 430, 440 [X.] Absätzen [0045] – [0046]).

Ausgehend von der [X.] führt auch die von der Klägerin vorgetragene Zusammenschau mit der [X.] nicht zu ihrem Ziel. Abgesehen davon, dass die [X.] mit einer zentralen Netzwerküberwachung und Regelverwaltung durch den „Policy Manager“ und die [X.] mit dem vorgeschlagenen verteilten Firewallsystem ohne jegliche Zentraleinheit völlig verschiedene Firewallarchitekturen betreffen, würde ein Ersetzen der „network entry devices“ gemäß [X.] durch die [X.] allenfalls die teilweise fehlenden Merkmale [X.].4, [X.].6, [X.].7, [X.].9 hinsichtlich der multiplen [X.]en pro [X.] bzw. pro Gerät ergänzen.

Wie oben zur Neuheit ausgeführt (siehe Ziff. 2.1.1 und 2.1.2), offenbaren weder die [X.] noch die [X.] das Zwischenspeichern von Paketen durch die multiplen [X.]en in einem Cache gemäß Merkmal [X.].8.2. Zudem betrifft auch die aus der [X.] bekannte Signalisierung zwischen „Policy Manager“ und [X.]/„network entry device“ mit der Bestätigung der Rekonfigurationssignalisierung [X.].7 sowie der Überwachung des Implementierungszustands des neuen Regelsatzes in der [X.] mittels Polling nur die Makro-Konfiguration eines jeweiligen [X.] (bzw. „network entry device“) und nicht die Mikro-Konfiguration der dort vorhandenen acht DPADNA-2-[X.]en. Da allerdings schon diese Signalisierung gemäß [X.] weder zu Merkmal [X.].8.4 noch zu Merkmal [X.].9 führt, kann auch eine potentielle Signalisierung zwischen dem „Policy Manager“ und jedem einzelnen DAPDNA-2-[X.] eines jeweiligen [X.] (bzw. „network entry device“) hinsichtlich seiner Mikro-Konfiguration dahingestellt bleiben. Der Fachmann würde eine derartige Signalisierung nach Überzeugung des [X.]s aufgrund der zusätzlichen Verzögerungen auch nicht vorsehen.

2.2.3 Zu den übrigen Druckschriften [X.] bis [X.] und [X.] bis [X.] hat die Klägerin hinsichtlich der erfinderischen Tätigkeit nicht vorgetragen. Auch der [X.] kann nicht erkennen, wie diese im Einzelnen oder in Kombination zum Gegenstand des erteilten Patentanspruchs 1 führen können.

3. Entsprechendes gilt für die angegriffenen, nebengeordneten Patentansprüche 14 und 15, welche bereits durch ihren Rückbezug auf den patentfähigen Patentanspruch 1 rechtsbeständig sind. [X.] hat die Klägerin nicht geltend gemacht.

4. Hinsichtlich der ebenfalls angegriffenen Unteransprüche 2 bis 13, welche vorteilhafte Ausgestaltungen des [X.] betreffen, gelten auch die vorstehenden, den Patentanspruch 1 betreffenden Ausführungen entsprechend. Die Unteransprüche sind ebenfalls bereits durch ihren Rückbezug auf den patentfähigen Patentanspruch 1 rechtsbeständig. Auch diesbezüglich hat die Klägerin nichts [X.] geltend gemacht.

Die Kostenentscheidung beruht auf § 84 Abs. 2 [X.] [X.] § 91 Abs. 1 ZPO.

Die Entscheidung über die vorläufige Vollstreckbarkeit folgt aus § 99 Abs. 1 [X.] [X.] § 709 Satz 1 und 2 ZPO.