Bundespatentgericht, Urteil vom 14.11.2022, Az. 5 Ni 50/20 (EP), 5 Ni 57/21 (EP)

Die Beklagte ist eingetragene Inhaberin des auch mit Wirkung für das Hoheitsgebiet der [X.] erteilten [X.] Patents 3 257 202 (Streitpatent), das am 25. November 2015 angemeldet wurde und die Priorität einer [X.] vom 10. Februar 2015 ([X.] 2015 14618967) in Anspruch nimmt. Das Streitpatent wird beim [X.] unter dem Aktenzeichen [X.] 2015 026 499.1 geführt und trägt in der [X.] die Bezeichnung „[X.] in [X.]“ ([X.]: [X.]). Es umfasst 15 Patentansprüche, die alle mit den Nichtigkeitsklagen angegriffen sind.

Patentanspruch 1 lautet in der erteilten Fassung in der [X.] Englisch wie folgt:

In der [X.] Übersetzung gemäß Streitpatentschrift lautet Anspruch 1:

Wegen des Wortlauts des nebengeordneten Patentanspruchs 15 sowie der [X.] 2 bis 14 wird auf die Streitpatentschrift Bezug genommen.

Die Klägerinnen, die wegen Verletzung des Streitpatents in Anspruch genommen werden, machen in ihren Klagen vom 26. November 2020 und vom 29. Oktober 2021 geltend, das Streitpatent sei wegen fehlender Patentfähigkeit in vollem Umfang für nichtig zu erklären. Darüber hinaus sei sein Gegenstand unzulässig erweitert.

Zur unzulässigen Erweiterung des erteilten Anspruchs 1 tragen die Klägerinnen insbesondere vor, der im Prüfungsverfahren vor dem [X.] geänderte Anspruch 1 umfasse Paketfiltervorrichtungen, die mit einer Regel zum Identifizieren von einem Host in einem ersten Netzwerk stammenden Datenpaketen konfiguriert werde, wobei diese Regel auch zu anderen Zwecken verwendet werden könne als zur bloßen Identifikation und ggf. zum Eliminieren von Datenpaketen, weshalb eine in den [X.] so nicht offenbarte Erweiterung vorliege. Zudem beanspruche Anspruch 1 der erteilten Fassung ein Rechensystem, das in Reaktion auf das Korrelieren von Datenpaketen eine Paketfilterfunktion mit einer Regel zum Identifizieren von Datenpaketen umfasse, wobei die ursprüngliche [X.] nur eine Regel zum Identifizieren und Fallenlassen von Datenpaketen in Reaktion auf die Bestimmung bösartiger, von einem Host gesendeter Datenpakete offenbare, nicht aber eine Reaktion auf das Korrelieren.

Zur fehlenden Patentfähigkeit tragen die Klägerinnen insbesondere vor, die Gegenstände der Ansprüche 1 und 15 seien durch die [X.] und [X.] neuheitsschädlich vorweggenommen, zudem beruhe Anspruch 1 der erteilten Fassung nicht auf erfinderischer Tätigkeit.

Hierzu stützen sich die Klägerinnen auf folgende Dokumente:

Als Reaktion auf den gerichtlichen Hinweis legte die Klägerin zu 2 noch folgende Dokumente zur Stützung des klägerischen Vorbringens vor:

Die Klägerinnen beantragen,

das [X.] Patent 3 257 202 mit Wirkung für das Hoheitsgebiet der [X.] in vollem Umfang für nichtig zu erklären.

Die Beklagte beantragt, die Klage abzuweisen,

hilfsweise nach Maßgabe der Hilfsanträge 0, 1, 1b, 2, 2b, 2c, 3, 4 und 5.

Wegen des Wortlauts der Hilfsanträge wird auf die Akte verwiesen.

Die Beklagte tritt dem Vorbringen der Klägerinnen in allen Punkten entgegen, hält das Streitpatent in der erteilten Fassung nicht für unzulässig erweitert und den Gegenstand des Streitpatents in der erteilten Fassung, jedenfalls aber in der Fassung eines der Hilfsanträge, für schutzfähig.

Der Senat hat den Parteien einen qualifizierten Hinweis mit Fristen zur Stellungnahme auf den Hinweis und etwaiges Vorbringen der Gegenseite am 25. April 2022 zukommen lassen.

Im Übrigen nehmen die Parteien u. a. noch auf folgende weitere Dokumente Bezug:

Wegen der weiteren Einzelheiten des Sach- und Streitstands wird auf die zwischen den Parteien gewechselten Schriftsätze nebst Anlagen, auf das Protokoll der mündlichen Verhandlung sowie den weiteren Akteninhalt Bezug genommen.

Die zulässige Klage ist begründet und hat in der Sache [X.]rfolg, da das [X.] mangels Patentfähigkeit für nichtig zu erklären ist.

Denn dem Gegenstand des [X.]s in der erteilten Fassung – wie auch nach den [X.] 1, 1b, 2, 2b, 2c, 3, 4 sowie 5 – steht jeweils der [X.] der mangelnden Patentfähigkeit entgegen, Art. II § 6 Abs. 1 Nr. 1 [X.], Art. 138 Abs. 1 Buchst. a) [X.]PÜ [X.] Art. 52, 54, 56 [X.]PÜ.

Der Hilfsantrag 0 war nach § 83 Abs. 4 [X.] als verspätet zurückzuweisen und deshalb keiner Sachprüfung zu unterziehen.

Darüber hinaus geht der Gegenstand des [X.]s nach den [X.] 2 und 3 über den Inhalt der ursprünglichen Anmeldungsunterlagen in ihrer Fassung hinaus, wie sie bei der zuständigen Behörde ursprünglich eingereicht worden sind, Art. II § 6 Abs. 1 Nr. 3 [X.] [X.] Art. 138 Abs. 1 Buchst. c), Art. 123 Abs. 2 [X.]PÜ.

I. Zu Gegenstand und Auslegung des [X.]s sowie zum Fachmann

1. Das [X.] ([X.]P 3 257 202 [X.]) mit dem Titel „[X.]“ betrifft die Kommunikation zwischen [X.]ndpunkten in paketvermittelnden Netzwerken, wobei die Kommunikation aus Flüssen bzw. Datenströmen („flows“) zusammengehöriger Pakete bestehe, wobei die Zuordnung eines Pakets zu einem bestimmten Fluss beispielsweise durch die [X.] bestimmt sei (vgl. [X.], Titel und Abs. [0002]).

In den [X.] zwischen den [X.]ndpunkten angeordnete [X.] bzw. [X.]en („network devices“) könnten jedoch möglicherweise die Pakete verändern und so die Zugehörigkeit eines Pakets zu einem bestimmten Fluss verschleiern (vgl. [X.], Abs. [0002], dort: „obfuscate“). Als Beispiele beschreibt das [X.] in den Absätzen [0018] bis [0022] flusstransformierende Geräte, [X.]s („network address translation“), [X.], Gateways und bösartige [X.]ntitäten („malicious entities“), welche u.a. Teil eines „man-in-the-middle“ Angriffs sein könnten. Darüber hinaus nennt das [X.] in den Absätzen [0003] bis [0004] mit den Druckschriften [X.] 2004/0073655 [X.] und [X.] 2014/0281030 [X.] (ebenfalls als Anlagen [X.] und [X.] von der Klägerin zu 1) eingereicht) einen Stand der Technik zur [X.] („network flow monitoring“, „network monitoring“).

In diesem technischen Kontext – [X.] bzw. [X.] - bestehe ein Bedarf bzw. stelle sich das [X.] die Aufgabe, Datenpakete in [X.] zu korrelieren (vgl. [X.], Abs. [0002]).

Die Offenbarung des [X.]s zeigt, dass an einem [X.] die von einem ersten [X.] in einem ersten Netzwerk empfangenen Pakete mit den an einen zweiten [X.] in einem zweiten Netzwerk gesendeten Paketen korreliert werden, um so zusammengehörige Datenpakete zu identifizieren und diese - trotz vorhandener Änderungen - einem entsprechenden Fluss zuzuordnen (vgl. [X.], Abs. [0006] - [0007]).

2. Die erteilten Patentansprüche 1 und 15 lassen sich in der maßgeblichen [X.] Verfahrenssprache und der [X.] Übersetzung wie folgt gliedern:

Platzhalter 1

3. Das [X.] richtet sich als zuständigen Fachmann an einen Ingenieur der [X.]lektrotechnik bzw. Nachrichtentechnik / Informationstechnik mit abgeschlossenem Universitätsstudium und mit mehrjähriger Berufserfahrung in der [X.]ntwicklung vernetzter, paketvermittelnder Datenübertragungs- und Kommunikationssysteme, wobei dieser insbesondere detaillierte Kenntnisse hinsichtlich der einschlägigen Netzwerkprotokolle sowie [X.] aufweist.

Insoweit die Beklagte darauf abstellt, dass der Fachmann durchaus versiert wäre, jedoch ihrer Meinung nach definitiv keinen Source-Code entwickeln, sondern lediglich kommerziell verfügbare Rack-Lösungen erwerben und kombinieren würde, vermag diese Auffassung nicht zu überzeugen. Denn um eine Lehre, wie sie das [X.] vermittelt, zu verstehen und anzuwenden (d.h. die [X.]ntwicklung eines Kommunikationssystems) muss der Fachmann aus Sicht des Senates ein Konstrukteur mit [X.]rfahrungen auf dem Gebiet der [X.]ntwicklung derartiger Systeme sein und kein Anwender bzw. Integrator bereits kommerziell erhältlicher Systeme aus diesem Bereich (vgl. [X.], Urteil vom 18.06.2009, [X.]/05 - [X.]), wofür dieser über eine entsprechende akademische, d.h. auch mathematische und informationstechnische, Vorbildung verfügt.

4. Dieser Fachmann versteht die Lehre des [X.]s und die in den angegriffenen Ansprüchen verwendete Begriffe bzw. Merkmale vor deren technischem Hintergrund wie folgt:

Zum Patentanspruch 1

Mit dem Merkmal M1 ist ein Verfahren beansprucht, welches gemäß den Merkmalen [X.] und [X.] das Identifizieren einer Vielzahl von Paketen mittels eines Rechensystems umfasst, welche einerseits an einem [X.] von einem ersten [X.] in einem ersten Netzwerk empfangen und andererseits an einen zweiten [X.] in einem zweiten Netzwerk gesendet werden. Der Netzwerk-Typ bleibt offen, das [X.] spricht in Absatz [0012] sogar nur von einem einzigen Netzwerk oder aber auch von mehreren Netzwerken umfassend [X.], [X.], [X.], [X.], [X.], Service Provider Netzwerke, [X.] oder entsprechende Kombinationen. Die [X.]s umfassen u. a. Server, Desktops, Laptops, Handys/Smartphones, Router, Switches, Gateways oder Access Points. Das Identifizieren der Pakete kann im [X.] selbst oder mittels geeigneter Abgriffe („taps“) an den beiden Schnittstellen des [X.]s zum ersten/zweiten Netzwerk bzw. im Prinzip sogar an zwei beliebigen Positionen im Übertragungsweg der Pakete im ersten/zweiten Netzwerk erfolgen.

Die Merkmale [X.] und [X.] betreffen das Generieren einer Vielzahl von „Log entries“ entsprechend der Vielzahl von Paketen jeweils für gesendete bzw. empfangene Pakete. Darunter versteht der Fachmann jeweils ein getrenntes Protokollieren der Pakete für die [X.]mpfangsseite und die [X.] des [X.]s mit einer Datenstruktur mit einer Vielzahl von [X.]inträgen, wobei eine Vielzahl eine Anzahl größer oder gleich zwei bedeutet (also nicht unbedingt sämtliche Pakete betrifft). [X.]in Protokollieren umfasst ebenfalls zumindest ein [X.]inhalten einer zeitlichen Reihenfolge der Pakete, wobei der üblicherweise in Logs vorhandene Zeitstempel hinreichend aber nicht notwendig ist. Der „[X.]“ für ein einzelnes Paket betrifft Klartext oder kodierte Paket-Informationen, welche zumindest aus Teilen des Pakets, bspw. Header oder [X.], gewonnen werden. Vorzugsweise sollte der „[X.]“ Rückschlüsse auf das Paket und/oder den/die [X.](s) erlauben, um so bspw. eine Identifizierung bzw. Zuordnung mittels Adressen, ([X.] etc. zu ermöglichen.

Der Fachmann geht davon aus, dass die Protokolleinträge („Log entries“) zumindest so lange in einem [X.]eicher gehalten werden, wie es beabsichtigt ist, sie zu verwenden, d.h. hier im [X.] mit dem Merkmal [X.] zumindest so lange, wie die Durchführung der Korrelationsfunktion dafür benötigt. Insofern müssen die Protokolleinträge für eine gewisse Zeit vorgehalten werden, wozu allerdings auch ein flüchtiger (temporärer) [X.]eicher ausreicht. Soweit nämlich die Vielzahl der Protokolleinträge zur Korrelation verwendet werden soll (vgl. Merkmal [X.]), muss das Rechensystem (d.h. ein im Patentanspruch gegenständlich nicht beanspruchter Korrelator) auf eine Vielzahl von Protokolleinträgen gemäß Merkmal [X.] und auf eine Vielzahl von Protokolleinträgen gemäß Merkmal [X.] zurückgreifen können. Somit ist aber weder das Schreiben von Log-Dateien in einen persistenten [X.]eicher noch die Anzahl von Dateien spezifiziert.

[X.]ine Liste von Pointern ([X.]) erfüllt diese genannten Kriterien für ein Log bzw. für „Log entries“ jedoch nicht. Das [X.] offenbart „Log entries“ bspw. in [X.]ur 3 [X.] Absätzen [0016] – [0017].

Das Merkmal [X.] betrifft ein Korrelieren der Pakete basierend auf einem Korrelieren bzw. einem Vergleichen einer Vielzahl von „Log entries“ der [X.] mit der Vielzahl von „Log entries“ der [X.]mpfangsseite (vgl. [X.], Abs. [0034] – [0035], Ansprüche 4 und 6), wobei der Fachmann unter einer Korrelation ein [X.]rmitteln einer Wechsel-Beziehung aufgrund von Inhalten, Merkmalen, Zuständen oder Funktionen der Vielzahl von Paketen versteht. Das Korrelieren multipler Pakete der [X.] mit multiplen Paketen der [X.]mpfangsseite stellt eine Kreuzkorrelation dar. [X.]in einfacher 1:1 Vergleich von zwei Paketen, d.h. jeweils einem Sendepaket mit jeweils einem [X.]mpfangspaket, ist nach fachmännischem Verständnis keine Korrelation und genügt somit nicht dem Merkmal [X.].

Die [X.], [X.] und [X.] fordert, dass in Ansprechen („responsive“) auf das Korrelieren, d.h. sozusagen im Nachgang als Konsequenz der Korrelation, durch das Rechensystem mindestens eine Regel zum Identifizieren von Paketen, welche vom ersten [X.] im ersten Netzwerk empfangen werden, generiert wird. Diese Regelgenerierung erfolgt definitiv nicht manuell sondern anspruchsgemäß durch das Rechensystem; das [X.] schweigt jedoch darüber, ob die Regelgenerierung „halb-automatisch“ (bspw. unter [X.]inbeziehung des Systemadministrators) oder „voll-automatisch“ durchgeführt wird. [X.]in Identifizieren des ersten [X.]s ist in einem Paketdatennetzwerk ggf. anhand der [X.] oder einer entsprechenden ID in den [X.] leicht möglich. Die Regel soll einem Paketfilter („packet-filtering device“) zugeführt werden, welcher dann die Aufgabe der Paket-Identifizierung übernimmt.

Der Patentanspruch 1 lässt offen, wo der Paketfilter im Netzwerk implementiert ist, d.h. der Paketfilter könnte sich in einem Abgriff/Tap oder im [X.] oder im Korrelator oder an einer anderen Stelle im Netzwerk befinden, wo Pakete des ersten [X.]s auftreten und dem Paketfilter zugeführt werden könnten. Die Position des Paketfilters spielt keine Rolle, so lange der Filter („packet-filtering device“) geeignet ist, die vom [X.] empfangenen Pakete zu identifizieren (vgl. [X.], [X.]. 4, [X.] 25 ff.: „[X.](s) 140, which may configure tap device(s) 124 and 126 to identify packets meeting criteria specified by rule(s) 140 …“) und die erwähnten Regel(n) aufweist, d. h. sie auch anwendet. Dazu muss er sich örtlich nur an einem beliebigen Ort in, auf oder an dem Pfad bzw. Übertragungsweg zwischen ersten [X.], [X.] und zweitem [X.] befinden bzw. zumindest mittelbar mit diesem Pfad verbunden sein. Das [X.] zeigt im Ausführungsbeispiel gemäß [X.]ur 1 [X.] Absatz [0013] zwei in den beiden „tap devices“ integrierte Paketfilter, wobei die jeweiligen Filter in den Pfad vor und hinter dem [X.] eingefügt sind bzw. zumindest eine Verbindung zum Pfad aufweisen (ebenda: „[X.](s) 122 and network 106. Tap device 126 may be located on or have access to a communication path that interfaces network device(s) 122 and network 104 (e.g., [X.], 116, and 118).“). Zudem soll gemäß [X.], Absatz [0055] die dort offenbarte Funktionalität zentral in einem Gerät konzentriert oder auch beliebig im Netzwerk verteilbar sein (dort: „… operative across one or more computing devices and networks. [X.] in any manner or may be located in a single computing device …“).

Darüber hinaus bleibt im Patentanspruch 1 unbestimmt, was mit einem vom Paketfilter identifizierten Paket bzw. nach der erfolgreichen Identifizierung eines Pakets geschehen soll. Bei einer mit der Identifizierung verknüpften Handlung/Aktion könnte es sich ggf. um ein [X.]eichern, Kopieren/Duplizieren, Loggen, Verwerfen, Modifizieren, Routen/Umrouten, Weiterleiten/Forward oder ähnlichem handeln. Genauso gut wäre ebenfalls eine Signalisierung bzw. Alarmierung denkbar.

Das [X.] beschreibt die Regeln sowie die daraus abgeleiteten bzw. resultierenden Handlungen/Aktionen in den Absätzen [0013] bis [0014] und [0048] bis [0049].

Zum nebengeordneten Patentanspruch 15

Der nebengeordnete Patentanspruch 15 betrifft eine entsprechende Vorrichtung zur Durchführung des Verfahrens u. a. gemäß Patentanspruch 1. Der Fachmann versteht den nebengeordneten Patentanspruch 15 daher entsprechend seinem Verständnis zu diesem.

II. Zur erteilten Fassung

Das [X.] ist in seiner erteilten Fassung für nichtig zu erklären, weil dem Gegenstand des [X.]s in erteilter Fassung der [X.] der mangelnden Patentfähigkeit entgegensteht (Art. II § 6 Abs. 1 Nr. 1 [X.], Art. 138 Abs. 1 Buchst. a) [X.]PÜ [X.] Art. 52, 56 [X.]PÜ). Denn die Gegenstände der nebengeordneten Patentansprüche 1 und 15 in der erteilten Fassung erfüllen zwar das Kriterium der Neuheit (Art. 54 [X.]PÜ), beruhen jedoch nicht auf einer erfinderischen Tätigkeit, da sich für den Fachmann die [X.]rfindung in naheliegender Weise aus dem Stand der Technik, und zwar aus einer Zusammenschau der Druckschriften [X.] und [X.]/[X.] bzw. [X.] und [X.], ergibt (Art. 56 [X.]PÜ).

1. Die nebengeordneten Patentansprüche 1 und 15 in der erteilten Fassung sind zulässig, da ihre Gegenstände nicht über den Inhalt der ursprünglichen Anmeldungsunterlagen hinausgehen (Art. II § 6 Abs. 1 Nr. 3 IntPatÜG [X.] Art. 138 Abs. 1 Buchst. c), Art. 123 Abs. 2 [X.]PÜ).

[X.]ntgegen der Auffassung der [X.] kommt es im Hinblick auf die Zulässigkeit des erteilten Patentanspruchs 1 auf die gesamte ursprünglich offenbarte Lehre an (so schon [X.], Urteil vom 22. Februar 2000, [X.] – Positionierungsverfahren, juris Rn. 70; [X.], Urteil vom 17. Februar 2015, [X.] – Wundbehandlungsvorrichtung, Rn 21) und nicht allein darauf, welche Merkmale des ursprünglichen Unteranspruchs 22 in den erteilten Patentanspruch 1 aufgenommen sein könnten.

Die Auffassung der [X.] (vgl. Nichtigkeitsklage vom 26.11.2020, S. 17), der im [X.] Prüfungsverfahren geänderte Anspruch 1 umfasse Paketfiltervorrichtungen, die gemäß Merkmalsgruppe 7 mit einer Regel zum Identifizieren von einem [X.] in einem ersten Netzwerk kommenden Datenpaketen konfiguriert werden, wobei diese Regel auch zu anderen Handlungen verwendet werden könne als zum Identifizieren und Fallenlassen von Datenpaketen, so dass eine Verallgemeinerung des Schutzbereichs vorläge, überzeugt den Senat nicht. Auch die Ansicht der [X.], das Ausführungsbeispiel gemäß den [X.]uren [X.] und [X.] würde nur eine Regel zum Identifizieren und Fallenlassen offenbaren, wobei die Regel ggf. auch nicht in Reaktion auf das Korrelieren sondern vielmehr in Reaktion auf das Bestimmen von einem bösartigen [X.] gesendeter Datenpakete erfolge, greift nicht durch.

Denn die ursprüngliche Anmeldung offenbart (vgl. [X.]1, [X.], Abs. [15]) einen Korrelator, welcher die Taps/Paketfilter mit Regeln versieht, welche die Taps/Paketfilter zum Identifizieren von Paketen sowie zum Durchführen von auch anderweitig spezifizierten Handlungen veranlassen, welche sich nicht nur auf das Fallenlassen von Paketen (vgl. [X.]1, Ausführungsbeispiel gemäß [X.]ur [X.], Schritt 34 [X.] den Absätzen [51] – [52]) beschränken, sondern welche neben dem Fallenlassen/Drop beispielhaft ebenso ein Routen, Weiterleiten/Forward, Logging und Kopieren oder ähnliches umfassen (vgl. [X.], [X.]1, Abs. [15], dort: „Rule(s) 140 may be generated by packet correlator 128 and may be configured to cause tap device(s) 124 and 126 to identify packets meeting criteria specified by rule(s) 140 and to perform one or more functions specified by rule(s) 140 on the identified packets (e.g., forward (or route) the packets toward their respective destinations, drop the packets, [X.] in the packets, copy the packets (or data contained therein), or the like) [X.](s) 140, which may configure tap device(s) 124 and 126 ...“).

[X.]ntgegen der Auffassung der [X.] muss der Paketfilter nicht zwingend zwischen dem ersten [X.] und dem [X.] angeordnet sein. Die ursprüngliche Anmeldung [X.]1 zeigt in [X.]ur 1 [X.] Absatz [15] sowie [X.]ur [X.] [X.] Absatz [51] vielmehr bereits zwei „tap devices“ 124 und 126, welche vor und hinter dem [X.] 122 angeordnet sind, welche beide jeweils einen Paketfilter umfassen, und welche beide jeweils mit Regeln bzw. [X.] beaufschlagt werden, um Pakete zu identifizieren und entsprechende Funktionen wie bspw. ein Fallenlassen/Verwerfen von Paketen auszuüben (vgl. [X.]1, Abs. [51]: „to configure tap devices 124 and 126 to identify and drop packets received from host 114.“; vgl. [X.]1, Abs. [15]: „[X.](s) 122 and network 106. Tap device 126 may be located on or have access to a communication path that interfaces network device(s) 122 and network 104 (e.g., [X.], 116, and 118).“). Zudem können gemäß [X.]1, Absätze [12] bis [13], die in der Beschreibung bzw. den Ausführungsbeispielen angegebenen Verbindungen direkt oder auch indirekt sein, sowie soll gemäß den Absätzen [55] bis [57] die erfindungsgemäße Funktionalität zentral in einem Gerät konzentriert oder auch beliebig im Netzwerk verteilbar sein (dort: „… operative across one or more computing devices and networks. [X.] in any manner or may be located in a single computing device …“).

Somit entnimmt der Fachmann die Gegenstände der Ansprüche 1 und 15 den ursprünglichen Anmeldeunterlagen unmittelbar und eindeutig.

2. Der Gegenstand des erteilten Patentanspruchs 1 ist gegenüber der Lehre der Druckschriften [X.] ([X.] 2 505 288 A) sowie der [X.] ([X.] 7 995 584 [X.]) neu, da er nicht mit sämtlichen Merkmalen aus jeweils einer dieser Druckschriften bekannt ist (Art. 54 [X.]PÜ).

2.1 Die [X.] ([X.] 2 505 288 A) betrifft – im Gegensatz zum [X.] - kein Verfahren bzw. System für die Netzwerk-Überwachung bzw. [X.], sondern für ein „Law [X.]nforcement“ ([X.]) bzw. „Lawful Intercept“ in Netzwerken mit Adress-Änderungen, welche bspw. durch Proxies oder [X.]s („network address translation“) hervorgerufen wurden, um dort entsprechende [X.]s oder den Datenverkehr krimineller Teilnehmer zu erfassen (vgl. [X.], [X.], [X.] 32 – [X.], [X.] 14, [X.], [X.] 23; Merkmal M1).

Dazu wird gemäß [X.] der Paketdatenverkehr jeweils vor und hinter dem [X.] (Proxy, [X.]) mit einem passiven Korrelationsgerät („[X.]“) erfasst, wobei Paketfilter („Pre-[X.] Session Filter 150“ und „Post-[X.] Session Filter 155“, vgl. [X.], [X.]. 3) die Pakete einzelnen Sessions zuordnen und in entsprechende [X.] einsortieren (vgl. [X.], [X.]. 2 und 3). Der [X.] ist hierbei an der Grenze zwischen zwei Netzwerken, bspw. einem [X.] und dem [X.] angeordnet, so dass die Pakete der [X.] verschiedenen [X.]s in einem ersten/zweiten Netzwerk zugeordnet sind (vgl. [X.], [X.]. 1; Merkmale [X.], [X.]).

[X.]inem Korrelator wird mittels [X.] („a list of pointers“, vgl. [X.], [X.], [X.] 7) auf die Pakete in den [X.] bzw. [X.]eicherstellen der Pakete in einem gemeinsamen Buffer ein [X.] bzw. eine [X.]chtzeit-Verarbeitung ermöglicht (vgl. [X.], [X.], [X.] 11 - 12, [X.], [X.] 32, [X.], [X.] 1 - 16, [X.], [X.] 8).

[X.]ntgegen der Auffassung der [X.] handelt es sich bei der unspezifischen Abspeicherung von Paketen in einem gemeinsamen Buffer nicht um einen Log i.S. des [X.]s, da jegliche [X.]igenschaften einer Protokollierung, bspw. ein [X.]inhalten einer festen Paketreihenfolge bzw. eine (optionale) Beaufschlagung der Pakete mit einem Zeitstempel, fehlen (vgl. [X.], [X.], [X.] 6 – 9, „[X.] in a common buffer.“). Die in der [X.] genannte, aufgezeichnete Zeitinformation bezieht sich offensichtlich nicht auf die Pakete sondern ausschließlich auf die jeweiligen Sessions (vgl. [X.], [X.], [X.] 29 – [X.], [X.] 4, „[X.], 155 are arranged to record timing information to a high level of accuracy for each observed session, …“). Im Übrigen wird die Argumentation, dass gemäß [X.] die Pakete mit einem Log-typischen Zeitstempel markiert würden, von den [X.] in der mündlichen Verhandlung nicht mehr weiterverfolgt.

Der Korrelator gemäß [X.] umfasst einen Prozessor mit vier Kernen zur Parallelverarbeitung (vgl. [X.], [X.]. 3, [X.], [X.] 10 – 17, „[X.] comprises four processor cores with each processor core arranged to execute, in a separate processing thread, an [X.]. [X.]ach of the executing correlation threads is arranged to receive queued IP packets from a different post-[X.] session queue 165, in parallel, and to look for a matching session from amongst the queued IP packets in the pre-[X.] session queues 160.“). Der Korrelator korreliert die Pakete der Post-[X.]-Sessions mit denjenigen der Pre-[X.]-Sessions, wobei der Korrelator über die Pointer auf die [X.] der Pakete zugreift, insbesondere auf die [X.]uint, d. h. die fünf Datenfelder im [X.]/[X.] Paketheader umfassend [X.] und Portnummer, [X.] und Portnummer sowie das [X.], und weitere [X.], um über die Zusammengehörigkeit von Pre-[X.] und Post-[X.] Paketen auf das Adress-/Port-Mapping des Proxies/[X.]s zu schließen, wobei bei Mehrdeutigkeiten auch noch auf weitere [X.] zurückgegriffen wird (vgl. [X.], [X.], [X.] 17 – [X.], [X.] 11; Merkmal [X.] teilweise).

Das Adress- /Port-Mapping von vom Korrelator erfolgreich zugeordneten / „gematchten“ Sessions wird in einem Log abgespeichert, der einer Vielzahl von Anwendungen ([X.], [X.], Umbruch zu [X.], „for use in numerous applications“) und/oder externen Systemen ([X.], [X.], [X.] 33, „external systems“) zur Verfügung gestellt wird (vgl. [X.], [X.]. 4, [X.], [X.] 1, [X.], [X.] 12, [X.], [X.] 33, [X.], [X.] 14 – [X.], [X.] 2; Merkmal [X.]).

Das vom Korrelator generierte Mapping von privaten / öffentlichen Teilnehmeradressen kann beispielsweise einer/-m „Lawful Intercept“ Applikation/System zur Verfügung gestellt werden, wobei diese/-s dann Regeln für das Identifizieren von Paketen eines kriminellen Teilnehmers generiert, mit diesen Regeln einen Paketfilter konfiguriert und mittels Paketfilter die Pakete des kriminellen Teilnehmers aus dem Netzwerkverkehr filtert und für die Strafverfolgung abspeichert (vgl. [X.], [X.], [X.] 32 – [X.], [X.] 14, insb. [X.] 11 ff.: „[X.], [X.], may be sent to a respective monitoring device so that it may identify and collect data for the correct sessions“). Die [X.] zeigt in der [X.]ur 1 [X.] Seite 3, Zeilen 22 bis 32 bereits ein [X.]. „Lawful Intercept“ Systeme sind im Allgemeinen standardisiert. Der Fachmann liest somit aufgrund des GPRS Mobilfunknetzes in der [X.], [X.]ur 1 ein „Lawful Intercept“ System gemäß dem zum Prioritätsdatum des [X.]s relevanten 3GPP-Standard TS 33.107 V12.9.0 (2014-12) mit, welches im Fall eines [X.] eine Architektur gemäß dortiger [X.]ur [X.] 3.1 auf Seite 196 aufweist:

Das Abhören eines Teilnehmers wird von einem [X.] unter Zuhilfenahme der Zielidentität initiiert, wobei der [X.] über den S-CSCF letztendlich den [X.] (Paketfilter im „Lawful Intercept“ System) instruiert, einen Call der Zielperson aufzunehmen, wobei dann dem S-CSCF und dem [X.] gemäß [X.] die [X.] zur Verfügung gestellt werden (Merkmale [X.], [X.], [X.]).

Soweit die Beklagte in der Verhandlung vorträgt, dass die [X.] der [X.] mit der [X.] des 3GPP-Standards TS 33.107 V12.9.0 umfassend ein IP Multimedia Subsystem ([X.]) mit einem [X.] Session-Aufbau inkompatibel sei, greift dies nicht durch. Denn der Fachmann weiss, dass „Lawful Intercept“ ebenfalls bereits früher für GPRS standardisiert wurde, wobei dort der [X.] unter Zuhilfenahme der Zielidentität des Teilnehmers den [X.] ([X.]) zum Herausfiltern der Paketdaten dieses Teilnehmers aussteuert (vgl. 3GPP [X.] (2000-12), [X.]0 ff., „[X.] (normative): Interception for GPRS“).

Darüber hinaus lehrt die [X.] in Ansprechen auf ein erfolgreiches Matching zwischen einer [X.]ingangs- sowie einer Ausgangs-Session-Queue durch den Korrelator, dass die entsprechenden [X.] in den Paketfiltern (des passiven Korrelationsgeräts / „[X.]“) gelöscht werden sollen, und dass die Paketfilter keine weiteren Pakete dieser Sessions aufnehmen sollen, um multiples Matching für die gleiche Session zu verhindern, wobei es sich dabei ebenfalls um Regeln handelt, welche über die Steuerleitungen gemäß [X.], [X.]ur 3, Bezugszeichen 175, 180 vom Korrelator an die Paketfilter 150, 155 übermittelt werden (vgl. [X.], [X.].3, Bezugszeichen 175, 180 [X.] [X.], [X.] 21 - 29, dort: „the processor signals to the post-[X.] session filter 165 to cease capture of IP packets in the matched session (post-[X.] [X.] + IP Identification field). [X.], [X.] signals to the pre-[X.] session filter to cease capture of IP packets relating to the matched pre-[X.] session. [X.]ach session filter 150, 155 [X.] queues 160, 165 of packets and begins to queue IP packets with a newly identified [X.] + IP Identification field, captured at the respective tap points 120, 125. In this way, [X.] correlation functionality is reduced as far as possible.“; ebenfalls Merkmale [X.], [X.], [X.]).

In der [X.] fehlt ein Generieren von „Log entries“ für die vom [X.] – d. h. in diesem Fall dem [X.]/Proxy - gesendeten bzw. empfangenen Pakete, wobei jedoch gemäß [X.] dem Korrelator über die [X.] für die im [X.]eicher / Buffer befindlichen Pre-/Post-[X.] Pakete sämtliche notwendigen Informationen mittels [X.]eicherzugriff bereitgestellt werden. In Folge basiert die Korrelation gemäß Merkmal [X.] ebenfalls nicht auf den „Log entries“. Daher fehlen in der [X.] die Merkmale [X.], [X.] teilweise sowie ebenfalls das Merkmal [X.] teilweise.

Der Gegenstand des erteilten Patentanspruchs 1 ist somit neu gegenüber der Lehre der Druckschrift [X.].

2.2 Die [X.] ([X.] 7,995,584 [X.]) betrifft ein Detektieren eines bösartigen Routers in einem Netzwerk („for detecting malicious routers“) bzw. ein Detektieren von [X.]-SYN- oder [X.] eines in der Nähe des Routers befindlichen [X.]s (vgl. [X.], [X.]. 1, [X.] 7 - 10, [X.]. 6, [X.] 27 - 60).

Hierzu wird fortlaufend für jedes nicht für den Router selbst bestimmte Paket am [X.]ingang („ingress“) sowie am Ausgang („egress“) des Routers ein jeweiliger Hash-Wert oder alternativ bei Verwendung von Bloom-Filtern multiple Werte für [X.] bzw. [X.] bestimmt, in einem Hash-Buffer abgespeichert und miteinander verglichen (vgl. [X.], [X.]. 1 - 3, [X.]. 2, [X.] 50 – [X.]. 3, [X.] 31 und [X.]. 4, [X.] 10 - 16).

Wird ein Router als bösartig erkannt, erfährt das aktuelle [X.]gress-Paket am [X.] eine [X.]ezialbehandlung („appropriate action“), wobei das Paket verworfen, weitergeleitet oder geloggt wird (vgl. [X.], [X.]. 3, [X.] 32 - 43).

In der [X.] fehlt das Merkmal [X.] umfassend ein Korrelieren multipler gesendeter und multipler empfangener Pakete, da gemäß dortiger Lehre jeweils sequentiell Paket für Paket behandelt wird, wobei ein Vergleich von Informationen von jeweils nur einem Paket auf der [X.] sowie einem auf der [X.]gress-Seite nach fachmännischem Verständnis keine Korrelation im streitpatentgemäßen Sinne darstellt. Die [X.] schweigt zudem hinsichtlich einer Regelgenerierung für einen Paketfilter, so dass dort ebenfalls die [X.] fehlt.

Der Gegenstand des erteilten Patentanspruchs 1 ist somit neu gegenüber der Lehre der Druckschrift [X.].

2.3 Gleiches gilt für den nebengeordneten Patentanspruch 15, der eine entsprechende Vorrichtung zur Durchführung des Verfahrens u.a. gemäß Patentanspruch 1 betrifft.

3. Der Gegenstand des erteilten Patentanspruchs 1 beruht nicht auf einer erfinderischen Tätigkeit, da sich für den Fachmann die [X.]rfindung in naheliegender Weise aus dem Stand der Technik aus einer Zusammenschau der Druckschriften [X.] und [X.] ([X.] 2012/0218999 [X.]), [X.] und [X.] ([X.] 2014/0280778 [X.]) oder [X.] und [X.] ([X.] 8413238 [X.]) ergibt (Art. 56 [X.]PÜ).

3.1 Zur Zusammenschau von [X.] und [X.]

Die [X.] ([X.] 2014 / 0 280 778 [X.])betrifft ein Verfahren für ein Rechensystem ( „a computer implemented method is described“) zum Identifizieren von Paketen bzw. [X.]n in einem Netzwerk ( „tracking the identity of a network packet“) mit einem einen Grenzübergang ( „boundary“) repräsentierendem Netzwerk-Gerät, welches ein Router, ein Proxy, ein Gateway, eine Firewall oder ein [X.] sein kann (vgl. [X.], Abs. [0003] – [0006]; Merkmal M1).

Hierzu wird gemäß [X.] der Datenverkehr zwischen einem Client und einem Server vor und hinter dem [X.] mit Sensoren („inside sensor 120“, „[X.]“) abgegriffen, wobei jeweils die Pakete auf der [X.] mit einem Zeitstempel versehen werden, für jedes Paket ein Hash-Wert für die [X.] berechnet wird, und die jeweiligen [X.]en wie Zeitstempel, IP-Adresse(n) und Hash-Wert in zwei [X.] einsortiert bzw. abgespeichert werden, wobei die Pakete aus den [X.] anschließend einander zugeordnet („match“) werden (vgl. [X.], [X.]. 1 - 3, Abs. [0003], [0006], [0018], [0021]). Die durch die Sensoren erfassten bzw. aufgenommenen (vgl. [X.], Abs. [0018] - [0020], „passively record traffic“) [X.]inträge in den beiden [X.] sind „Log entries“ i.S. des [X.]s für eine Vielzahl von Paketen jeweils auf der [X.]mpfangs- sowie auf der [X.] des [X.]s (Merkmale [X.] bis [X.]).

Das anschließende Matching der Pakete basierend auf den „Log entries“ erfolgt anhand der Kriterien Zeitstempel, IP-Adresse und Hash-Wert, wobei ggf. der [X.]insatz von Fuzzy-Logik nicht nur ein Matching aufgrund identischer [X.]inträge sondern auch ein Matching anhand von Ähnlichkeiten erlaubt (vgl. [X.], Abs. [0021], [0029]). Das Matching berücksichtigt eine unterschiedliche Paketreihenfolge, so dass eine Korrelation multipler [X.]ingangs- und multipler Ausgangspakete vorliegt (vgl. [X.], [X.]. 2 - 3, Abs. [0024] - [0025]). Die [X.] benennt das Matching gemäß [X.]ur 2 auch explizit als „Correlation“ (Merkmal [X.]), wobei die Paketverarbeitung und Korrelation gemäß [X.] nahezu in [X.]chtzeit erfolgen soll (vgl. [X.], Abs. [0027], „live packet capture mode“, „near real time“).

Die [X.], [X.]ur 2 [X.] Absatz [0023] zeigt exemplarisch für ein Paket die Ausgabe des [X.] bzw. Matching-[X.]rgebnisses in Form eines Logs umfassend die [X.], insbesondere die IP-Adressen, sowie den [X.], wobei beim Vergleich vom [X.]gress-Paket des Routers bzw. Gateways an der Netzwerkgrenze („[X.]“) und dem [X.]Paket („Inpacket“) die durch die [X.] verursachte Änderung der Ursprungsadresse („[X.]“) der [X.] ersichtlich ist. Der Log umfasst selbstverständlich eine Vielzahl von Paketen und beschreibt somit vollständig das [X.]-Mapping zwischen privaten und öffentlichen Adressen an der [X.].

Gemäß [X.], Absatz [0030] soll das Identifizieren der wahren [X.] („identify the true source of packet transmission“) einen signifikanten Beitrag für die [X.] bspw. in [X.]n leisten, indem infizierte, bösartige Netzknoten im Firmennetz durch das Inspizieren der Pakete an der Netzwerkgrenze erkannt werden ( „provide a way to quickly identify nodes that are infected with malicious content“). Diese Information wird entweder einem Netzwerkadministrator zur Verfügung gestellt, oder kann als Grundlage für eine Unternehmensnetzwerk-Architektur mit signifikanten Investitionen in die Überwachung („monitoring“) dienen, welche diese Technik nutzt, um an der Netzwerkgrenze detektierte bösartige Netzaktivität ihrer originalen [X.] zuzuordnen (vgl. [X.], Abs. [0030], „[X.]nterprises with significant visibility and monitoring investments into the network backbone can utilize this technique to attribute malicious activity sensed at the edge of a network back to its original source.“).

Wird bspw. von einem Überwachungssystem ein bösartiges [X.]gress-Paket detektiert, kann das Überwachungssystem unter Heranziehen des o.g. Logs, welcher das [X.] bzw. Matching-[X.]rgebnis für das Paket umfasst, auf das zugehörige [X.]Paket rückschließen und somit die Ursprungsadresse („[X.]“) der [X.] ermitteln.

Von der streitpatentgemäßen Lehre unterscheidet sich die [X.] lediglich dadurch, dass gemäß [X.] keine Regeln zur Identifikation der (bösartigen) [X.]-Pakete bzw. des (bösartigen) [X.]s generiert werden und solche auch nicht für einen Paketfilter bereitgestellt werden. Somit zeigt die [X.] die Merkmale [X.] und [X.] nicht. Diese Auffassung des Senats wurde den Parteien im Übrigen mit dem gerichtlichen Hinweis vom 25. April 2022 mitgeteilt.

Da die [X.] im Kontext der [X.] von Unternehmensnetzwerken eine Lösung für das technische Problem des Identifizierens und Trackens von Paketen infizierter, bösartiger Netzknoten bzw. [X.]s an Netzwerkgrenzen eines Unternehmensnetzwerks, an denen eine Verschleierung bedingt durch eine [X.]-Funktionalität eines Gateways bzw. Routers auftritt, sowie der entsprechenden Zuordnung der Pakete zu einer wahren Ursprungsquelle des [X.], d.h. zu dem infizierten, bösartigen Netzknoten, anbietet, war sie ein geeigneter Ausgangspunkt, um Maßnahmen gegen infizierte bzw. bösartige Netzknoten in Unternehmensnetzwerken bereitzustellen.

Soweit die [X.] in der mündlichen Verhandlung vorgetragen haben, dass sich dem Fachmann die Frage stelle, was mit dem als infiziert erkannten Netzknoten bzw. [X.] zu machen sei, hatte der Fachmann ausgehend von der [X.] die Aufgabe zu lösen, wie mit den nach der Lehre der [X.] als infiziert identifizierten [X.]s umzugehen ist, um das in Absatz [0030] der [X.] angesprochene Unternehmensnetzwerk zu schützen.

[X.]ntgegen der Auffassung der [X.], wonach der Fachmann keinen Anlass gehabt hätte, die Lehre der [X.] zu verlassen, da diese eine Vorratsdatenspeicherung betreffe, offenbart die Lehre der [X.] explizit, diese in Unternehmensnetzwerken zu verwenden (vgl. [X.], Abs. [0030]: „… it can provide a stable foundation for building tiered enterprise network architectures with an inherent capability for attribution of malicious activity. [X.]nterprises with significant visibility and monitoring investments into the network backbone … “, Unterstreichungen hinzugefügt). Darüber hinaus hatte der Fachmann die Lehre der [X.] nicht zu verlassen, sondern diese infolge der impliziten Fragestellung im Absatz [0030] - wie oben beschrieben - fortzuführen.

Der Fachmann würde auch die [X.] ([X.] 8413238 [X.]) in Betracht ziehen. Denn diese betrifft ebenfalls die [X.] in Unternehmensnetzwerken, wobei von einem Überwachungssystem („monitoring systems and/or methods“, „Monitor communications“) bösartige Aktivitäten („malicious activity“), Attacken („attacks such as a denial of service“) sowie Zugriffe ins [X.] auch bei verschleierten („[X.]ed“, „faked“) IP-Adressen abgewehrt werden sollen (vgl. [X.], [X.]. 4 Bezugszeichen 420, [X.]. 1 [X.] 36 - 51, [X.]. 2, [X.] 6 - 19, [X.]. 3 [X.] 24 – 53, [X.]. 10, [X.] 52 – 53, [X.]. 11, [X.] 43 - 46). Insbesondere betrifft die [X.] dabei – genauso wie die [X.] - ein Identifizieren von Geräten mit bösartiger Aktivität (vgl. [X.], [X.]. 10, [X.] 60 – 63: „In [X.] are inspected, [X.] identify devices which are likely associated with malicious activity.“).

Die [X.] [X.]uren 1 und 2 zeigen die Systemarchitektur des Überwachungssystems 100 für ein Unternehmensnetz 200, wobei die Benutzer-[X.]ndgeräte 206, 208 („user computers“) über die [X.], 203 sowie einen (nicht gezeigten) [X.]nterprise-Gateway / Router an ein Weitverkehrsnetz / [X.] 101 sowie das [X.], angeschlossen sind (vgl. [X.], [X.]. 5, [X.] 12 - 31).

Die eigentliche Überwachungsfunktionalität für den Datenverkehr des Unternehmens wird von den „processing nodes 110“ eines Service Providers bereitgestellt, welche sich außerhalb des Unternehmensnetzwerks befinden (vgl. [X.], [X.]. 4, [X.] 59 – 60, „[X.], the processing nodes 110 can be deployed at [X.] service provider ([X.]) nodes.“). Die [X.] offenbart „security policies“, welche den „processing nodes“ – wie bspw. Server, Gateways und Switches – von „authority nodes 120“ zur Verfügung gestellt werden (vgl. [X.], [X.]. 3, [X.] 1 - 63, [X.]. 6, [X.] 3 - 4, [X.]. 10, [X.] 39 – 59). Das [X.]nterprise-Gateway an der Grenze zwischen Unternehmensnetz und Providernetz routet den ganzen (externen) Datenverkehr des Unternehmens zum Zweck der [X.] über die „processing nodes“ des Service Providers, welche eine Proxy-Funktionalität („forward proxy“) umfassen und welche dann als „next hop router“ den Datenverkehr letztendlich an die externen Server, d.h. die [X.] im [X.], weiterleiten (vgl. [X.], [X.]. 3, [X.] 38 – 53, [X.]. 4, [X.] 45 – [X.]. 5, [X.] 4).

Für die Untersuchung des hinein- und/oder herausgehenden [X.] des [X.]s umfassen die „processing nodes“ [X.]smaschinen („data inspection engines“), welche den Inhalt der Kommunikation überprüfen, Bedrohungen hinsichtlich „spyware“, „malware“, [X.] und ungewünschte Inhalte, wie bspw. pornographische Inhalte, erkennen sowie darüber hinaus eine Bedrohungsklassifikation („threat classification“) bereitstellen (vgl. [X.], [X.]. 3, [X.] 1 – 14, [X.]. 7, [X.] 4 – 17, [X.]. 7, [X.] 56 - 67). Darüber hinaus wird der Zugriff auf das „[X.]“ überwacht (vgl. [X.], [X.].8, [X.] 18 – 19, „… monitoring darknet access.“)

Im Fall eines identifizierten infizierten bzw. bösartigen Geräts - bspw. innerhalb des [X.]s - wird gemäß der technischen Lehre der [X.] der Administrator informiert, [X.]ezialanwendungen werden zur Überprüfung der Gerätesoftware aktiviert und/oder die „processing nodes“ filtern automatisch dessen Datenverkehr, wozu ein automatisches Blockieren der Datenpakete basierend auf Regeln gehört (vgl. [X.], [X.]. 10, [X.] 60 – [X.]. 11, [X.] 3, „ … implement a rule preventing such devices from communicating with devices within the protected enterprise network.“ und [X.]. 12, [X.] 57 – [X.]. 13, [X.]14, insb. [X.]. 13, [X.] 3 - 8: „ [X.] (e.g., based upon an [X.]). [X.], traffic may be automatically blocked, [X.].“; Hervorhebung hinzugefügt; Merkmale 7.1 und 7.2).

Dem Fachmann stellt sich zwangsläufig das Problem, wie das Überwachungssystem der [X.], dessen eigentliche Überwachungsfunktionalität für den Datenverkehr des Unternehmens von den „processing nodes 110“ eines (externen) Service Providers bereitgestellt wird, beim Vorliegen einer Adressen-Transformation ([X.]) an der [X.] des [X.]s, bspw. hervorgerufen durch das o.g. [X.]nterprise-Gateway, das infizierte bzw. bösartige Gerät innerhalb des [X.]s identifiziert, d.h. dessen (private) „[X.]“ [X.] bestimmt. Denn obwohl das bösartige Gerät den „processing node“ direkt adressiert (vgl. [X.], [X.].4, [X.] 45 – 47, „the processing node 110 may act as a forward proxy that receives user requests to external servers addressed directly to the processing node 110.“), tauscht beim Vorliegen einer Adressen-Transformation ([X.]) der [X.]nterprise-Gateway die im Datenpaket mitübertragene private [X.] in eine öffentliche IP-Adresse um, wobei die Adressen-Transformation im Allgemeinen eine subjektive Abbildung darstellt, wobei der komplette private Adressraum auf signifikant weniger öffentliche Adressen transformiert wird. [X.]in Blockieren des [X.] im „processing node“ anhand der öffentlichen IP-Adresse würde somit nicht nur das infizierte bzw. bösartige Gerät dediziert treffen, sondern ggf. auch weitere Geräte anderer Benutzer im Unternehmensnetz.

Das ausgehend von der Lehre der [X.] bereits vorliegende [X.] wird nun unmittelbar durch die Ausführungsform gemäß [X.] verarbeitet, denn da der „processing node“ der „next hop“ des [X.]nterprise-Gateways ist und die vom „processing node“ empfangenen Pakete die [X.]gress-Pakete des [X.]nterprise-Gateways sind, muss er nur für das von ihm identifizierte, verdächtige Paket (vgl. [X.], [X.]. 2, „[X.]“) im vorliegenden [X.] gemäß [X.] nachschlagen und dem dazugehörigen [X.]Paket des [X.]nterprise-Gateways die (private) „[X.]“ (vgl. [X.], [X.]. 2, „Inpacket“, „[X.]“) des bösartigen [X.]s im Unternehmensnetzwerk entnehmen. Dem „processing node“ steht nämlich das [X.] gemäß [X.] zur Verfügung, da dieses gemäß [X.], Absatz [0030] als Grundlage für das Überwachungssystem vorgesehen ist und das gesuchte [X.]-Mapping zwischen privaten und öffentlichen Adressen an der [X.] nahezu in [X.]chtzeit auf [X.] zum Zweck der Identifizierung eines bösartigen Geräts bzw. der wahren [X.] im Unternehmensnetz bereitstellt (vgl. [X.], Abs. [0030], „[X.] significant benefits to network security.“, „Furthermore, it can provide a stable foundation for building tiered enterprise network architectures with an inherent capability for attribution of malicious activity. [X.]nterprises with significant visibility and monitoring investments into the network backbone can utilize this technique to attribute malicious activity sensed at the edge of a network back to its original source.“).

Diese Identifizierung des infizierten bzw. bösartigen Geräts als Reaktion auf das Korrelieren (Merkmal [X.]) erfolgt noch vor den Verfahrensschritten gemäß den Merkmalen [X.] und [X.], welche die anschließend durchzuführende Regelgenerierung für die Behandlung des [X.] bzw. der Pakete des identifizierten Geräts betreffen.

Die Beklagte verneint in der Verhandlung, dass der Fachmann die Druckschriften [X.] und [X.] überhaupt kombinieren würde, und argumentiert damit, dass die Anmelderin der [X.] die [X.] Navy und die Anmelderin der [X.] die Firma [X.] seien, wobei beide [X.] ihrer Auffassung nach „[X.]“ bereitstellen würden und keinerlei Zugang zu irgendeinem Source-Code gewährten. Diese Argumentation der [X.] ist in der Sache nicht zutreffend, denn für den [X.] einer Vorveröffentlichung ist ausschließlich maßgeblich, welche technische Information dem Fachmann dort offenbart bzw. ggf. vom Fachmann mitgelesen wird ([X.], Urteil vom 16.12.2008, [X.]/07 - Olanzapin). Der [X.] ist dabei kein anderer, als er auch sonst im Patentrecht zugrunde gelegt wird. Die Benennung eines bestimmten [X.]rfinders bzw. Anmelders auf der Titelseite eines Patentdokuments bzw. sonstige bibliographische Informationen spielen daher bei der Bestimmung des [X.]s einer [X.]ntgegenhaltung keine Rolle.

Übrigens schlägt die [X.] selbst in Absatz [0030] keine (geheimhaltungsbedürftige) militärische, sondern sogar explizit eine zivile Anwendung in Überwachungssystemen für Unternehmensnetzwerke vor, wobei das Verfahren mittels „open source technology“ auf gängiger Hardware („commodity hardware“) zu implementieren sei.

Darüber hinaus vertreibt die Firma [X.] zwar zum [X.] (10.02.2015) des [X.]s Cloud-basierte „Zero Trust“ Sicherheitslösungen, der Fachmann kann der ca. sieben Jahre früher (21.07.2008) angemeldeten [X.] darüber jedoch (noch) Nichts entnehmen.

Gleiches gilt für die Auffassung der [X.], dass in der [X.] die Benutzer und deren IP-Adressen in den „processing nodes“ bekannt seien, da in [X.] Systemen das Benutzergerät seine eigene IP-Adresse an den „3rd Party processing node“ mittels [X.]-Protokoll („[X.]“) mitschicken würde (vgl. [X.], [X.]). Denn die [X.] beschreibt in [X.]ur 2 [X.] [X.]alte 4, Zeilen 13 bis 44 ausschließlich eine Benutzerschnittstelle 130 („user interface front-end 130“), welche den Benutzern („users“) einen Account für das Überwachungssystem beim [X.] Service Provider zur Verfügung stellt, womit die Benutzer „security policies“ bspw. für ihren [X.]-Mail-Verkehr definieren können. Die [X.] schweigt aber sowohl hinsichtlich eines potentiellen Hinterlegens der aktuellen IP-Adresse des gerade vom Benutzer verwendeten Geräts im genannten Account, welche ggf. dynamisch dem Benutzerlaptop 206 oder dem Benutzerdesktop 208 vom Router im Unternehmensnetz beim [X.]inschalten des jeweiligen Geräts zugewiesen wird, als auch hinsichtlich einer [X.]-Signalisierung der ursprünglichen IP-Adresse im [X.], falls der Benutzer bspw. mit einem [X.] im [X.] surft.

Die Argumentation der [X.], dass ein „Monitoring System“ gemäß [X.], Absatz [0030] nur den Datenverkehr überwachen und selbstverständlich keine Pakete blockieren/droppen würde, vermag den Senat nicht zu überzeugen. Denn die [X.] beschreibt offensichtlich ein solches „Monitoring System“ (vgl. [X.], [X.]. 11, [X.] 45, „monitoring systems and/or methods“), welches eben gerade Pakete von infizierten bzw. bösartigen Geräten mittels den „processing nodes“ automatisch blockiert.

Auch die Argumentation der [X.], die [X.] wäre mit Verweis auf die SQL-Datenbank in Absatz [0026] nur auf eine reine Vorratsdatenspeicherung gerichtet, greift nicht durch. Denn zum einen ist die in der [X.], Absatz [0026] erwähnte SQL-Datenbank offensichtlich optional („[X.]) und zum anderen kann der Fachmann der [X.] auch nirgends eine Umschreibung einer Vorratsdatenspeicherung entnehmen. Vielmehr befasst sich die Druckschrift [X.] gemäß Absätzen [0002] bis [0004] ganz allgemein mit einem Identifizieren und Tracking von Paketen, insbesondere beim Vorliegen eines [X.]s, Proxies oder Gateways an der Netzwerkgrenze, und gemäß Absatz [0030] im [X.]eziellen mit der [X.] in [X.]n.

Der Gegenstand des Patentanspruchs 1 ist somit dem Fachmann ausgehend von der Druckschrift [X.] in Kombination mit der [X.] in sämtlichen Merkmalen nahegelegt.

Soweit die [X.] vorgetragen und überzeugend begründet haben, dass der Fachmann ausgehend von der [X.] in Zusammenschau mit der [X.] in naheliegender Weise zum Gegenstand des Patentanspruchs 1 gelangt, und der Vortrag der [X.] dies nicht entkräften konnte, kann somit dahingestellt bleiben, ob die umgekehrte Kombination ausgehend von der [X.] in Zusammenschau mit der [X.] den Gegenstand des Patentanspruchs 1 ebenfalls nahegelegt hätte.

Denn die Beklagte vertritt die Auffassung, dass der Fachmann als Ausgangspunkt nicht die [X.] sondern die [X.] gewählt hätte, was ihrer Meinung nach aber nicht zum Gegenstand des erteilten Patentanspruchs 1 führen würde.

Für den Fachmann ist es zunächst grundsätzlich ohne Bedeutung, ob andere Ausgangspunkte möglicherweise als noch näherliegend in Betracht kommen, die Wahl einer bestimmten [X.]ntgegenhaltung oder Vorbenutzung als Ausgangspunkt für die Lösung eines technischen Problems bedarf jedoch grundsätzlich der Rechtfertigung (vgl. [X.], Urteil vom 05.10.2016, [X.] – Opto-Bauelement).

Auch wenn die [X.] die [X.]-Problematik nicht unmittelbar anspricht und gänzlich hinsichtlich einer Korrelation von Paketen schweigt, betrifft sie - wie das [X.] - den Kontext der [X.] und dort im [X.]eziellen das Identifizieren von Paketen über die Netzwerkgrenze zwischen einem ersten Netzwerk (Unternehmensnetz) sowie einem zweiten Netzwerk (Providernetz) sowie die entsprechende Zuordnung der Pakete zu einem Paketdatenfluss bzw. einer Ursprungsquelle des [X.]. Darüber hinaus ist dem Fachmann zum Anmeldetag bekannt, dass [X.]nterprise-Gateways in [X.]n eine [X.]-Funktionalität umfassen und somit paketverändernd wirken, so dass die Identifizierung der Ursprungsadresse eines infizierten bzw. bösartigen Geräts im Unternehmensnetz und das automatische Blockieren des [X.] dieses Geräts durch den „processing node“ im Providernetz Kenntnisse über Paketveränderungen, insbesondere Adressenänderungen, erfordern. Schließlich beschreibt die [X.] in [X.]alte 4, Zeile 52 bis Zeile 67 sogar einen Tunnel zwischen dem [X.]nterprise-Gateway und dem „processing node“ sowie „MPLS labelling“, welche beide ggf. paketverändernd wirken (vgl. auch [X.], Abs. [0021], „tunneling gateway“).

Dem Fachmann ist am Anmeldetag zur Umgehung bzw. zur Lösung der [X.]-Problematik neben der paketbasierten und protokollunabhängigen Korrelationsmethode gemäß [X.] als weitere Alternative die von der [X.] genannte [X.]-Protokoll-[X.]rgänzung bekannt. Der Fachmann weiß auch, dass [X.] jedoch nur mit [X.]/[X.]S Verkehr funktioniert, andere Protokolle wie [X.], [X.], [X.], [X.], Video, [X.]/POP/[X.] (Mail) etc. profitieren von [X.] hingegen nicht. Der [X.] ([X.]) ist ein De-facto-Standard-[X.]-Header-[X.]intrag im [X.], wobei der Header dazu dient, die IP-Adresse des Benutzers zu übermitteln, wenn dieser durch einen Proxy auf einen Webserver zugreift (vgl. [X.], [X.]).

Ausgehend von der [X.] überträgt die [X.]-Protokoll-[X.]rgänzung bei einem [X.]-Zugriff, bspw. beim Browsen oder bei einem Zugriff auf einen Webserver, die (private) Ursprungsadresse des Benutzergeräts im Unternehmensnetz in dem zusätzlichen [X.] jedes [X.]/[X.]S-Requests im „Klartext“ an den „processing node“, der gemäß [X.] einen Proxy darstellt, so dass dieser auch beim Vorliegen einer Adressänderung hervorgerufen durch eine [X.] im [X.]nterprise-Gateway ein bösartiges Benutzergerät bzw. die wahre [X.] im Unternehmensnetz sofort identifizieren kann, ohne dass er auf eine [X.]-Mapping-Tabelle des [X.]nterprise-Gateways zugreifen muss.

Kommen für den Fachmann aber mehrere solche gangbaren Alternativen in Betracht, können folglich mehrere von ihnen naheliegend sein, wobei es grundsätzlich ohne Bedeutung ist, welche der Lösungsalternativen der Fachmann als erste in Betracht zöge (vgl. [X.], Urteil vom 16.02.2016, [X.] – [X.]; vgl. [X.], Urteil vom 06.03.2012, [X.], juris Rn. 19; vgl. [X.], Urteil vom 06.05.2003, [X.]/00 - Flachantenne).

Nach Auffassung des Senats würde sich somit auch beim Wechsel des Ausgangspunkts von der [X.] zur [X.] die Bewertung der erfinderischen Tätigkeit nicht ändern. Der Gegenstand des Patentanspruchs 1 wäre dem Fachmann ebenfalls ausgehend von der Druckschrift [X.] in Kombination mit der [X.] nahegelegt.

3.2 Zur Zusammenschau von [X.] und [X.] bzw. [X.] und [X.]

Der [X.] ([X.] 2 505 288 A), welche keine Netzsicherheit, sondern ein Abhören zum Zweck der Strafverfolgung betrifft, fehlen ausschließlich die die Protokollierung mittels Logs / „Log entries“ betreffenden Merkmale (d.h. Merkmale [X.], [X.], [X.] jeweils teilweise). Zwar zeigt auch die [X.] eine Protokollierung mittels Log, wobei jedoch erst beim Auffinden einer Übereinstimmung/Match die [X.]rgebnisse der Korrelation im [X.] in eine (ggf. externe) Protokolldatei geschrieben werden (vgl. [X.], [X.]. 4 [X.] [X.], [X.] 14 – [X.], [X.] 2).

Nach Auffassung der [X.] würde der Fachmann die auf Pointern zu in [X.] organisierte [X.]uint-[X.] basierende [X.] in dem vorliegenden externen passiven Korrelationsgerät angepasst an 10 Gbit/s [X.]-Geräte gemäß [X.] zugunsten einer Protokollierung mittels Logs und einer Korrelation bzw. Vergleichen von „Log entries“ modifizieren, um die Technik zu verbessern bzw. zu optimieren.

Insbesondere würde der Fachmann die [X.] heranziehen, da diese ebenfalls nahezu in [X.]chtzeit mittels Korrelation von passiv aufgenommenen Logs eine von einem [X.] an der Netzwerkgrenze veränderte Paketidentität tracken kann, wobei mittels der Verwendung von [X.]es [X.]eicherplatz eingespart werden könne (vgl. [X.], [X.]. 1 – 3 [X.] Abs. [0003], [0006], [0018]). Gleiches würde ausgehend von der [X.] für die [X.] gelten, welche zudem zum Zwecke des „Law enforcements“ eingesetzt werden könne, und welche vorab nur Pakete mit einer hohen Identifikationswahrscheinlicheit selektieren und die Korrelation nur mit Paketen innerhalb eines gewissen Zeitfensters effizient und speicherplatzsparend durchführen würde (vgl. [X.], [X.]. 1 und [X.]. 7 [X.] Abs. [0004], [0006], [0020], [0028] – [0029]).

Gemäß [X.] werden die Daten mit Vorliegen des [X.]ses jedoch bereits nach ca. 100 ms aus dem [X.]eicher gelöscht (vgl. [X.], [X.], [X.] 22 - 24). Bei dem Datendurchsatz des [X.]-Geräts von 10 Gbit/s (vgl. [X.], [X.], [X.] 7 ff.) ergibt sich daher eine maximal mögliche Optimierung des [X.]eicherplatzes von 100 ms * 10 Gbit/s = 125 MByte. Bei dem in der [X.] angesprochenen [X.] mit einem großen Arbeitsspeicher von 10 [X.]yte RAM ist dieses geringe [X.]insparpotential an [X.]eicherplatz von nur 1¼ Prozent unerheblich und – nach Auffassung des Senats - nicht relevant genug, um dem Fachmann hinreichend Motivation und Veranlassung zur Modifikation des Verfahrens bzw. der Vorrichtung gemäß [X.] zu geben (vgl. [X.], [X.], [X.] 10 - 13).

Soweit diese Argumentation der [X.] nicht durchgreift, haben diese ihr schriftsätzliches Vorbringen in der mündlichen Verhandlung dahingehend ergänzt, dass die [X.] gemäß [X.] / [X.] letztlich nichts anderes als eine von mehreren Implementierungs-Alternativen wären, welche zum Standardrepertoire des Fachmanns zählten. Dies ist für die Beurteilung der erfinderischen Tätigkeit entscheidend.

Denn kommen für den Fachmann verschiedene Alternativen in Betracht, können mehrere von ihnen naheliegend sein, wobei es grundsätzlich ohne Bedeutung ist, welche der Lösungsalternativen der Fachmann als erste in Betracht zöge (vgl. [X.], Urteil vom 16.02.2016, [X.] – [X.]). Darüber hinaus besteht Veranlassung zum Heranziehen einer generellen Lösung, solange deren Nutzung sich dem Fachmann im Rahmen seines [X.] als objektiv zweckmäßig darstellt und keine besonderen Umstände dagegen sprechen (vgl. [X.], Urteil vom 11.03.2014, [X.] – [X.]; [X.], Urteil vom 27.03.2018, [X.] 59/16 – Kinderbett; [X.], Urteil vom 26.09.2017, [X.] - [X.]infrequenz).

Damit stellt die [X.]rzeugung von Logs und deren Verwendung bei einer Korrelation (vgl. [X.] bzw. [X.]) eine gängige Lösung dar, die beim „Lawful Intercept“ System der [X.] fachmännisch ohne besondere Schwierigkeiten implementiert werden kann.

Der Gegenstand des erteilten Patentanspruchs 1 ist somit aus der Kombination der Druckschrift [X.] mit einer der Druckschriften [X.] bzw. [X.] jeweils nahegelegt und beruht somit nicht auf einer erfinderischen Tätigkeit.

3.3 Gleiches gilt für den nebengeordneten Patentanspruch 15, der eine entsprechende Vorrichtung zur Durchführung des Verfahrens u.a. gemäß Patentanspruch 1 betrifft.

4. Da die Beklagte die abhängigen Unteransprüche nicht isoliert verteidigt, bedürfen diese keiner gesonderten Prüfung. Mit dem sich als nicht patentfähig erweisenden Patentanspruch 1 nach erteilter Fassung des [X.]s sind auch die darauf direkt oder indirekt rückbezogenen Unteransprüche 2 bis 14 der erteilten Fassung des [X.]s für nichtig zu erklären, da die Beklagte weder geltend gemacht hat noch sonst ersichtlich ist, dass die zusätzlichen Merkmale dieser Ansprüche zu einer anderen Beurteilung der Patentfähigkeit führen (vgl. [X.], Beschluss vom 27. Juni 2007 – [X.], [X.], 862 Leitsatz – Informationsübermittlungsverfahren II; [X.], Urteil vom 29. September 2011 - [X.] 109/08 1. Leitsatz – Sensoranordnung).

III. Zu den Hilfsanträgen 0, 1, 1b, 2, 2b, 2c, 3, 4 und 5

Der erst in der mündlichen Verhandlung eingereichte Hilfsantrag 0 war nach § 83 Abs. 4 [X.] als verspätet zurückzuweisen und deshalb keiner Sachprüfung zu unterziehen.

In keiner der Fassungen nach den [X.] 1, 1b, 2, 2b, 2c, 3, 4 und 5 kann das [X.] Bestand haben, da der Gegenstand des [X.]s mit der verteidigten Fassung nach den [X.] 2 und 3 jeweils über den Inhalt der ursprünglichen Anmeldungsunterlagen hinausgeht, Art. II § 6 Abs. 1 Nr. 3 [X.], Art. 138 Abs. 1 Buchst. c) [X.]PÜ [X.] Art. 123 Abs. 2 [X.]PÜ, und weil dem Gegenstand des Patentanspruchs 1 der mit den [X.] 1, 1b, 2, 2b, 2c, 3, 4 und 5 verteidigten [X.] des [X.]s jeweils der [X.] der mangelnden Patentfähigkeit entgegensteht, Art. II § 6 Abs. 1 Nr. 1 [X.], Art. 138 Abs. 1 Buchst. a) [X.]PÜ [X.] Art. 52, 56 [X.]PÜ.

1. Zu Hilfsantrag 0

Auf der Grundlage der Gliederung gemäß erteilter Fassung aufbauend, kann der Patentanspruch 1 gemäß Hilfsantrag 0 wie folgt gegliedert werden (Änderungen im Vergleich zur erteilten Fassung fett hervorgehoben):

Das Merkmal [X.] des Patentanspruchs 1 der erteilten Fassung wurde durch das Merkmal [X.]_Hi0 dahingehend modifiziert, dass das [X.] nunmehr keine [X.]-Funktionalität ausführen soll. Das Merkmal [X.]_Hi0 ist – analog zu einem Disclaimer - negativ formuliert, wobei die Beklagte auf die paketverändernden alternativen [X.] ohne [X.]-Funktionalität gemäß [X.], Absätze [0020] und [0021], verweist. Dort werden bspw. Proxies und Gateways mit VPN und Tunnel genannt („VPN or tunnelling gateway“).

Der erst in der mündlichen Verhandlung formulierte und gestellte Hilfsantrag 0 war als verspätet zurückzuweisen und bleibt deshalb unberücksichtigt.

Die Voraussetzungen für eine Zurückweisung sind vorliegend gegeben, nachdem die [X.] sich mit dem Gegenstand dieses [X.] bisher nicht befassen konnten und daher eine Vertagung erforderlich gewesen wäre.

Die Beschränkung mit einem negativen Merkmal ist keine geringfügige Änderung eines verteidigten Patentanspruchs. Der Hilfsantrag 0 stellt vielmehr eine neue Verteidigungslinie der [X.] [X.] § 83 Abs. 4 Satz 1 [X.] dar und konfrontiert die [X.] mit neuen Tatsachen. [X.]s war ihnen daher nicht zuzumuten, sich hiermit kurzfristig auseinanderzusetzen, ohne nach einschlägigem Stand der Technik bezüglich der geänderten Antragstellung zu recherchieren.

2. Zu Hilfsantrag 1

Auf der Grundlage der Gliederung gemäß erteilter Fassung aufbauend, kann der Patentanspruch 1 gemäß Hilfsantrag 1 wie folgt gegliedert werden (Änderungen im Vergleich zur erteilten Fassung fett hervorgehoben):

Gegenüber dem Merkmal [X.] des Patentanspruchs 1 der erteilten Fassung ist das Merkmal [X.]_Hi1 dahingehend modifiziert, dass das Rechensystem die generierte(n) Regel(n) hinsichtlich eines Fallenlassens („drop“) identifizierter Pakete durch das erste Netzwerk konfiguriert.

2.1 Der Patentanspruch 1 gemäß Hilfsantrag 1 ist zulässig. Die Änderung hinsichtlich eines „packet droppings“ ist beispielsweise dem [X.], Absätze [0013] und [0049] sowie Patentanspruch 12 bzw. der [X.], Absätze [15] und [51] sowie Patentanspruch 21 zu entnehmen.

2.2 Der Gegenstand des Patentanspruchs 1 gemäß Hilfsantrag 1 ist jedoch nicht patentfähig, da er gegenüber der Lehre der Druckschriften [X.] und [X.] nicht auf einer erfinderischen Tätigkeit beruht (vgl. Art. II § 6 Abs. 1 Nr. 1 IntPatÜG [X.] Art. 138 Abs. 1 Nr. 1, Art. 52, 56 [X.]PÜ).

Zu den im Vergleich zur erteilten Fassung unveränderten Merkmalen wird auf die entsprechenden Ausführungen in Abschnitt [X.] verwiesen.

Den neuen technischen Sachgehalt gemäß dem modifizierten Merkmal [X.]_Hi1 entnimmt der Fachmann ebenfalls der [X.]; im [X.]inzelnen:

Die [X.] beschreibt eine Überwachung von bidirektionalem Datenverkehr, wobei infizierte [X.]s bzw. Geräte mit bösartigen Aktivitäten sowohl innerhalb des Unternehmensnetzwerks als auch außerhalb, bspw. im [X.], identifiziert und isoliert werden, indem deren Datenverkehr automatisch blockiert bzw. gefiltert wird (vgl. [X.], [X.]. 10, [X.] 60 – [X.]. 11, [X.] 18, [X.]. 12, [X.] 57 – [X.]. 13, [X.] 9). Das Blockieren und Filtern gemäß [X.] entspricht dem, was gemäß [X.] unter „drop“ zu verstehen ist, denn gemäß der Lehre der [X.] erfolgt das Blockieren/Filtern der Pakete infizierter [X.]s stets im „processing node“, der sich im Providernetz außerhalb des [X.]s befindet, d.h. Pakete bspw. von einem infizierten [X.] im [X.] werden auf der [X.]mpfangsseite der [X.] („enterprise gateway“) im ersten Netzwerk blockiert, wohingegen Pakete eines infizierten [X.]s im Unternehmensnetz auf der [X.] der [X.] im zweiten Netzwerk blockiert werden.

Allerdings ist im letzteren Fall eines infizierten [X.]s im Unternehmensnetz der „processing node“ der „next hop router“ der [X.] bzw. des „enterprise gateways“ (vgl. [X.], [X.]. 5, [X.] 1 - 4), so dass es technisch keine Rolle spielt, ob das Paket am [X.]ingang der [X.] im ersten Netzwerk oder am Ausgang der [X.] im zweiten Netzwerk fallengelassen wird.

Darüber hinaus zeigt die [X.], [X.]ur 2 noch eine [X.] an der Grenze zwischen Unternehmensnetz und Providernetz, so dass es für den Fachmann naheliegt, auch diesen bei Bedarf zur Isolation des infizierten [X.]s im Unternehmensnetz heranzuziehen. Zum Beleg dieses Fachwissens wird bspw. auf die Druckschrift HL[X.], [X.]ur 5.1 [X.] Absatz 5.1 verwiesen.

Damit sind sämtliche Merkmale des Patentanspruchs 1 gemäß Hilfsantrag 1 aus der Zusammenschau der Druckschriften [X.] und [X.] nahegelegt.

Gleiches gilt für den nebengeordneten Patentanspruch 15 in der Fassung gemäß Hilfsantrag 1.

2.3 Da die Beklagte die abhängigen Unteransprüche nicht isoliert verteidigt, bedürfen diese keiner gesonderten Prüfung. Mit dem sich als nicht patentfähig erweisenden Patentanspruch 1 gemäß Hilfsantrag 1 sind auch die darauf direkt oder indirekt rückbezogenen Unteransprüche 2 bis 14 für nichtig zu erklären, da die Beklagte weder geltend gemacht hat noch sonst ersichtlich ist, dass die zusätzlichen Merkmale dieser Ansprüche zu einer anderen Beurteilung der Patentfähigkeit führen (vgl. [X.], Beschluss vom 27. Juni 2007 – [X.], [X.], 862 Leitsatz – Informationsübermittlungsverfahren II; [X.], Urteil vom 29. September 2011 - [X.] 109/08 1. Leitsatz – Sensoranordnung).

3. Zu Hilfsantrag 1b

Auf der Grundlage der Gliederung gemäß erteilter Fassung aufbauend, kann der Patentanspruch 1 gemäß Hilfsantrag 1b wie folgt gegliedert werden (Änderungen im Vergleich zur erteilten Fassung fett hervorgehoben):

Die Merkmale [X.]_Hi1b und [X.]_Hi1b sind gegenüber der erteilten Fassung so geändert, dass das Rechensystem die generierte(n) Regel(n) hinsichtlich eines Fallenlassens („drop“) identifizierter Pakete konfiguriert und damit den Paketfilter versorgt. Im Gegensatz zum Hilfsantrag 1 bleibt aber offen, ob die Filterung im ersten oder zweiten Netzwerk erfolgen soll.

3.1 Der Hilfsantrag 1b ist zulässig. Zur Begründung wird entsprechend auf die Ausführungen des entsprechenden [X.] zum Hilfsantrag 1 verwiesen.

3.2 Die Merkmale [X.]_Hi1b und [X.]_Hi1b können keine erfinderische Tätigkeit begründen.

Die [X.] umfasst ein automatisches Blockieren bzw. Filtern des [X.] von identifizierten bösartigen/infizierten [X.]s, welche sich bspw im Unternehmensnetz befinden, wobei das Blockieren/Filtern mittels Regeln stets im „processing node“ im Providernetz erfolgt (vgl. [X.], [X.]. 10, [X.] 60 – [X.]. 11, [X.] 18, [X.]. 12, [X.] 57 – [X.]. 13, [X.] 9). Hierzu gelten auch die Ausführungen zum Hilfsantrag 1 entsprechend (siehe dazu Abschnitt [X.]).

Zu den im Vergleich zur erteilten Fassung unveränderten Merkmalen wird auf die entsprechenden Ausführungen in Abschnitt [X.] verwiesen.

Damit beruht der Gegenstand des Patentanspruchs 1 gemäß Hilfsantrag 1b ebenfalls nicht auf einer erfinderischen Tätigkeit.

Gleiches gilt für den nebengeordneten Patentanspruch 13 in der Fassung gemäß Hilfsantrag 1b.

3.3 Da die Beklagte die abhängigen Unteransprüche nicht isoliert verteidigt, bedürfen diese keiner gesonderten Prüfung. Mit dem sich als nicht patentfähig erweisenden Patentanspruch 1 gemäß Hilfsantrag 1b sind auch die darauf direkt oder indirekt rückbezogenen Unteransprüche 2 bis 12 für nichtig zu erklären, da die Beklagte weder geltend gemacht hat noch sonst ersichtlich ist, dass die zusätzlichen Merkmale dieser Ansprüche zu einer anderen Beurteilung der Patentfähigkeit führen (vgl. [X.], Beschluss vom 27. Juni 2007 – [X.], [X.], 862 Leitsatz – Informationsübermittlungsverfahren II; [X.], Urteil vom 29. September 2011 - [X.] 109/08 1. Leitsatz – Sensoranordnung).

4. Zu Hilfsantrag 2

Auf der Grundlage der Gliederung gemäß erteilter Fassung aufbauend, kann der Patentanspruch 1 gemäß Hilfsantrag 2 wie folgt gegliedert werden (Änderungen im Vergleich zur erteilten Fassung fett hervorgehoben):

Merkmal [X.]_Hi2 wurde dahingehend geändert, dass beim Korrelieren ein [X.] im zweiten Netzwerk als mit einer bösartigen [X.]inheit assoziiert bestimmt wird.

Die modifizierten Merkmale [X.]_Hi1 und [X.]_Hi1b lauten analog zu den entsprechenden Merkmalen in den vorangegangenen [X.] 1 bzw. 1b.

4.1 Die Änderung gemäß Merkmal [X.]_Hi2 hinsichtlich eines Bestimmens eines „malicious hosts“ im zweiten Netzwerk im Verfahrensschritt des [X.] ist unzulässig, da der Gegenstand des Patentanspruchs 1 in der verteidigten Fassung nach Hilfsantrag 2 über den Inhalt der ursprünglichen Anmeldungsunterlagen (vgl. [X.]1) hinausgeht (Art. II § 6 Abs. 1 Nr. 3 IntPatÜG [X.]. Art. 138 Abs. 1 Buchst. c), Art. 123 Abs. 2 [X.]PÜ).

Zwar offenbart die ursprüngliche Anmeldung eine Bestimmung eines [X.]s 108, welcher mit einer bösartigen [X.]inheit assoziiert ist (vgl. [X.], Abs. [50] - [51], Anspruch 21), diese Bestimmung erfolgt jedoch nicht mittels Korrelieren, sondern vielmehr bei einer nicht näher beschriebenen Untersuchung des [X.] („[X.], one or more of the communications between host 108 and 114 (e.g., [X.] and [X.]', [X.] and [X.]’, [X.] and [X.]’, [X.]0 and [X.]0’, or [X.]1 and [X.]1’) may be indicative of malware installed by a computing device associated with host 108 (e.g., the malicious entity) on a computing device associated with host 114, and rule(s) 140 may be configured to prevent the spread of the malware.“; Hervorhebung hinzugefügt).

Darüber hinaus offenbart die [X.], Absatz [24] zwar eine Detektion einer Verschleierung durch eine bösartige [X.]inheit mittels Korrelation, dabei handelt es sich jedoch nicht um einen [X.] sondern um die [X.] selbst (dort: „[X.], network device(s) 122 may be employed by a malicious entity to attempt to obfuscate, [X.], [X.] (e.g., network device(s) 122 may be employed as part of a man-in-the-middle attack).“).

4.2 Ließe man die Unzulässigkeit der Anspruchsfassung dahinstehen, würde das hier hinzugefügte Merkmal [X.]_Hi2 vor dem Hintergrund der Druckschriften [X.] und [X.] keine erfinderische Tätigkeit begründen (vgl. Art. II § 6 Abs. 1 Nr. 1 IntPatÜG [X.] Art. 138 Abs. 1 Nr. 1, Art. 52, 56 [X.]PÜ).

Denn die [X.] lehrt ebenfalls eine Detektion einer bösartigen [X.]inheit im zweiten Netzwerk (vgl. [X.], [X.]. 10, [X.] 60 – [X.]. 11, [X.] 3, „In [X.] are inspected, [X.] identify devices which are likely associated with malicious activity…. [X.], [X.] network.“).

Zu den modifizierten Merkmalen [X.]_Hi1 und [X.]_Hi1b wird zur Begründung jeweils auf die entsprechenden Ausführungen zum Hilfsantrag 1 (siehe dazu Abschnitt [X.]) bzw. Hilfsantrag 1b (siehe dazu Abschnitt [X.]) verwiesen.

Zu den im Vergleich zur erteilten Fassung unveränderten Merkmalen wird auf die entsprechenden Ausführungen in Abschnitt [X.] verwiesen.

Gleiches gilt für den nebengeordneten Patentanspruch 14 in der Fassung gemäß Hilfsantrag 2.

5. Zu Hilfsantrag 2b

Auf der Grundlage der Gliederung gemäß erteilter Fassung aufbauend, kann der Patentanspruch 1 gemäß Hilfsantrag 2b wie folgt gegliedert werden (Änderungen im Vergleich zur erteilten Fassung fett hervorgehoben):

Merkmal [X.]_Hi2b umfasst ein Senden von Paketen an ein bösartiges Gerät im zweiten Netzwerk und Merkmal [X.]_Hi2b betrifft das [X.], ein ([X.] der [X.] durch einen infizierten [X.] im ersten Netzwerk zu unterbinden.

Das modifizierte Merkmal [X.]_Hi1b lautet analog zu dem gemäß Hilfsantrag 1b.

5.1 Die Anspruchsfassung gemäß Hilfsantrag 2b ist zulässig. Die Änderungen gemäß den Merkmalen [X.]_Hi2b und [X.]_Hi2b hinsichtlich eines Identifizierens von Paketen an ein bösartiges Gerät im zweiten Netzwerk sowie eines Verhinderns einer [X.] durch den [X.] im ersten Netzwerk ergeben sich aus dem [X.], Absatz [0049] bzw. der [X.], Absatz [51] („[X.], one or more of the communications between host 108 and 114 (e.g., [X.] and [X.]', [X.] and [X.]’, [X.] and [X.]’, [X.]0 and [X.]0’, or [X.]1 and [X.]1’) may be indicative of malware installed by a computing device associated with host 108 (e.g., the malicious entity) on a computing device associated with host 1 14, and rule(s) 140 may be configured to prevent the spread of the malware.“)

5.2 Dennoch können die hier neu hinzufügten Merkmale [X.]_Hi2b und [X.]_Hi2b vor dem Hintergrund der Druckschriften [X.] und [X.] ebenfalls keine erfinderische Tätigkeit begründen (vgl. Art. II § 6 Abs. 1 Nr. 1 IntPatÜG [X.] Art. 138 Abs. 1 Nr. 1, Art. 52, 56 [X.]PÜ).

Denn die [X.] offenbart eine Überwachung von bidirektionalem Datenverkehr, wobei infizierte [X.]s bzw. Geräte mit bösartigen Aktivitäten sowohl innerhalb des Unternehmensnetzwerks als auch außerhalb, bspw. im [X.], identifiziert und isoliert werden, indem deren Datenverkehr automatisch blockiert bzw. gefiltert wird (vgl. [X.], [X.]. 10, [X.] 60 – [X.]. 11, [X.] 18, [X.]. 12, [X.] 57 – [X.]. 13, [X.] 9).

Zum modifizierten Merkmal [X.]_Hi1b wird zur Begründung auf die entsprechenden Ausführungen zum Hilfsantrag 1b (siehe dazu Abschnitt [X.]) verwiesen.

Zu den im Vergleich zur erteilten Fassung unveränderten Merkmalen wird auf die entsprechenden Ausführungen in Abschnitt [X.] verwiesen.

Damit beruht der Gegenstand des Patentanspruchs 1 gemäß Hilfsantrag 2b nicht auf einer erfinderischen Tätigkeit.

Gleiches gilt für den nebengeordneten Patentanspruch 13 in der Fassung gemäß Hilfsantrag 2b.

5.3 Da die Beklagte die abhängigen Unteransprüche nicht isoliert verteidigt, bedürfen diese keiner gesonderten Prüfung. Mit dem sich als nicht patentfähig erweisenden Patentanspruch 1 gemäß Hilfsantrag 2b sind auch die darauf direkt oder indirekt rückbezogenen Unteransprüche 2 bis 12 für nichtig zu erklären, da die Beklagte weder geltend gemacht hat noch sonst ersichtlich ist, dass die zusätzlichen Merkmale dieser Ansprüche zu einer anderen Beurteilung der Patentfähigkeit führen (vgl. [X.], Beschluss vom 27. Juni 2007 – [X.], [X.], 862 Leitsatz – Informationsübermittlungsverfahren II; [X.], Urteil vom 29. September 2011 - [X.] 109/08 1. Leitsatz – Sensoranordnung).

6. Zu Hilfsantrag 2c

Auf der Grundlage der Gliederung gemäß erteilter Fassung aufbauend, kann der Patentanspruch 1 gemäß Hilfsantrag 2c wie folgt gegliedert werden (Änderungen im Vergleich zur erteilten Fassung fett hervorgehoben):

Merkmal [X.]_Hi2c betrifft das Identifizieren einer Kommunikation mit [X.] anzeigenden Paketen, wobei ein [X.] im ersten Netzwerk von einem [X.] aus dem zweiten Netzwerk mit [X.] infiziert wurde.

Die modifizierten Merkmale [X.]_Hi1b und [X.]_Hi2b lauten analog zu den entsprechenden Merkmalen in den [X.] 1b bzw. 2b.

6.1 Die Anspruchsfassung gemäß Hilfsantrag 2c ist zulässig. Die Änderungen gemäß Merkmal [X.]_Hi2c hinsichtlich eines Identifizierens von Paketen eines von einem [X.] im zweiten Netzwerk infizierten [X.]s im ersten Netzwerk ergeben sich aus dem [X.], Absatz [0049] bzw. der [X.], Absatz [51] („[X.], one or more of the communications between host 108 and 114 (e.g., [X.] and [X.]', [X.] and [X.]’, [X.] and [X.]’, [X.]0 and [X.]0’, or [X.]1 and [X.]1’) may be indicative of malware installed by a computing device associated with host 108 (e.g., the malicious entity) on a computing device associated with host 1 14, and rule(s) 140 may be configured to prevent the spread of the malware.“)

6.2 Der Gegenstand des Patentanspruchs 1 gemäß Hilfsantrag 2c umfassend das neu hinzugetretene Merkmal [X.]_Hi2c beruht vor dem Hintergrund der Druckschriften [X.] und [X.] ebenfalls nicht auf erfinderischer Tätigkeit (vgl. Art. II § 6 Abs. 1 Nr. 1 IntPatÜG [X.] Art. 138 Abs. 1 Nr. 1, Art. 52, 56 [X.]PÜ).

Denn die [X.] offenbart eine Überwachung von bidirektionalem Datenverkehr, wobei infizierte [X.]s bzw. Geräte mit bösartigen Aktivitäten sowohl innerhalb des Unternehmensnetzwerks als auch außerhalb, bspw. im [X.], identifiziert und isoliert werden, indem deren Datenverkehr automatisch blockiert bzw. gefiltert wird (vgl. [X.], [X.].10, [X.] 60 – [X.].11, [X.]18, [X.]. 12, [X.] 57 – [X.]. 13, [X.] 9).

Zu den modifizierten Merkmalen [X.]_Hi1b und [X.]_Hi2b wird zur Begründung jeweils auf die entsprechenden Ausführungen zum Hilfsantrag 1b (siehe dazu Abschnitt [X.]) bzw. Hilfsantrag 2b (siehe dazu Abschnitt [X.]) verwiesen.

Zu den im Vergleich zur erteilten Fassung unveränderten Merkmalen wird auf die entsprechenden Ausführungen in Abschnitt [X.] verwiesen.

Damit beruht der Gegenstand des Patentanspruchs 1 gemäß Hilfsantrag 2c ebenfalls nicht auf einer erfinderischen Tätigkeit.

Gleiches gilt für den nebengeordneten Patentanspruch 13 in der Fassung gemäß Hilfsantrag 2c.

6.3 Da die Beklagte die abhängigen Unteransprüche nicht isoliert verteidigt, bedürfen diese keiner gesonderten Prüfung. Mit dem sich als nicht patentfähig erweisenden Patentanspruch 1 gemäß Hilfsantrag 2c sind auch die darauf direkt oder indirekt rückbezogenen Unteransprüche 2 bis 12 für nichtig zu erklären, da die Beklagte weder geltend gemacht hat noch sonst ersichtlich ist, dass die zusätzlichen Merkmale dieser Ansprüche zu einer anderen Beurteilung der Patentfähigkeit führen (vgl. [X.], Beschluss vom 27. Juni 2007 – [X.], [X.], 862 Leitsatz – Informationsübermittlungsverfahren II; [X.], Urteil vom 29. September 2011 - [X.] 109/08 1. Leitsatz – Sensoranordnung).

7. Zu Hilfsantrag 3

Auf der Grundlage der Gliederung gemäß erteilter Fassung aufbauend, kann der Patentanspruch 1 gemäß Hilfsantrag 3 wie folgt gegliedert werden (Änderungen im Vergleich zur erteilten Fassung fett hervorgehoben):

Merkmal [X.]_Hi3 umfasst die Zweckangabe, dass der Zweck der Korrelation der multiplen [X.]ingangs- und Ausgangspakete die Bestimmung einer Korrelation zwischen zumindest einem [X.]ingangs- sowie einem Ausgangspaket ist.

7.1 Die Änderung gemäß Merkmal [X.]_Hi3 hinsichtlich eines [X.] von empfangenen mit gesendeten Paketen ist unzulässig. Der Gegenstand des Patentanspruchs 1 in der verteidigten Fassung nach Hilfsantrag 3 geht über den Inhalt der ursprünglichen Anmeldungsunterlagen (vgl. [X.]1) hinaus (Art. II § 6 Abs. 1 Nr. 3 IntPatÜG [X.]. Art. 138 Abs. 1 Buchst. c), Art. 123 Abs. 2 [X.]PÜ), da gemäß [X.], Absätze [36] bis [38] am Netzwerkgerät die gesendeten mit den empfangen Paketen korreliert werden sowie eine Übereinstimmung zwischen einem gesendeten und einem empfangenen Paket festgestellt wird und nicht umgekehrt.

Darüber hinaus sind nach Auffassung des Senats die [X.]rfordernisse für eine Beschränkung nicht erfüllt. Der ureigenste Zweck einer (Kreuz-)Korrelation zwischen multiplen eingangsseitigen und ausgangsseitigen Datenpaketen ist stets die Bestimmung von Korrelationskoeffizienten, welche die „Ähnlichkeit“ zwischen den [X.]ingangs- und den [X.] spezifizieren. Die [X.] beschreibt in den Absätzen [36] - [37], dass mittels der Korrelation ein Bestimmen von Übereinstimmungen zumindest von Teilen der Datenpakete festgestellt werden soll und dass ggf. Punktzahlen („scores“) hinsichtlich der Übereinstimmungen vergeben werden sollen.

[X.]s handelt sich bei den Änderungen im Merkmal [X.]_Hi3 somit offensichtlich um ein „[X.]“, denn beim Zugrundelegen der Definition aus dem [X.] wird dem ursprünglichen Merkmal [X.] nichts hinzugefügt, was zu einer Beschränkung führen würde.

7.2 Ließe man die Unzulässigkeit der Anspruchsfassung dahinstehen, würde der Gegenstand des Patentanspruchs 1 gemäß Hilfsantrag 3 umfassend das neu hinzugetretene Merkmale [X.]_Hi3 vor dem Hintergrund der Druckschriften [X.] und [X.] ebenfalls nicht auf erfinderischer Tätigkeit beruhen (vgl. Art. II § 6 Abs. 1 Nr. 1 IntPatÜG [X.] Art. 138 Abs. 1 Nr. 1, Art. 52, 56 [X.]PÜ).

Denn die [X.] lehrt eine Korrelation multipler [X.]ingangs- sowie [X.], wobei eine Übereinstimmung („match“) zwischen jeweils einem Ausgangs- sowie einem [X.]ingangs-Paket bestimmt wird (vgl. [X.], [X.]. 2 – 3, Abs. [0006] – [0008], [0021] – [0025]).

Zu den im Vergleich zur erteilten Fassung unveränderten Merkmalen wird auf die entsprechenden Ausführungen in Abschnitt [X.] verwiesen.

Gleiches gilt für den nebengeordneten Patentanspruch 15 in der Fassung gemäß Hilfsantrag 3.

8. Zu Hilfsantrag 4

Auf der Grundlage der Gliederung gemäß erteilter Fassung aufbauend, kann der Patentanspruch 1 gemäß Hilfsantrag 4 wie folgt gegliedert werden (Änderungen im Vergleich zur erteilten Fassung fett hervorgehoben):

Merkmal [X.]_Hi4 betrifft nunmehr ein Korrelieren der sendeseitigen mit den empfangsseitigen Paketen, umfassend ein Vergleichen von Zeiten, welche von den jeweiligen „Log entries“ angezeigt werden.

8.1 Patentanspruch 1 gemäß Hilfsantrag 4 ist zulässig, da sowohl im [X.] als auch in der [X.] eine Korrelation mit einem Vergleichen von Zeiten bzw. Zeitstempeln in den „Log entries“ offenbart wird (vgl. [X.], Abs. [0033], [0036], [0047] und Ansprüche 7 - 9; vgl. [X.], Abs. [36], [38], [49] und Ansprüche 15 - 18).

8.2 Der Gegenstand des Patentanspruchs 1 gemäß Hilfsantrag 4 umfassend das im Vergleich zur erteilten Fassung einzig neu hinzugetretene Merkmal [X.]_Hi4 beruht vor dem Hintergrund der Druckschriften [X.] und [X.] ebenfalls nicht auf erfinderischer Tätigkeit (vgl. Art. II § 6 Abs. 1 Nr. 1 IntPatÜG [X.] Art. 138 Abs. 1 Nr. 1, Art. 52, 56 [X.]PÜ).

Denn die [X.] lehrt eine Korrelation multipler Ausgangs-/[X.]ingangs-Pakete unter Berücksichtigung von Zeitstempeln, welche jeweils in den „Log entries“ für die [X.]ingangs- sowie die [X.] hinterlegt sind (vgl. [X.], [X.]. 2, „[X.]“, Abs. [0006], [0008], [0022] – [0023], Anspruch 19).

Zu den im Vergleich zur erteilten Fassung unveränderten Merkmalen wird auf die entsprechenden Ausführungen in Abschnitt [X.] verwiesen.

Damit beruht der Gegenstand des Patentanspruchs 1 gemäß Hilfsantrag 4 ebenfalls nicht auf einer erfinderischen Tätigkeit.

Gleiches gilt für den nebengeordneten Patentanspruch 14 in der Fassung gemäß Hilfsantrag 4.

8.3 Da die Beklagte die abhängigen Unteransprüche nicht isoliert verteidigt, bedürfen diese keiner gesonderten Prüfung. Mit dem sich als nicht patentfähig erweisenden Patentanspruch 1 gemäß Hilfsantrag 4 sind auch die darauf direkt oder indirekt rückbezogenen Unteransprüche 2 bis 13 für nichtig zu erklären, da die Beklagte weder geltend gemacht hat noch sonst ersichtlich ist, dass die zusätzlichen Merkmale dieser Ansprüche zu einer anderen Beurteilung der Patentfähigkeit führen (vgl. [X.], Beschluss vom 27. Juni 2007 – [X.], [X.], 862 Leitsatz – Informationsübermittlungsverfahren II; [X.], Urteil vom 29. September 2011 - [X.] 109/08 1. Leitsatz – Sensoranordnung).

9. Zu Hilfsantrag 5

Auf der Grundlage der Gliederung gemäß erteilter Fassung aufbauend, kann der Patentanspruch 1 gemäß Hilfsantrag 5 wie folgt gegliedert werden (Änderungen im Vergleich zur erteilten Fassung fett hervorgehoben):

Merkmal [X.]_Hi5 betrifft nunmehr ein Korrelieren der Pakete umfassend ein Vergleichen von Zeitstempeln („timestamps“), welche den „Log entries“ der gesendeten und der empfangenen Pakete jeweils hinzugefügt werden. Das modifizierte Merkmal [X.]_Hi4 lautet analog wie in Hilfsantrag 4.

9.1 Patentanspruch 1 gemäß Hilfsantrag 5 ist zulässig, da sowohl im [X.] als auch in der [X.] ein Vergleichen von Zeitstempeln in den „Log entries“ offenbart wird (vgl. [X.], Abs. [0033], [0036], [0047] und Ansprüche 7 - 9; vgl. [X.], Abs. [35], [38], [49] und Ansprüche 15 - 18).

9.2 Der Gegenstand des Patentanspruchs 1 gemäß Hilfsantrag 5 umfassend das im Vergleich zum Hilfsantrag 4 einzig neu hinzugetretene Merkmal [X.]_Hi5 beruht vor dem Hintergrund der Druckschriften [X.] und [X.] ebenfalls nicht auf erfinderischer Tätigkeit (vgl. Art. II § 6 Abs. 1 Nr. 1 IntPatÜG [X.] Art. 138 Abs. 1 Nr. 1, Art. 52, 56 [X.]PÜ).

Denn die [X.] lehrt eine Korrelation multipler [X.]ingangs- sowie [X.] unter Berücksichtigung von Zeitstempeln („timestamps“), wobei diese jeweils in den „Log entries“ für die [X.]ingangs- sowie die [X.] enthalten sind (vgl. [X.], [X.]. 2, „[X.]“, Abs. [0006], [0008], [0022] – [0023], Ansprüche 4, 5, 16, 17, 19).

Insbesondere beschreibt die [X.] ein Vergleichen der Zeitstempel für die [X.]mpfangszeiten mit denjenigen der Sendezeiten, um so eine konsistente [X.]ntscheidung hinsichtlich einer Paketidentität treffen zu können (vgl. [X.], Abs. [0023], „Furthermore, it is also observed that the time in [X.] (seconds) are equal, but the time in TimeMSecs (milliseconds) differ by 814 milliseconds. In other words, [X.] 814 milliseconds before the outside packet, which is consistent with the inside packet sensing the packet first. In [X.], the identity of the packet is the [X.] (source address) of the packet sensed [X.], [X.]/172.xxx.xxx.240.“).

Zu dem modifizierten Merkmal [X.]_Hi4 wird zur Begründung auf die entsprechenden Ausführungen zum Hilfsantrag 4 (siehe dazu Abschnitt III.8.2) verwiesen.

Zu den im Vergleich zur erteilten Fassung unveränderten Merkmalen wird auf die entsprechenden Ausführungen in Abschnitt [X.] verwiesen.

Damit beruht der Gegenstand des Patentanspruchs 1 gemäß Hilfsantrag 5 ebenfalls nicht auf einer erfinderischen Tätigkeit.

Gleiches gilt für den nebengeordneten Patentanspruch 13 in der Fassung gemäß Hilfsantrag 5.

9.3 Da die Beklagte die abhängigen Unteransprüche nicht isoliert verteidigt, bedürfen diese keiner gesonderten Prüfung. Mit dem sich als nicht patentfähig erweisenden Patentanspruch 1 gemäß Hilfsantrag 5 sind auch die darauf direkt oder indirekt rückbezogenen Unteransprüche 2 bis 12 für nichtig zu erklären, da die Beklagte weder geltend gemacht hat noch sonst ersichtlich ist, dass die zusätzlichen Merkmale dieser Ansprüche zu einer anderen Beurteilung der Patentfähigkeit führen (vgl. [X.], Beschluss vom 27. Juni 2007 – [X.], [X.], 862 Leitsatz – Informationsübermittlungsverfahren II; [X.], Urteil vom 29. September 2011 - [X.] 109/08 1. Leitsatz – Sensoranordnung).

Nebenentscheidungen

Die Kostenentscheidung beruht auf § 84 Abs. 2 [X.] [X.] §§ 91 Abs. 1, Satz 1 ZPO; die [X.]ntscheidung über die vorläufige Vollstreckbarkeit folgt aus § 99 Abs. 1 [X.] [X.] § 709 Satz 1 und Satz 2 ZPO.