3 A method being performed by a switch connectable to a first network via a network interface and to a Customer Premises equipment, CPE, addressable by a first Medium Access Control, MAC, address via an interface of a first type, the method comprising:

4 receiving, via the interface of the first type, a first unicast frame from the CPE, the first unicast frame having a destination address that is a second MAC address associated with the first network; and

5 receiving, via the network interface, a second frame from the first network, the second frame having a destination address that is the first MAC address;

6 characterized in that:

7 the first network is an Open System Interface, OSI, Layer-2 Ethernet bridged network that uses MAC address-based routing, and

8 the method further comprising:

Hi2 (Änderungen gegenüber der erteilten Fassung sind hervorgehoben):

43 Hi2 A method being performed by a switch (28) connectable to a first network (26) via an interface pre-configured as a network interface (36) and to a Customer Premises equipment, CPE, (22) addressable by a first Medium Access Control, MAC, address via an interface pre-configured as an interface of a first type (34),

63 Das Streitpatent (EP 2 057 796 B1 – SP) betrifft grundsätzlich Kommunikationsnetzwerke, insbesondere Verfahren und Systeme zum Steuern der Rahmenübertragung durch überbrückte Netzwerke („methods and systems for controlling frame transmission through bridged networks“, SP, Abs. [0001]).

64 Das Streitpatent geht davon aus, dass lokale Netzwerke („Local Area Networks (LANs)“) Computersysteme auf dem Layer 2 miteinander verbinden, wobei der Layer 2 i. S. d. bekannten OSI-Modells zu verstehen ist. Mehrere LANs können durch eine Brücke („MAC bridges“) miteinander verbunden werden. MAC-Bridges seien gemäß IEEE-Standard festgelegt („Telecommunications and Information Exchange between Systems, Local and Metropolitan Area Networks, Common Specifications, Part 3: Media Access Control (MAC) Bridges “, auch veröffentlicht als ANSI/IEEE-Standard 802.1D (2004)). MAC-Bridges ermöglichen MAC-Geräten, die verschiedenen physisch getrennten LANs zugeordnet sind, untereinander als einem gemeinsamen („single“) LAN zugeordnet zu erscheinen, wobei die Bridge zwei oder mehr MAC-Geräte aufweist, welche die Ports der Bridge mit den entsprechenden LANs verbindet (vgl. SP, Abs. [0002]).

65 Darüber hinaus geht das Streitpatent davon aus, dass eine MAC-Bridge eine Datenbank („forwarding database (FDB)“) aufweist, um empfangene Rahmen mit einer MAC-Zieladresse an Netzwerkschnittstellen der Bridge („ports“) abzubilden bzw. zu mappen („to map“). Die Datenbank (FDB) lernt, indem sie die Quelladresse eines empfangenen Rahmens dem Port, über den der Rahmen eingegangen ist, zuordnet. Ein empfangener Rahmen, dessen Zieladresse nicht in der Datenbank (FDB) der Bridge gefunden wird, wird geflutet („flooding“), d.h. der Rahmen wird an alle Ports, mit Ausnahme des Ports über den er empfangen wurde, weitergeleitet. Dadurch werde der Rahmen allen verbundenen Bridges zugeleitet und finde letztlich sein Ziel (vgl. SP, Abs. [0003]).

66 Layer 2 überbrückte Netzwerke seien grundsätzlich dazu konfiguriert, Mehrpunkt-zu-Mehrpunkt-Konnektivität zwischen den Computern des Netzwerks bereitzustellen. In einigen Anwendungsfällen – aus Sicherheits- und anderen Gründen – sei es aber unerwünscht, dass Geräte innerhalb eines Netzwerks direkt miteinander kommunizierten. Dies könne der Fall sein, wenn ein Internet Service Provider den Netzwerkverkehr nach außen („to the public network“) über ein Aggregationsnetzwerk bündele (vgl. SP, Abs. [0004]).

67 Im Stand der Technik (Melson et al. in dem Artikel "MAC-Forced Forwarding: A Method for Subscriber Separation on an Ethernet Access Network" (RFC 4562)) sei ein Verfahren beschrieben, um direkte Kommunikation zwischen den Teilnehmern zu verhindern. Sie böten eine Vielzahl von Lösungen an, um Layer 2 Sichtbarkeit zwischen Computern in einem Ethernet-Zugangsnetzwerk zu unterbinden, welche jedoch alle den Nachteil hätten, dass Multicast-Rahmen repliziert werden müssten, eine Limitierung in der Skalierbarkeit bestehe und die Komplexität für die Bereitstellung anwüchse (vgl. SP, Abs. [0005] – [0006]).

68 Eine explizite Aufgabe nennt das Streitpatent nicht. Nach Ansicht des Senats geht aus Absatz [0008] der Streitpatentschrift hervor, dass im vorliegenden technischen Kontext verbesserte Verfahren und Systeme bereitgestellt werden sollen, die Punkt-zu-Mehrpunkt-Konnektivität (P2MP) über ein überbrücktes Layer 2 Netzwerk ermöglichen und gleichzeitig die zugrunde liegende Layer 2 Netzwerkarchitektur beibehalten.

69 Der zuständige Fachmann hat einen Studienabschluss als Diplom-Ingenieur, Master oder ähnliches im Fach Elektrotechnik oder Informatik und besondere Kenntnisse und Erfahrungen mit Netzwerken und Netzwerkgeräten in einer Layer 2 Netzwerkumgebung. Er ist – aufgrund seiner mehrjährigen Berufserfahrung – vertraut mit der Funktionsweise von Routern, Switches und mit den Protokollen, mit denen Daten über Layer 2 Netzwerke ausgetauscht werden.

70 Der Fachmann versteht die Lehre des Streitpatents vor dessen technischem Hintergrund wie folgt:

71 Der Gegenstand des Patentanspruchs 1 betrifft ein Verfahren („method“) für einen Switch („performed by a switch“), der über eine Netzwerkschnittstelle („network interface“) an ein erstes Netzwerk („first network“) verbindbar ist und über eine Schnittstelle eines ersten Typs („interface of a first type“) mit einer über eine MAC-Adresse adressierbare Benutzereinrichtung oder Endgerät („Customer Premises equipment, CPE“) verbindbar ist (Merkmal 1.1). Insoweit verwendet das Verfahren zwei unterschiedliche Schnittstellen des Switchs.

72 Was unter einer Schnittstelle ersten Typs und einer Netzwerkschnittstelle zu verstehen ist, ergibt sich aus Merkmal 1.1 unmittelbar. Die Schnittstelle ersten Typs ist dadurch gekennzeichnet, dass sie mit einer CPE verbunden bzw. verbindbar ist. Die Netzwerkschnittstelle ist dadurch gekennzeichnet, dass sie mit einem (ersten) Netzwerk verbunden oder verbindbar ist.

73 Verfahrensgemäß werden zwei Rahmen („frames“) über unterschiedliche Schnittstellen am Switch empfangen: Erstens wird gemäß Merkmal 1.2 ein erster Unicast-Rahmen („first unicast frame“), dessen Zieladresse („destination address that is a second MAC address“) einer MAC-Adresse in dem ersten Netzwerk zugeordnet ist, über die Schnittstelle des ersten Typs empfangen („interface of the first type“). Zweitens wird gemäß Merkmal 1.3 ein zweiter Rahmen („second frame“) über die Netzwerkschnittstelle empfangen, dessen Zieladresse der ersten MAC-Adresse entspricht.

74 Das beanspruchte Verfahren ist somit auf den Empfang von Unicast-Frames vom CPE beschränkt, also auf Rahmen von einem CPE an eine einzige Zieladresse. Soweit dem Fachmann selbstverständlich bekannt ist, dass CPEs dem Grunde nach auch Multicast- oder Broadcast-Frames, also auch Rahmen mit mehreren Zieladressen oder an alle, über den ersten Schnittstellentyp senden, sind diese nicht vom Anspruchswortlaut umfasst. Das Verfahren ist auch auf das Empfangen von Frames beschränkt, die an das CPE adressiert sind (Merkmal 1.3), denn die Zieladresse des zweiten Frames ist die MAC-Adresse des CPE. Bei dem zweiten Frame besteht anspruchsgemäß keine Einschränkung auf Unicast-Frames, sondern das zweite Frame kann auch ein Broadcast- oder Multicast-Frame sein, solange es zumindest auch als Ziel die MAC-Adresse des CPE umfasst.

75 Merkmal 1.4 spezifiziert das erste Netzwerk als ein Layer 2 Ethernet-Brückennetzwerk („Layer-2 Ethernet bridged network“), welches MAC-Adressen zum Routen verwendet. Der Fachmann entnimmt u. a. dem Streitpatent, Absatz [0015] sowie dem Unteranspruch 7, dass das Streitpatent unter dem anspruchsgemäßen auf MAC-Adressen basiertem Routen im Speziellen keine Layer 3 Funktionalität sondern vielmehr ein Layer 2 Weiterleiten von Frames durch den Switch („forwarding of frames by the switch“) versteht.

76 Die Merkmalsgruppe 1.5 spezifiziert, auf welche Weise mit dem ersten Rahmen (Merkmale 1.5.1 und 1.5.2) und mit dem zweiten Rahmen (Merkmale 1.5.3 und 1.5.4) verfahren werden soll.

77 Gemäß Merkmal 1.5.1 wird der erste Unicast-Rahmen („first unicast frame“) markiert, indem in diesen Rahmen („frame“) ein Indikator platziert wird („by placing an indication in the first unicast frame“). Der Indikator soll dabei die Eigenschaft vermitteln, dass dieser Rahmen ein Rahmen ist, der über den ersten Schnittstellentyp empfangen wurde („that the frame is a frame received via an interface of the first type“). Damit ist zum einen unmissverständlich beansprucht, dass die Markierung Teil des Frames ist, und zum anderen, dass ein so markierter Rahmen über die Schnittstelle des ersten Typs empfangen wurde. Soweit der markierte Rahmen in einer Ausführungsform der offenbarten Lehre zusätzlich in der FDB-Tabelle des Switchs einen Eintrag in dem Feld „UNI type“ erhalten kann, hat dies keinen Eingang in den Patentanspruch 1 gefunden, sondern ist erst in der Ausgestaltung mit Unteranspruch 10 beansprucht. Weiter fordert der anspruchsgemäße Wortlaut, dass dieser Frame über die Netzwerkschnittstelle weitergeleitet wird. Dies betrifft ausnahmslos sämtliche erste Unicast-Frames, die gemäß Merkmal 1.2 in jedem Fall eine Zieladresse im anspruchsgemäßen ersten Netzwerk haben. Somit wird anspruchsgemäß jeder Unicast-Frame, der an einer Schnittstelle ersten Typs eingeht, weitergeleitet. Ob auch andere Nicht-Unicast-Frames (d.h. Multicast- oder Broadcast-Frames) beim Empfang am ersten Schnittstellentyp markiert werden, lässt der Anspruchswortlaut offen. Dies kann auch deshalb dahingestellt bleiben, weil sie nicht unter den Wortlaut des Patentanspruchs 1 fallen (s. o. zu Merkmal 1.2).

78 Gemäß Merkmal 1.5.2 wird dieser (erste) Rahmen mit Markierung („as a marked frame“) an das erste Netzwerk weitergeleitet („forwarding“). Aus der Anspruchssystematik ergibt sich, dass die Weiterleitung über die erste Netzwerkschnittstelle („network interface“) erfolgt, welche mit dem ersten Netzwerk, einem Layer 2 Brückennetzwerk, verbindbar ist.

79 Gemäß den Merkmalen 1.5.3 und 1.5.4 wird auf die Eigenschaften des zweiten über die Netzwerkschnittstelle empfangenen Rahmens reagiert: Wenn der zweite Rahmen ein markierter Unicast-Rahmen ist, wird er verworfen, also nicht weitergeleitet (Merkmal 1.5.3). Der Anspruchswortlaut lässt offen, wie und wann der Rahmen markiert wurde, denn als zweiter Rahmen wurde er über die Netzwerkschnittstelle empfangen (vgl. Merkmal 1.3). Ist der zweite Rahmen jedoch ein Nicht-Unicast-Rahmen, wird er weitergeleitet (erste Oder-Variante des Merkmals 1.5.4). Zwar definiert das Streitpatent nicht, was unter einem Nicht-Unicast-Rahmen („non-unicast frame“) zu verstehen ist, da es jedoch nach fachmännischem Verständnis an einem Switch abschließend nur Unicast-, Multicast- oder Broadcast-Rahmen gibt, trifft dies auf Multicast- und Broadcast-Rahmen zu und schließt nur Unicast-Rahmen aus. Gemäß der zweiten Oder-Variante des Merkmals 1.5.4 wird ein Unicast-Rahmen über die Schnittstelle ersten Typs weitergeleitet, wenn er keine Markierung im oben genannten Sinn (Merkmal 1.5.1) aufweist.

80 Im Ergebnis werden verfahrensgemäß also nur markierte Unicast-Rahmen verworfen, während alle anderen (zweiten) Rahmen (nicht markierte Unicast-Rahmen und alle Multicast- und Broadcast-Rahmen) in üblicher Weise weitergeleitet werden.

81 Soweit die Bezeichnungen der Schnittstellentypen im Anspruchswortlaut und in der Beschreibung nicht übereinstimmen, können Eigenschaften der Schnittstellentypen gemäß Beschreibung nur bedingt zur Auslegung des Patentanspruchs 1 herangezogen werden. Nach der Beschreibung wird als Schnittstelle des ersten Typs eine Hub-Schnittstelle bezeichnet („first interface type may be a hub type, which connects to the Internet and public network services“, SP, Abs. [0009]), die eine Schnittstelle zum Internet oder zu öffentlichen Diensten ist. Im Gegensatz dazu bezeichnet die anspruchsgemäße Schnittstelle des ersten Typs („first interface type“, Patentanspruch 1) eine Schnittstelle, die einen Rahmen von einer Benutzereinrichtung (CPE) empfängt („via the interface of the first type, a first unicast frame from the CPE“, Patentanspruch 1, Merkmal 1.2 i. V. m. Merkmal 1.5.1). In einem Teilaspekt entspricht die beanspruchte Schnittstelle ersten Typs („first interface type“) nach dem Anspruchswortlaut der Schnittstelle zweiten Typs gemäß der Beschreibung, denn danach soll eine Schnittstelle zweiten Typs mit einer Benutzereinrichtung verbunden sein („while the second interface type is a spoke type, which connects to customer premises equipment.“, SP, Abs. [0009]).

82 Dabei teilt der Senat nicht die Auffassung der Beklagten, die beanspruchte Schnittstelle ersten Typs entspräche der in der Beschreibung genannten Schnittstelle zweiten Typs, was der Fachmann ohne Weiteres aus dem Unteranspruch 2 erkenne, denn die Schnittstelle zweiten Typs des Unteranspruchs 2 betrifft eine weitere Netzwerkschnittstelle, die mit einem anderen als dem ersten Netzwerk verbunden ist („an interface of a second type (32) for connecting to a second network that is different from the first network“).

83 Somit hat die als Schnittstelle ersten Typs beanspruchte Schnittstelle mit einer Spoke-Schnittstelle lediglich gemeinsam, dass diese mit einem CPE verbunden bzw. verbindbar ist. Daran ändert auch Unteranspruch 2 nichts, denn die dort genannte Schnittstelle zweiten Typs ist lediglich mit einem anderen Netzwerk verbunden als die Netzwerkschnittstelle des Patentanspruchs 1. Insofern entnimmt der Fachmann auch bei Betrachtung des Unteranspruchs 2 keine Zuordnung der Schnittstellentypen zu Spoke- oder Hub-Schnittstellen und beschränkt den Gegenstand des Anspruchswortlauts nicht auf die Eigenschaften der Schnittstellen gemäß den Ausführungsbeispielen der Beschreibung.

84 Soweit die Beklagte vorträgt, die Schnittstelle ersten Typs sei nicht deshalb eine Schnittstelle ersten Typs, weil sie mit einem CPE verbunden oder verbindbar sei, sondern weil sie als solche konfiguriert sei, findet sich dazu nichts im Anspruchswortlaut. Das einzige Kriterium, worin sich letztlich die beiden Schnittstellentypen des Patentanspruchs 1 voneinander unterscheiden, ist, dass die Netzwerkschnittstelle mit einem ersten Netzwerk verbunden oder verbindbar ist und die Schnittelle ersten Typs mit dem CPE verbunden oder verbindbar ist.

85 II. Zu den vorgebrachten Nichtigkeitsgründen

86 Das Streitpatent ist gegenüber den Ursprungsunterlagen nicht unzulässig erweitert (Art. II § 6 Abs. 1 Nr. 3 IntPatÜG, Art. 138 Abs. 1 c) EPÜ), erweist sich aber als nicht patentfähig (Art. II § 6 Abs. 1 Nr. 1 IntPatÜG i. V. m. Art. 138 Abs. 1 Buchst. a), Art. 52, 56 EPÜ).

87 Zum Nichtigkeitsgrund der unzulässigen Erweiterung

88 Der Gegenstand von Patentanspruch 1 des Streitpatents ist in den ursprünglich eingereichten Anmeldeunterlagen offenbart. Ursprünglich offenbart ist, dass der empfangene Frame mit einem Schnittstellentyp (Hub oder Spoke) markiert wird (vgl. NK2-1), Fig. 4 i. V. m. S. 11, Z. 18 ff. – S. 12, Z. 8). Beispielsweise kann das CFI gemäß IEEE-Standard 802.IQ dafür genutzt werden (vgl. NK2-1, S.11 Z. 31 – S.12, Z. 3). Ob es sich dabei um ein Unicast-Frame handelt, wird erst im Nachgang der Markierung mittels Auswertung der Zieladresse (MAC DA) festgestellt (vgl. NK2-1, Fig. 4, Schritt 76 und S. 13, Z. 10 – 12) und geht aus der Markierung im Frame nicht hervor. Ein Zusammenhang zwischen Unicast-Frame und Markierung ist ursprünglich offenbart („Unicast frames that have a spoke-type UNI indication and whose MAC DA is marked with a spoke-type UNI designation in FDB 58 are determined to be illegal and are therefore discarded at step 80“, NK2-1, Fig. 4 i. V. m. S. 13, Z. 10 ff.), wobei markierte Unicast-Frames verworfen werden sollen. Die Unterscheidung zwischen Unicast-Frame und Nicht-Unicast-Frame wird gemäß ursprünglicher Offenbarung aufgrund der MAC FDB 58 und der Auswertung der MAC DA (Zieladresse) getroffen. Alle anderen Frames werden über die Ausgangsschnittstelle des Switches („egress interface(s)“) weitergeleitet („Other frames are transmitted through the appropriate egress interface(s) determined by step 76, at a frame forwarding step 78“, NK2-1, Fig. 4 i. V. m. S. 13, Z. 12 f.). Zwar werden gemäß Figur 4, Schritt 72, empfangene Frames mit einem UNI-Type-Marker versehen, jedoch wird dieser in diesem Ausführungsbeispiel nicht ausgewertet. Insofern ist ursprünglich offenbart, dass alle nicht markierten Unicast-Frames in herkömmlicher Weise weitergeleitet werden. Dies gilt auch für alle Broadcast-Frames, die das Netzwerk von außen erreichen (vgl. NK2-1, S. 4, Z. 25 – 27).

89 Das von der Klägerin zu 2) behauptete Weglassen der Hub-Markierung begründet eine unzulässige Erweiterung nicht. Zwar können über das Brückennetzwerk (ein erstes Netzwerk i. S. d. Merkmale 1.1 und 1.4) Frames an den Switch weitergeleitet werden, die mit dem Unityp-Marker „H“ für Hub markiert sind, jedoch handelt es sich dabei nicht um die anspruchsgemäße Markierung (Indikation für Empfang über Schnittstelle ersten Typs), die in den Merkmalen 1.5.3 und 1.5.4 verwendet wird. Da die offenbarte Markierung „H“ im anspruchsgemäßen Verfahren nicht ausgewertet wird, kann dahinstehen, ob das zweite Frame diese Markierung trägt oder nicht.

90 Zum Nichtigkeitsgrund der mangelnden Patentfähigkeit

91 Dem Gegenstand von Patentanspruch 1 des Streitpatents in der erteilten Fassung fehlt es an der erforderlichen Patentfähigkeit, da das unter Schutz gestellte Verfahren aus der Druckschrift NK6-1 nahegelegt ist und daher auf keiner erfinderischen Tätigkeit beruht.

92 Die NK6-1 betrifft ein Verfahren und eine Vorrichtung zur Durchsetzung von Sicherheitsgruppen für VLANs („METHOD AND APPARATUS FOR ENFORCING SECURITY GROUPS FOR VLANS“, Titel). Ihre Lehre betrifft das Bereitstellen von Sicherheitsgruppen in Unternehmensnetzwerken, indem an einem Ingress-Port eine Markierung (Security Group Tag - SGT) in das Übertragungspaket eingebracht wird, die am Egress-Port geprüft wird. Die gemäß NK6-1 offenbarte Erfindung betrifft Layer 2 und Layer 3 gleichermaßen. So versteht die NK6-1 unter einem Router auch eine Bridge oder einen Switch und unter einem Paket auch ein Frame. Sie offenbart in Figur 6A, ein SGT in einem Ethernet-Frame („Fig. 6A illustrates one example of disposing an SGT in an Ethernet frame“, NK6-1, S. 18, Z. 14 – 17). In Figur 6B offenbart sie ein modifiziertes Ethernet-Frame. Sie offenbart ihre Lehre dabei auch für Switches an einem Layer 2 Brückennetzwerk (vgl. NK6-1, Fig. 6A und 6B i. V. m. S. 18, Z. 14 bis 22), wonach das SGT auch an einen Ethernet-Frame (also Layer 2) eingebracht werden kann. Der Senat folgt insoweit der Argumentation der Klägerin zu 1), dass die in der NK6-1 verwendeten Begriffe (vgl. NK6-1, S. 7 und 8) explizit auch Ethernet-Frames, Bridges und Switches für den OSI-Layer 2 betreffen. Dass viele Ausführungsbeispiele ein Routing und Pakete i. S. d. Layer 3 betreffen, ist dabei unbeachtlich.

93 Mit dem Wortlaut des Patentanspruchs 1 entnimmt der Fachmann der NK6-1 folgende Merkmale:

100 Zum Nichtigkeitsgrund der Ausführbarkeit

101 Über den von der Klägerin zu 2) geltend gemachten Nichtigkeitsgrund der mangelnden Ausführbarkeit (Art. II § 6 Abs. 1 Nr. 2 IntPatÜG, Art. 138 Abs. 1 b) EPÜ) hinsichtlich der Kombination der Ansprüche 1, 2 und 12 war bei dieser Sachlage nicht mehr zu entscheiden. Allerdings hat der Senat an der Ausführbarkeit keine Zweifel, da die Patentschrift den Fachmann durchaus in die Lage versetzt, das entsprechende Gateway zwischen der Schnittstelle zweiten Typs des Switches und dem zweiten Netzwerk anzuordnen, ohne dass dieses Gateway ein Teil des im Switch ablaufenden Verfahrens wird (vgl. SP, Fig. 1 i. V. m. Abs. [0021]). Die dem Sinn der anspruchsgemäßen Erfindung vermeintlich widersprechenden Formulierung des abhängigen Patentanspruchs 12 steht diesem Verständnis nicht im Wege.

102 III. Zu den Hilfsanträgen

103 Auch durch die Änderungen nach sämtlichen Hilfsanträgen lässt sich eine erfinderische Tätigkeit nicht begründen, so dass das Streitpatent auch gemäß diesen Fassungen keinen Bestand hat.

104 Zu den Hilfsanträgen 1, 1b und 1c

105 Mit den Begrifflichkeiten „in response to“ (Hilfsantrag 1), „because“ (Hilfsantrag 1b) und „in view of“ (Hilfsantrag 1c) gemäß dem jeweils neu hinzugefügten Merkmal 1.5.1a^Hi1/1b/1c wird explizit zum Ausdruck gebracht, dass die Markierung als Reaktion auf das Empfangen über eine Schnittstelle des ersten Typs erfolgen, insofern nicht bereits mit dem Frame übertragen werden soll. Dies entnimmt der Fachmann bereits dem Gegenstand des Patentanspruchs 1 gemäß Hauptantrag.

106 Da es sich bei dem jeweiligen Gegenstand des Patentanspruch 1, wie er nach den Hilfsanträgen 1, 1b und 1c spezifiziert ist, technisch um denselben Gegenstand wie den Gegenstand des Hauptantrags handelt, gelten die Ausführungen zum Hauptantrag entsprechend. Darüber hinaus lehrt das Ausführungsbeispiel gemäß NK6-1, Seite 9, Zeilen 9 bis 17 i. V. m. NK6-1, Figur 1 explizit, dass die Markierung („SGT“) dem Frame 107 („packet“) am Port 112 („ingress port 112“) des Routers 115 („router 115“) hinzugefügt wird. Somit erfolgt das Hinzufügen der Markierung gemäß NK6-1 in Reaktion auf den Eingang am Port („an SGT is added to packet 107 at ingress port 112 of router 115.“).

107 Soweit die Beklagte mit den Begrifflichkeiten „in response to“ (Hilfsantrag 1), „because“ (Hilfsantrag 1b) und „in view of“ (Hilfsantrag 1c) eine weitergehende Kausalität dahingehend verstehen möchte, dass die Schnittstelle ersten Typs die Markierung lediglich deshalb vornimmt, weil sie eine Schnittstelle ersten Typs ist, vermag sich der Senat dieser Argumentation nicht anzuschließen. Es gibt nämlich keine Offenbarung, die von angeschlossenen CPEs unabhängig ist. Die Schnittstelle ist lediglich deshalb eine Schnittstelle ersten Typs, weil eine CPE angeschlossen ist.

108 Zum Hilfsantrag 2

109 Mit der Begrifflichkeit „an interface pre-configured as“ gemäß hinzugefügtem Merkmal 1.1^Hi2 wird nunmehr beansprucht, dass die jeweiligen Schnittstellen als Netzwerkschnittstelle oder als Schnittstelle ersten Typs, d.h. als CPE-Schnittstelle, (vor-)konfiguriert sein sollen. Eine erfinderische Tätigkeit lässt sich durch die Änderungen gemäß Hilfsantrag 2 allerdings nicht begründen.

110 Nach dem Hilfsantrag 2 geht die Konfiguration der Schnittstelle ersten Typs als CPE-Schnittstelle mit dem Verbinden mit einer CPE einher. Nichts anderes offenbart auch Absatz [0023] der Streitpatentschrift, wonach die Konfiguration der Schnittstellen durch den Administrator gemäß ihrer Funktion entsprechend der Verbindung erfolgt. Absatz [0023] lehrt drei Typen von Schnittstellen, die dadurch gekennzeichnet sind, dass sie entweder mit dem öffentlichen Netzwerk verbunden sind („Hub-type interfaces 32 at the network edge connect nodes 30 with public networks 24“), wobei damit die Kommunikation mit Ressourcen außerhalb des eigenen Netzwerks 20 ermöglicht wird (Funktion), oder mit CPEs („Spoke-type interfaces 34“) oder drittens mit einem Brückennetzwerk („Network-type interfaces 36“).

111 Die CPE-Schnittstelle nach der NK6-1 ist ebenfalls bereits durch die Verbindung zu einer CPE als solche festgelegt. Auch die NK6-1 offenbart, Ports fest am Netzwerkgerät vorzusehen oder diese in Leitungskarten („line cards“) für einen bestimmten Schnittstellentyp zu konfigurieren („The network ports used with this invention may be fixed in the network devices or be implemented as removable line cards configured to handle specific types of traffic“, NK6-1, S. 19, Z. 7 – 9). Die NK6-1 legt den Fokus ihrer Lehre auf das Hinzufügen der SGT-Markierung an der Schnittstelle des Routers (bzw. Switches). Zwar ist es gemäß NK6-1 in einem Ausführungsbeispiel auch möglich, dass die Markierung von einem Gastgerät („visitor device 205“) an den Router übertragen werden kann, jedoch soll die Markierung bevorzugt am Eingang („port 210“) des Routers hinzugefügt werden („Although the SGT could be applied by visitor device 205, it is preferably applied after a packet from visitor device 205 is received at port 210 of router 215“, NK6-1, S. 13, Z. 14 - 16).

112 Die Lehre, dass Frames an Eingangsschnittstellen markiert und an Ausgangsschnittstellen abhängig von der Markierung gefiltert werden, zieht sich somit ebenso als ein Kerngedanke durch die NK6-1 als Ganzes.

113 Zum Hilfsantrag 3

114 Gemäß Merkmal 1.5.5^Hi3 („wherein the switch has been configured to mark frames incoming from the interface of the first type by placing the indication that the frame is a frame received via an interface of the first type and to leave the indication unchanged for frames incoming from the network interface.”) wird beansprucht, dass der Switch so konfiguriert ist, dass Rahmen, die über den ersten Schnittstellentyp empfangen werden, mit einer Markierung versehen werden, und Rahmen, die über die Netzwerkschnittstelle empfangen werden, unverändert bleiben.

115 Zwar ist es grundsätzlich denkbar, dass eine Schnittstelle Frames von anderen Geräten als von CPEs empfängt, jedoch ist eine solche Schnittstelle nicht mehr eine Schnittstelle ersten Typs i. S. d. Patentanspruchs 1, insb. des Merkmals 1.1.

116 Die NK6-1 offenbart bereits, dass jedes Paket am Port mit dem SGT markiert und diese Markierung mit dem Frame durch das Netzwerk transportiert wird, wobei die Markierung beim Passieren weiterer Schnittstellen unverändert bleibt. („each packet is classified at the ingress of the network as belonging to a security group, the classification is written in the SGT field of packet and it is carried with the packet over the network”, NK6-1, S. 8, Z. 27).

117 Soweit der Anspruchswortlaut nicht fordert, dass Frames, die über die Netzwerkschnittstelle den Switch/Router erreichen, nicht auch eine Markierung tragen dürfen, ist dies gleichermaßen auch bei der Lehre der NK6-1 der Fall. Denn gemäß NK6-1 wird ein Frame an einer CPE-Schnittstelle in jedem Fall markiert und ein Frame, welcher durch das Netzwerk transportiert wird, behält seine Markierung bei (vgl. NK6-1, Fig. 2). Sowohl die NK6-1 als auch der Wortlaut des Patentanspruchs lassen zu, dass Frames an der CPE-Schnittstelle markiert werden und dass Frames über die Netzwerkschnittstelle, die ein Switch mit einem anderen verbindet, unverändert bleiben.

118 Zu den Hilfsanträgen 4, 5, 5b und 5c

119 Die Änderungen der mit den Hilfsanträgen 4, 5, 5b und 5c verteidigten Fassungen des jeweiligen Patentanspruchs 1 betreffen die Kombinationen aus den Änderungen der mit den Hilfsanträgen 1, 1b, 1c, und 3 verteidigten Fassungen, die für sich schon nicht auf erfinderischer Tätigkeit beruhen. Gleiches gilt für deren Kombinationen, denn eine nicht naheliegende Wirkung oder gar eigenständige erfinderischer Tätigkeit aus der Kombination mehrerer oder aller dieser Änderungen ist nicht erkennbar. Gegenteiliges wurde von der Beklagten auch nicht vorgetragen, vielmehr wurde jeweils auf die Ausführungen zu den Hilfsanträgen 1 bis 3 verwiesen.

120 Zum Hilfsantrag 6

121 Das Merkmal 1.5.3^Hi6 („has been marked upon entering the first network by placing”) betrifft den Verfahrensschritt, dass ein Unicast-Frame verworfen werden soll, wenn der Rahmen eine Markierung enthält, die anzeigt, dass er über einen ersten Schnittstellentyp empfangen worden ist. Bei der Zusammenschau mit den weiteren Verfahrensschritten des Patentanspruchs 1 gemäß Hilfsantrag 6 handelt es ich hierbei um das Verwerfen eines Frames, der ausgehend von einer CPE (da über eine Schnittstelle ersten Typs empfangen) in das Netzwerk eingetreten und an eine (andere) CPE (da Unicast-Frame) adressiert ist.

122 Diesen Verfahrensschritt offenbart ebenso die Lehre der NK6-1. Denn gemäß NK6-1 werden Frames („packets“), die von dem Endgerät 705 („client device 705“) über den Port 726 des Routers 725 das Netzwerk 707 erreichen und an das Endgerät 710 („client device 710“) adressiert sind (oder andersherum), nicht weitergeleitet („but the client devices cannot communicate with each other“, NK6-1, Fig. 2 und 7 mit Beschreibung, insb. S. 14, 14 f.;„However, because ports 726 and 736 will pass only those packets having SGTs of 2, client device 705 and client device 710 can receive packets from either of servers 715 and 720, but not from each other “, Z. 31 ff.; Unterstreichung hinzugefügt). Dabei berücksichtigt die Lehre der NK6-1, dass das Frame (mit SGT 1) als von dem CPE 705 kommend markiert worden ist.

123 Zum Hilfsantrag 7

124 Die Änderungen der mit den Hilfsantrag 7 verteidigten Fassung des Patentanspruchs 1 betreffen die Kombinationen aus den Änderungen der mit den Hilfsanträgen 6 und 3 verteidigten Fassungen, die für sich nicht auf erfinderischer Tätigkeit beruhen. Gleiches gilt für deren Kombinationen, denn eine nicht naheliegende Wirkung oder gar eigenständige erfinderischer Tätigkeit aus der Kombination mehrerer oder aller dieser Änderungen ist nicht erkennbar. Gegenteiliges wurde von der Beklagten nicht vorgetragen.

125 Zu den Unteransprüchen

126 Da die Anspruchssätze gemäß Hauptantrag sowie nach sämtlichen Hilfsanträgen jeweils als Ganzes verteidigt werden, waren damit auch die übrigen (abhängigen) Ansprüche für nichtig zu erklären.

B.

127 Die Kostenentscheidung beruht auf § 84 Abs. 2 PatG i. V. m. § 91 Abs. 1 ZPO.

128 Die Entscheidung über die vorläufige Vollstreckbarkeit folgt aus § 99 Abs. 1 PatG i. V. m. § 709 Satz 1 und 2 ZPO.