59 Die NK2 (GB 2 505 288 A) betrifft – im Gegensatz zum Streitpatent - kein Verfahren bzw. System für die Netzwerk-Überwachung bzw. Netzwerk-Sicherheit, sondern für ein „Law Enforcement“ (LE) bzw. „Lawful Intercept“ in Netzwerken mit Adress-Änderungen, welche bspw. durch Proxies oder NATs („network address translation“) hervorgerufen wurden, um dort entsprechende Hosts oder den Datenverkehr krimineller Teilnehmer zu erfassen (vgl. NK2, S. 4, Z. 32 – S. 5, Z. 14, S. 13, Z. 23; Merkmal M1).

60 Dazu wird gemäß NK2 der Paketdatenverkehr jeweils vor und hinter dem Netzwerk-Gerät (Proxy, NAT) mit einem passiven Korrelationsgerät („Passive Correlation Device“) erfasst, wobei Paketfilter („Pre-NAT Session Filter 150“ und „Post-NAT Session Filter 155“, vgl. NK2, Fig. 3) die Pakete einzelnen Sessions zuordnen und in entsprechende Session-Queues einsortieren (vgl. NK2, Fig. 2 und 3). Der NAT ist hierbei an der Grenze zwischen zwei Netzwerken, bspw. einem GPRS-Mobilfunknetz und dem Internet angeordnet, so dass die Pakete der Session-Queues verschiedenen Hosts in einem ersten/zweiten Netzwerk zugeordnet sind (vgl. NK2, Fig. 1; Merkmale M2, M4).

61 Einem Korrelator wird mittels Pointer-Listen („a list of pointers“, vgl. NK2, S. 9, Z. 7) auf die Pakete in den Session-Queues bzw. Speicherstellen der Pakete in einem gemeinsamen Buffer ein Echtzeit-Zugriff bzw. eine Echtzeit-Verarbeitung ermöglicht (vgl. NK2, S. 5, Z. 11 - 12, S. 5, Z. 32, S. 9, Z. 1 - 16, S. 13, Z. 8).

62 Entgegen der Auffassung der Klägerinnen handelt es sich bei der unspezifischen Abspeicherung von Paketen in einem gemeinsamen Buffer nicht um einen Log i.S. des Streitpatents, da jegliche Eigenschaften einer Protokollierung, bspw. ein Einhalten einer festen Paketreihenfolge bzw. eine (optionale) Beaufschlagung der Pakete mit einem Zeitstempel, fehlen (vgl. NK2, S. 9, Z. 6 – 9, „… the packets being otherwise held in a common buffer.“). Die in der NK2 genannte, aufgezeichnete Zeitinformation bezieht sich offensichtlich nicht auf die Pakete sondern ausschließlich auf die jeweiligen Sessions (vgl. NK2, S. 9, Z. 29 – S. 10, Z. 4, „The session filters 150, 155 are arranged to record timing information to a high level of accuracy for each observed session, …“). Im Übrigen wird die Argumentation, dass gemäß NK2 die Pakete mit einem Log-typischen Zeitstempel markiert würden, von den Klägerinnen in der mündlichen Verhandlung nicht mehr weiterverfolgt.

63 Der Korrelator gemäß NK2 umfasst einen Prozessor mit vier Kernen zur Parallelverarbeitung (vgl. NK2, Fig. 3, S. 8, Z. 10 – 17, „… the processor 170 comprises four processor cores with each processor core arranged to execute, in a separate processing thread, an instance of the correlation functionality. Each of the executing correlation threads is arranged to receive queued IP packets from a different post-NAT session queue 165, in parallel, and to look for a matching session from amongst the queued IP packets in the pre-NAT session queues 160.“). Der Korrelator korreliert die Pakete der Post-NAT-Sessions mit denjenigen der Pre-NAT-Sessions, wobei der Korrelator über die Pointer auf die Header-Informationen der Pakete zugreift, insbesondere auf die IPQuint, d. h. die fünf Datenfelder im TCP/UDP Paketheader umfassend Quell-IP-Adresse und Portnummer, Ziel-IP-Adresse und Portnummer sowie das IP-Protokoll, und weitere IP Identifikations-Felder, um über die Zusammengehörigkeit von Pre-NAT und Post-NAT Paketen auf das Adress-/Port-Mapping des Proxies/NATs zu schließen, wobei bei Mehrdeutigkeiten auch noch auf weitere Paketinformation zurückgegriffen wird (vgl. NK2, S. 9, Z. 17 – S. 10, Z. 11; Merkmal M6 teilweise).

64 Das Adress- /Port-Mapping von vom Korrelator erfolgreich zugeordneten / „gematchten“ Sessions wird in einem Log abgespeichert, der einer Vielzahl von Anwendungen (NK2, S. 5, Umbruch zu S. 6, „for use in numerous applications“) und/oder externen Systemen (NK2, S. 8, Z. 33, „external systems“) zur Verfügung gestellt wird (vgl. NK2, Fig. 4, S. 6, Z. 1, S. 7, Z. 12, S. 8, Z. 33, S. 11, Z. 14 – S. 12, Z. 2; Merkmal M7).

65 Das vom Korrelator generierte Mapping von privaten / öffentlichen Teilnehmeradressen kann beispielsweise einer/-m „Lawful Intercept“ Applikation/System zur Verfügung gestellt werden, wobei diese/-s dann Regeln für das Identifizieren von Paketen eines kriminellen Teilnehmers generiert, mit diesen Regeln einen Paketfilter konfiguriert und mittels Paketfilter die Pakete des kriminellen Teilnehmers aus dem Netzwerkverkehr filtert und für die Strafverfolgung abspeichert (vgl. NK2, S. 4, Z. 32 – S. 5, Z. 14, insb. Z. 11 ff.: „Realtime mapping information of particular target sessions, captured by the present invention, may be sent to a respective monitoring device so that it may identify and collect data for the correct sessions“). Die NK2 zeigt in der Figur 1 i. V. m. Seite 3, Zeilen 22 bis 32 bereits ein GPRS-Mobilfunknetz. „Lawful Intercept“ Systeme sind im Allgemeinen standardisiert. Der Fachmann liest somit aufgrund des GPRS Mobilfunknetzes in der NK2, Figur 1 ein „Lawful Intercept“ System gemäß dem zum Prioritätsdatum des Streitpatents relevanten 3GPP-Standard TS 33.107 V12.9.0 (2014-12) mit, welches im Fall eines NAT eine Architektur gemäß dortiger Figur E 3.1 auf Seite 196 aufweist:

66 Das Abhören eines Teilnehmers wird von einem ADMF unter Zuhilfenahme der Zielidentität initiiert, wobei der ADMF über den S-CSCF letztendlich den MRF (Paketfilter im „Lawful Intercept“ System) instruiert, einen Call der Zielperson aufzunehmen, wobei dann dem S-CSCF und dem MRF gemäß NK2 die IP-/Port-Adressen zur Verfügung gestellt werden (Merkmale M7, M7.1, M7.2).

67 Soweit die Beklagte in der Verhandlung vorträgt, dass die GPRS-Architektur der NK2 mit der UMTS-Architektur des 3GPP-Standards TS 33.107 V12.9.0 umfassend ein IP Multimedia Subsystem (IMS) mit einem SIP-basierten Session-Aufbau inkompatibel sei, greift dies nicht durch. Denn der Fachmann weiss, dass „Lawful Intercept“ ebenfalls bereits früher für GPRS standardisiert wurde, wobei dort der ADMF unter Zuhilfenahme der Zielidentität des Teilnehmers den GPRS Support Node (GSN) zum Herausfiltern der Paketdaten dieses Teilnehmers aussteuert (vgl. 3GPP TS 03.33 V8.1.0 (2000-12), S. 40 ff., „Annex B (normative): Interception for GPRS“).

68 Darüber hinaus lehrt die NK2 in Ansprechen auf ein erfolgreiches Matching zwischen einer Eingangs- sowie einer Ausgangs-Session-Queue durch den Korrelator, dass die entsprechenden Session-Queues in den Paketfiltern (des passiven Korrelationsgeräts / „Passive Correlation Device“) gelöscht werden sollen, und dass die Paketfilter keine weiteren Pakete dieser Sessions aufnehmen sollen, um multiples Matching für die gleiche Session zu verhindern, wobei es sich dabei ebenfalls um Regeln handelt, welche über die Steuerleitungen gemäß NK2, Figur 3, Bezugszeichen 175, 180 vom Korrelator an die Paketfilter 150, 155 übermittelt werden (vgl. NK2, Fig.3, Bezugszeichen 175, 180 i. V. m. S. 8, Z. 21 - 29, dort: „the processor signals to the post-NAT session filter 165 to cease capture of IP packets in the matched session (post-NAT IPQ + IP Identification field). Similarly, the processor 170 signals to the pre-NAT session filter to cease capture of IP packets relating to the matched pre-NAT session. Each session filter 150, 155 responds by clearing the respective queues 160, 165 of packets and begins to queue IP packets with a newly identified IPQ + IP Identification field, captured at the respective tap points 120, 125. In this way, the loading on the processor's correlation functionality is reduced as far as possible.“; ebenfalls Merkmale M7, M7.1, M7.2).

69 In der NK2 fehlt ein Generieren von „Log entries“ für die vom Netzwerk-Gerät – d. h. in diesem Fall dem NAT/Proxy - gesendeten bzw. empfangenen Pakete, wobei jedoch gemäß NK2 dem Korrelator über die Pointer-Listen für die im Speicher / Buffer befindlichen Pre-/Post-NAT Pakete sämtliche notwendigen Informationen mittels Speicherzugriff bereitgestellt werden. In Folge basiert die Korrelation gemäß Merkmal M6 ebenfalls nicht auf den „Log entries“. Daher fehlen in der NK2 die Merkmale M3, M5 teilweise sowie ebenfalls das Merkmal M6 teilweise.

70 Der Gegenstand des erteilten Patentanspruchs 1 ist somit neu gegenüber der Lehre der Druckschrift NK2.

71 Die NK3 (US 7,995,584 B2) betrifft ein Detektieren eines bösartigen Routers in einem Netzwerk („for detecting malicious routers“) bzw. ein Detektieren von TCP-SYN- oder DoS-Attacken eines in der Nähe des Routers befindlichen Hosts (vgl. NK3, Sp. 1, Z. 7 - 10, Sp. 6, Z. 27 - 60).

72 Hierzu wird fortlaufend für jedes nicht für den Router selbst bestimmte Paket am Eingang („ingress“) sowie am Ausgang („egress“) des Routers ein jeweiliger Hash-Wert oder alternativ bei Verwendung von Bloom-Filtern multiple Werte für Sub-Pakete bzw. Paket-Header bestimmt, in einem Hash-Buffer abgespeichert und miteinander verglichen (vgl. NK3, Fig. 1 - 3, Sp. 2, Z. 50 – Sp. 3, Z. 31 und Sp. 4, Z. 10 - 16).

73 Wird ein Router als bösartig erkannt, erfährt das aktuelle Egress-Paket am Router-Ausgang eine Spezialbehandlung („appropriate action“), wobei das Paket verworfen, weitergeleitet oder geloggt wird (vgl. NK3, Sp. 3, Z. 32 - 43).

74 In der NK3 fehlt das Merkmal M6 umfassend ein Korrelieren multipler gesendeter und multipler empfangener Pakete, da gemäß dortiger Lehre jeweils sequentiell Paket für Paket behandelt wird, wobei ein Vergleich von Informationen von jeweils nur einem Paket auf der Ingress- sowie einem auf der Egress-Seite nach fachmännischem Verständnis keine Korrelation im streitpatentgemäßen Sinne darstellt. Die NK3 schweigt zudem hinsichtlich einer Regelgenerierung für einen Paketfilter, so dass dort ebenfalls die Merkmalsgruppe M7 fehlt.

75 Der Gegenstand des erteilten Patentanspruchs 1 ist somit neu gegenüber der Lehre der Druckschrift NK3.

76 Gleiches gilt für den nebengeordneten Patentanspruch 15, der eine entsprechende Vorrichtung zur Durchführung des Verfahrens u.a. gemäß Patentanspruch 1 betrifft.

78 Zur Zusammenschau von NK12 und HLNK1

79 Die NK12 (US 2014 / 0 280 778 A1)betrifft ein Verfahren für ein Rechensystem ( „a computer implemented method is described“) zum Identifizieren von Paketen bzw. Paketquellen in einem Netzwerk ( „tracking the identity of a network packet“) mit einem einen Grenzübergang ( „boundary“) repräsentierendem Netzwerk-Gerät, welches ein Router, ein Proxy, ein Gateway, eine Firewall oder ein NAT sein kann (vgl. NK12, Abs. [0003] – [0006]; Merkmal M1).

80 Hierzu wird gemäß NK12 der Datenverkehr zwischen einem Client und einem Server vor und hinter dem Netzwerk-Gerät mit Sensoren („inside sensor 120“, „outside sensor 125“) abgegriffen, wobei jeweils die Pakete auf der Applikations-Schicht mit einem Zeitstempel versehen werden, für jedes Paket ein Hash-Wert für die Payload berechnet wird, und die jeweiligen Paketinformationen wie Zeitstempel, IP-Adresse(n) und Hash-Wert in zwei FIFO-Queues einsortiert bzw. abgespeichert werden, wobei die Pakete aus den FIFO-Queues anschließend einander zugeordnet („match“) werden (vgl. NK12, Fig. 1 - 3, Abs. [0003], [0006], [0018], [0021]). Die durch die Sensoren erfassten bzw. aufgenommenen (vgl. NK12, Abs. [0018] - [0020], „passively record traffic“) Einträge in den beiden FIFO-Queues sind „Log entries“ i.S. des Streitpatents für eine Vielzahl von Paketen jeweils auf der Empfangs- sowie auf der Sendeseite des Netzwerk-Geräts (Merkmale M2 bis M5).

81 Das anschließende Matching der Pakete basierend auf den „Log entries“ erfolgt anhand der Kriterien Zeitstempel, IP-Adresse und Hash-Wert, wobei ggf. der Einsatz von Fuzzy-Logik nicht nur ein Matching aufgrund identischer Einträge sondern auch ein Matching anhand von Ähnlichkeiten erlaubt (vgl. NK12, Abs. [0021], [0029]). Das Matching berücksichtigt eine unterschiedliche Paketreihenfolge, so dass eine Korrelation multipler Eingangs- und multipler Ausgangspakete vorliegt (vgl. NK12, Fig. 2 - 3, Abs. [0024] - [0025]). Die NK12 benennt das Matching gemäß Figur 2 auch explizit als „Correlation“ (Merkmal M6), wobei die Paketverarbeitung und Korrelation gemäß NK12 nahezu in Echtzeit erfolgen soll (vgl. NK12, Abs. [0027], „live packet capture mode“, „near real time“).

82 Die NK12, Figur 2 i. V. m. Absatz [0023] zeigt exemplarisch für ein Paket die Ausgabe des Korrelations- bzw. Matching-Ergebnisses in Form eines Logs umfassend die Header-Daten, insbesondere die IP-Adressen, sowie den MD5-Hash, wobei beim Vergleich vom Egress-Paket des Routers bzw. Gateways an der Netzwerkgrenze („Outpacket“) und dem Ingress-Paket („Inpacket“) die durch die NAT verursachte Änderung der Ursprungsadresse („SrcAddr“) der Paketquelle ersichtlich ist. Der Log umfasst selbstverständlich eine Vielzahl von Paketen und beschreibt somit vollständig das NAT-Mapping zwischen privaten und öffentlichen Adressen an der Netzwerk-Grenze.

83 Gemäß NK12, Absatz [0030] soll das Identifizieren der wahren Paketquelle („identify the true source of packet transmission“) einen signifikanten Beitrag für die Netzwerk-Sicherheit bspw. in Unternehmensnetzen leisten, indem infizierte, bösartige Netzknoten im Firmennetz durch das Inspizieren der Pakete an der Netzwerkgrenze erkannt werden ( „provide a way to quickly identify nodes that are infected with malicious content“). Diese Information wird entweder einem Netzwerkadministrator zur Verfügung gestellt, oder kann als Grundlage für eine Unternehmensnetzwerk-Architektur mit signifikanten Investitionen in die Überwachung („monitoring“) dienen, welche diese Technik nutzt, um an der Netzwerkgrenze detektierte bösartige Netzaktivität ihrer originalen Paketquelle zuzuordnen (vgl. NK12, Abs. [0030], „Enterprises with significant visibility and monitoring investments into the network backbone can utilize this technique to attribute malicious activity sensed at the edge of a network back to its original source.“).

84 Wird bspw. von einem Überwachungssystem ein bösartiges Egress-Paket detektiert, kann das Überwachungssystem unter Heranziehen des o.g. Logs, welcher das Korrelations- bzw. Matching-Ergebnis für das Paket umfasst, auf das zugehörige Ingress-Paket rückschließen und somit die Ursprungsadresse („SrcAddr“) der Paketquelle ermitteln.

85 Von der streitpatentgemäßen Lehre unterscheidet sich die NK12 lediglich dadurch, dass gemäß NK12 keine Regeln zur Identifikation der (bösartigen) Host-Pakete bzw. des (bösartigen) Hosts generiert werden und solche auch nicht für einen Paketfilter bereitgestellt werden. Somit zeigt die NK12 die Merkmale M7.1 und M7.2 nicht. Diese Auffassung des Senats wurde den Parteien im Übrigen mit dem gerichtlichen Hinweis vom 25. April 2022 mitgeteilt.

86 Da die NK12 im Kontext der Netzwerk-Sicherheit von Unternehmensnetzwerken eine Lösung für das technische Problem des Identifizierens und Trackens von Paketen infizierter, bösartiger Netzknoten bzw. Hosts an Netzwerkgrenzen eines Unternehmensnetzwerks, an denen eine Verschleierung bedingt durch eine NAT-Funktionalität eines Gateways bzw. Routers auftritt, sowie der entsprechenden Zuordnung der Pakete zu einer wahren Ursprungsquelle des Paketdatenflusses, d.h. zu dem infizierten, bösartigen Netzknoten, anbietet, war sie ein geeigneter Ausgangspunkt, um Maßnahmen gegen infizierte bzw. bösartige Netzknoten in Unternehmensnetzwerken bereitzustellen.

87 Soweit die Klägerinnen in der mündlichen Verhandlung vorgetragen haben, dass sich dem Fachmann die Frage stelle, was mit dem als infiziert erkannten Netzknoten bzw. Host zu machen sei, hatte der Fachmann ausgehend von der NK12 die Aufgabe zu lösen, wie mit den nach der Lehre der NK12 als infiziert identifizierten Hosts umzugehen ist, um das in Absatz [0030] der NK12 angesprochene Unternehmensnetzwerk zu schützen.

88 Entgegen der Auffassung der Beklagten, wonach der Fachmann keinen Anlass gehabt hätte, die Lehre der NK12 zu verlassen, da diese eine Vorratsdatenspeicherung betreffe, offenbart die Lehre der NK12 explizit, diese in Unternehmensnetzwerken zu verwenden (vgl. NK12, Abs. [0030]: „… it can provide a stable foundation for building tiered enterprise network architectures with an inherent capability for attribution of malicious activity. Enterprises with significant visibility and monitoring investments into the network backbone … “, Unterstreichungen hinzugefügt). Darüber hinaus hatte der Fachmann die Lehre der NK12 nicht zu verlassen, sondern diese infolge der impliziten Fragestellung im Absatz [0030] - wie oben beschrieben - fortzuführen.

89 Der Fachmann würde auch die HLNK1 (US 8413238 B1) in Betracht ziehen. Denn diese betrifft ebenfalls die Netzwerk-Sicherheit in Unternehmensnetzwerken, wobei von einem Überwachungssystem („monitoring systems and/or methods“, „Monitor communications“) bösartige Aktivitäten („malicious activity“), Attacken („attacks such as a denial of service“) sowie Zugriffe ins Dark-Net auch bei verschleierten („spoofed“, „faked“) IP-Adressen abgewehrt werden sollen (vgl. HLNK1, Fig. 4 Bezugszeichen 420, Sp. 1 Z. 36 - 51, Sp. 2, Z. 6 - 19, Sp. 3 Z. 24 – 53, Sp. 10, Z. 52 – 53, Sp. 11, Z. 43 - 46). Insbesondere betrifft die HLNK1 dabei – genauso wie die NK12 - ein Identifizieren von Geräten mit bösartiger Aktivität (vgl. HLNK1, Sp. 10, Z. 60 – 63: „In those implementations where all communications 350 are inspected, the communications 350 can be processed to identify devices which are likely associated with malicious activity.“).

90 Die HLNK1 Figuren 1 und 2 zeigen die Systemarchitektur des Überwachungssystems 100 für ein Unternehmensnetz 200, wobei die Benutzer-Endgeräte 206, 208 („user computers“) über die Firewalls 202, 203 sowie einen (nicht gezeigten) Enterprise-Gateway / Router an ein Weitverkehrsnetz / WAN 101 sowie das Internet, angeschlossen sind (vgl. HLNK1, Sp. 5, Z. 12 - 31).

91 Die eigentliche Überwachungsfunktionalität für den Datenverkehr des Unternehmens wird von den „processing nodes 110“ eines Service Providers bereitgestellt, welche sich außerhalb des Unternehmensnetzwerks befinden (vgl. HLNK1, Sp. 4, Z. 59 – 60, „In another example, the processing nodes 110 can be deployed at Internet service provider (ISP) nodes.“). Die HLNK1 offenbart „security policies“, welche den „processing nodes“ – wie bspw. Server, Gateways und Switches – von „authority nodes 120“ zur Verfügung gestellt werden (vgl. HLNK1, Sp. 3, Z. 1 - 63, Sp. 6, Z. 3 - 4, Sp. 10, Z. 39 – 59). Das Enterprise-Gateway an der Grenze zwischen Unternehmensnetz und Providernetz routet den ganzen (externen) Datenverkehr des Unternehmens zum Zweck der Dateninspektion über die „processing nodes“ des Service Providers, welche eine Proxy-Funktionalität („forward proxy“) umfassen und welche dann als „next hop router“ den Datenverkehr letztendlich an die externen Server, d.h. die Zieladressen im Internet, weiterleiten (vgl. HLNK1, Sp. 3, Z. 38 – 53, Sp. 4, Z. 45 – Sp. 5, Z. 4).

92 Für die Untersuchung des hinein- und/oder herausgehenden Datenverkehrs des Unternehmensnetzes umfassen die „processing nodes“ Dateninspektionsmaschinen („data inspection engines“), welche den Inhalt der Kommunikation überprüfen, Bedrohungen hinsichtlich „spyware“, „malware“, Viren und ungewünschte Inhalte, wie bspw. pornographische Inhalte, erkennen sowie darüber hinaus eine Bedrohungsklassifikation („threat classification“) bereitstellen (vgl. HLNK1, Sp. 3, Z. 1 – 14, Sp. 7, Z. 4 – 17, Sp. 7, Z. 56 - 67). Darüber hinaus wird der Zugriff auf das „Darknet“ überwacht (vgl. HLNK1, Sp.8, Z. 18 – 19, „… monitoring darknet access.“)

93 Im Fall eines identifizierten infizierten bzw. bösartigen Geräts - bspw. innerhalb des Unternehmensnetzes - wird gemäß der technischen Lehre der HLNK1 der Administrator informiert, Spezialanwendungen werden zur Überprüfung der Gerätesoftware aktiviert und/oder die „processing nodes“ filtern automatisch dessen Datenverkehr, wozu ein automatisches Blockieren der Datenpakete basierend auf Regeln gehört (vgl. HLNK1, Sp. 10, Z. 60 – Sp. 11, Z. 3, „ … implement a rule preventing such devices from communicating with devices within the protected enterprise network.“ und Sp. 12, Z. 57 – Sp. 13, Z.14, insb. Sp. 13, Z. 3 - 8: „ … the notification can be provided to other processing nodes with instructions to provide filtering or detailed inspection of communications identified as similar (e.g., based upon an origination address). Additionally, traffic may be automatically blocked, redirected or filtered based on predefined rules.“; Hervorhebung hinzugefügt; Merkmale 7.1 und 7.2).

94 Dem Fachmann stellt sich zwangsläufig das Problem, wie das Überwachungssystem der HLNK1, dessen eigentliche Überwachungsfunktionalität für den Datenverkehr des Unternehmens von den „processing nodes 110“ eines (externen) Service Providers bereitgestellt wird, beim Vorliegen einer Adressen-Transformation (NAT) an der Netzwerk-Grenze des Unternehmensnetzes, bspw. hervorgerufen durch das o.g. Enterprise-Gateway, das infizierte bzw. bösartige Gerät innerhalb des Unternehmensnetzes identifiziert, d.h. dessen (private) „origination address“ ein-eindeutig bestimmt. Denn obwohl das bösartige Gerät den „processing node“ direkt adressiert (vgl. HLNK1, Sp.4, Z. 45 – 47, „the processing node 110 may act as a forward proxy that receives user requests to external servers addressed directly to the processing node 110.“), tauscht beim Vorliegen einer Adressen-Transformation (NAT) der Enterprise-Gateway die im Datenpaket mitübertragene private Ursprungs-IP-Adresse in eine öffentliche IP-Adresse um, wobei die Adressen-Transformation im Allgemeinen eine subjektive Abbildung darstellt, wobei der komplette private Adressraum auf signifikant weniger öffentliche Adressen transformiert wird. Ein Blockieren des Datenverkehrs im „processing node“ anhand der öffentlichen IP-Adresse würde somit nicht nur das infizierte bzw. bösartige Gerät dediziert treffen, sondern ggf. auch weitere Geräte anderer Benutzer im Unternehmensnetz.

95 Das ausgehend von der Lehre der NK12 bereits vorliegende Korrelationsergebnis wird nun unmittelbar durch die Ausführungsform gemäß HLNK1 verarbeitet, denn da der „processing node“ der „next hop“ des Enterprise-Gateways ist und die vom „processing node“ empfangenen Pakete die Egress-Pakete des Enterprise-Gateways sind, muss er nur für das von ihm identifizierte, verdächtige Paket (vgl. NK12, Fig. 2, „Outpacket“) im vorliegenden Korrelationsergebnis gemäß NK12 nachschlagen und dem dazugehörigen Ingress-Paket des Enterprise-Gateways die (private) „origination address“ (vgl. NK12, Fig. 2, „Inpacket“, „SrcAddr“) des bösartigen Hosts im Unternehmensnetzwerk entnehmen. Dem „processing node“ steht nämlich das Korrelationsergebnis gemäß NK12 zur Verfügung, da dieses gemäß NK12, Absatz [0030] als Grundlage für das Überwachungssystem vorgesehen ist und das gesuchte NAT-Mapping zwischen privaten und öffentlichen Adressen an der Netzwerk-Grenze nahezu in Echtzeit auf Paketbasis zum Zweck der Identifizierung eines bösartigen Geräts bzw. der wahren Paketquelle im Unternehmensnetz bereitstellt (vgl. NK12, Abs. [0030], „The ability to identify the true source of packet transmission through a boundary can provide significant benefits to network security.“, „Furthermore, it can provide a stable foundation for building tiered enterprise network architectures with an inherent capability for attribution of malicious activity. Enterprises with significant visibility and monitoring investments into the network backbone can utilize this technique to attribute malicious activity sensed at the edge of a network back to its original source.“).

96 Diese Identifizierung des infizierten bzw. bösartigen Geräts als Reaktion auf das Korrelieren (Merkmal M7) erfolgt noch vor den Verfahrensschritten gemäß den Merkmalen M7.1 und M7.2, welche die anschließend durchzuführende Regelgenerierung für die Behandlung des Datenverkehrs bzw. der Pakete des identifizierten Geräts betreffen.

97 Die Beklagte verneint in der Verhandlung, dass der Fachmann die Druckschriften NK12 und HLNK1 überhaupt kombinieren würde, und argumentiert damit, dass die Anmelderin der NK12 die US Navy und die Anmelderin der HLNK1 die Firma Zscaler seien, wobei beide Anmelderinnen ihrer Auffassung nach „Zero Trust Architekturen“ bereitstellen würden und keinerlei Zugang zu irgendeinem Source-Code gewährten. Diese Argumentation der Beklagten ist in der Sache nicht zutreffend, denn für den Offenbarungsgehalt einer Vorveröffentlichung ist ausschließlich maßgeblich, welche technische Information dem Fachmann dort offenbart bzw. ggf. vom Fachmann mitgelesen wird (BGH, Urteil vom 16.12.2008, X ZR 89/07 - Olanzapin). Der Offenbarungsbegriff ist dabei kein anderer, als er auch sonst im Patentrecht zugrunde gelegt wird. Die Benennung eines bestimmten Erfinders bzw. Anmelders auf der Titelseite eines Patentdokuments bzw. sonstige bibliographische Informationen spielen daher bei der Bestimmung des Offenbarungsgehalts einer Entgegenhaltung keine Rolle.

98 Übrigens schlägt die NK12 selbst in Absatz [0030] keine (geheimhaltungsbedürftige) militärische, sondern sogar explizit eine zivile Anwendung in Überwachungssystemen für Unternehmensnetzwerke vor, wobei das Verfahren mittels „open source technology“ auf gängiger Hardware („commodity hardware“) zu implementieren sei.

99 Darüber hinaus vertreibt die Firma Zscaler zwar zum Prioritätstag (10.02.2015) des Streitpatents Cloud-basierte „Zero Trust“ Sicherheitslösungen, der Fachmann kann der ca. sieben Jahre früher (21.07.2008) angemeldeten HLNK1 darüber jedoch (noch) Nichts entnehmen.

100 Gleiches gilt für die Auffassung der Beklagten, dass in der HLNK1 die Benutzer und deren IP-Adressen in den „processing nodes“ bekannt seien, da in Zscaler Systemen das Benutzergerät seine eigene IP-Adresse an den „3rd Party processing node“ mittels XFF-Protokoll („X-Forward-For“) mitschicken würde (vgl. MFG11, MFG12). Denn die HLNK1 beschreibt in Figur 2 i. V. m. Spalte 4, Zeilen 13 bis 44 ausschließlich eine Benutzerschnittstelle 130 („user interface front-end 130“), welche den Benutzern („users“) einen Account für das Überwachungssystem beim Internet Service Provider zur Verfügung stellt, womit die Benutzer „security policies“ bspw. für ihren E-Mail-Verkehr definieren können. Die HLNK1 schweigt aber sowohl hinsichtlich eines potentiellen Hinterlegens der aktuellen IP-Adresse des gerade vom Benutzer verwendeten Geräts im genannten Account, welche ggf. dynamisch dem Benutzerlaptop 206 oder dem Benutzerdesktop 208 vom Router im Unternehmensnetz beim Einschalten des jeweiligen Geräts zugewiesen wird, als auch hinsichtlich einer XFF-Signalisierung der ursprünglichen IP-Adresse im http-Header, falls der Benutzer bspw. mit einem Browser im Internet surft.

101 Die Argumentation der Beklagten, dass ein „Monitoring System“ gemäß NK12, Absatz [0030] nur den Datenverkehr überwachen und selbstverständlich keine Pakete blockieren/droppen würde, vermag den Senat nicht zu überzeugen. Denn die HLNK1 beschreibt offensichtlich ein solches „Monitoring System“ (vgl. HLNK1, Sp. 11, Z. 45, „monitoring systems and/or methods“), welches eben gerade Pakete von infizierten bzw. bösartigen Geräten mittels den „processing nodes“ automatisch blockiert.

102 Auch die Argumentation der Beklagten, die NK12 wäre mit Verweis auf die SQL-Datenbank in Absatz [0026] nur auf eine reine Vorratsdatenspeicherung gerichtet, greift nicht durch. Denn zum einen ist die in der NK12, Absatz [0026] erwähnte SQL-Datenbank offensichtlich optional („can be stored“) und zum anderen kann der Fachmann der NK12 auch nirgends eine Umschreibung einer Vorratsdatenspeicherung entnehmen. Vielmehr befasst sich die Druckschrift NK12 gemäß Absätzen [0002] bis [0004] ganz allgemein mit einem Identifizieren und Tracking von Paketen, insbesondere beim Vorliegen eines NATs, Proxies oder Gateways an der Netzwerkgrenze, und gemäß Absatz [0030] im Speziellen mit der Netzwerk-Sicherheit in Unternehmensnetzen.

103 Der Gegenstand des Patentanspruchs 1 ist somit dem Fachmann ausgehend von der Druckschrift NK12 in Kombination mit der HLNK1 in sämtlichen Merkmalen nahegelegt.

104 Soweit die Klägerinnen vorgetragen und überzeugend begründet haben, dass der Fachmann ausgehend von der NK12 in Zusammenschau mit der HLNK1 in naheliegender Weise zum Gegenstand des Patentanspruchs 1 gelangt, und der Vortrag der Beklagten dies nicht entkräften konnte, kann somit dahingestellt bleiben, ob die umgekehrte Kombination ausgehend von der HLNK1 in Zusammenschau mit der NK12 den Gegenstand des Patentanspruchs 1 ebenfalls nahegelegt hätte.

105 Denn die Beklagte vertritt die Auffassung, dass der Fachmann als Ausgangspunkt nicht die NK12 sondern die HLNK1 gewählt hätte, was ihrer Meinung nach aber nicht zum Gegenstand des erteilten Patentanspruchs 1 führen würde.

106 Für den Fachmann ist es zunächst grundsätzlich ohne Bedeutung, ob andere Ausgangspunkte möglicherweise als noch näherliegend in Betracht kommen, die Wahl einer bestimmten Entgegenhaltung oder Vorbenutzung als Ausgangspunkt für die Lösung eines technischen Problems bedarf jedoch grundsätzlich der Rechtfertigung (vgl. BGH, Urteil vom 05.10.2016, X ZR 78/14 – Opto-Bauelement).

107 Auch wenn die HLNK1 die NAT-Problematik nicht unmittelbar anspricht und gänzlich hinsichtlich einer Korrelation von Paketen schweigt, betrifft sie - wie das Streitpatent - den Kontext der Netzwerk-Sicherheit und dort im Speziellen das Identifizieren von Paketen über die Netzwerkgrenze zwischen einem ersten Netzwerk (Unternehmensnetz) sowie einem zweiten Netzwerk (Providernetz) sowie die entsprechende Zuordnung der Pakete zu einem Paketdatenfluss bzw. einer Ursprungsquelle des Paketdatenflusses. Darüber hinaus ist dem Fachmann zum Anmeldetag bekannt, dass Enterprise-Gateways in Unternehmensnetzen eine NAT-Funktionalität umfassen und somit paketverändernd wirken, so dass die Identifizierung der Ursprungsadresse eines infizierten bzw. bösartigen Geräts im Unternehmensnetz und das automatische Blockieren des Datenverkehrs dieses Geräts durch den „processing node“ im Providernetz Kenntnisse über Paketveränderungen, insbesondere Adressenänderungen, erfordern. Schließlich beschreibt die HLNK1 in Spalte 4, Zeile 52 bis Zeile 67 sogar einen Tunnel zwischen dem Enterprise-Gateway und dem „processing node“ sowie „MPLS labelling“, welche beide ggf. paketverändernd wirken (vgl. auch Streitpatent, Abs. [0021], „tunneling gateway“).

108 Dem Fachmann ist am Anmeldetag zur Umgehung bzw. zur Lösung der NAT-Problematik neben der paketbasierten und protokollunabhängigen Korrelationsmethode gemäß NK12 als weitere Alternative die von der Beklagten genannte XFF-Protokoll-Ergänzung bekannt. Der Fachmann weiß auch, dass XFF jedoch nur mit HTTP/HTTPS Verkehr funktioniert, andere Protokolle wie SNMP, FTP, Telnet, VoIP, Video, SMTP/POP/IMAP (Mail) etc. profitieren von XFF hingegen nicht. Der X-Forwarded-For (XFF) ist ein De-facto-Standard-HTTP-Header-Eintrag im Internet, wobei der Header dazu dient, die IP-Adresse des Benutzers zu übermitteln, wenn dieser durch einen Proxy auf einen Webserver zugreift (vgl. MFG11, MFG12).

109 Ausgehend von der HLNK1 überträgt die XFF-Protokoll-Ergänzung bei einem Internet-Zugriff, bspw. beim Browsen oder bei einem Zugriff auf einen Webserver, die (private) Ursprungsadresse des Benutzergeräts im Unternehmensnetz in dem zusätzlichen Header-Feld jedes HTTP/HTTPS-Requests im „Klartext“ an den „processing node“, der gemäß HLNK1 einen Proxy darstellt, so dass dieser auch beim Vorliegen einer Adressänderung hervorgerufen durch eine NAT im Enterprise-Gateway ein bösartiges Benutzergerät bzw. die wahre Paketquelle im Unternehmensnetz sofort identifizieren kann, ohne dass er auf eine NAT-Mapping-Tabelle des Enterprise-Gateways zugreifen muss.

110 Kommen für den Fachmann aber mehrere solche gangbaren Alternativen in Betracht, können folglich mehrere von ihnen naheliegend sein, wobei es grundsätzlich ohne Bedeutung ist, welche der Lösungsalternativen der Fachmann als erste in Betracht zöge (vgl. BGH, Urteil vom 16.02.2016, X ZR 5/14 – Anrufroutingverfahren; vgl. BGH, Urteil vom 06.03.2012, X ZR 50/09, juris Rn. 19; vgl. BGH, Urteil vom 06.05.2003, X ZR 113/00 - Flachantenne).

111 Nach Auffassung des Senats würde sich somit auch beim Wechsel des Ausgangspunkts von der NK12 zur HLNK1 die Bewertung der erfinderischen Tätigkeit nicht ändern. Der Gegenstand des Patentanspruchs 1 wäre dem Fachmann ebenfalls ausgehend von der Druckschrift HLNK1 in Kombination mit der NK12 nahegelegt.

112 Zur Zusammenschau von NK2 und NK12 bzw. NK2 und NK7

113 Der NK2 (GB 2 505 288 A), welche keine Netzsicherheit, sondern ein Abhören zum Zweck der Strafverfolgung betrifft, fehlen ausschließlich die die Protokollierung mittels Logs / „Log entries“ betreffenden Merkmale (d.h. Merkmale M3, M5, M6 jeweils teilweise). Zwar zeigt auch die NK2 eine Protokollierung mittels Log, wobei jedoch erst beim Auffinden einer Übereinstimmung/Match die Ergebnisse der Korrelation im Prozessor 170 in eine (ggf. externe) Protokolldatei geschrieben werden (vgl. NK2, Fig. 4 i. V. m. S. 11, Z. 14 – S. 12, Z. 2).

114 Nach Auffassung der Klägerinnen würde der Fachmann die auf Pointern zu in Session-Queues organisierte IPQuint-Paketinformation basierende Hochgeschwindigkeits-Korrelation in dem vorliegenden externen passiven Korrelationsgerät angepasst an 10 Gbit/s NAT-Geräte gemäß NK2 zugunsten einer Protokollierung mittels Logs und einer Korrelation bzw. Vergleichen von „Log entries“ modifizieren, um die Technik zu verbessern bzw. zu optimieren.

115 Insbesondere würde der Fachmann die NK12 heranziehen, da diese ebenfalls nahezu in Echtzeit mittels Korrelation von passiv aufgenommenen Logs eine von einem NAT an der Netzwerkgrenze veränderte Paketidentität tracken kann, wobei mittels der Verwendung von MD5-Hashes Speicherplatz eingespart werden könne (vgl. NK12, Fig. 1 – 3 i. V. m. Abs. [0003], [0006], [0018]). Gleiches würde ausgehend von der NK2 für die NK7 gelten, welche zudem zum Zwecke des „Law enforcements“ eingesetzt werden könne, und welche vorab nur Pakete mit einer hohen Identifikationswahrscheinlicheit selektieren und die Korrelation nur mit Paketen innerhalb eines gewissen Zeitfensters effizient und speicherplatzsparend durchführen würde (vgl. NK7, Fig. 1 und Fig. 7 i. V. m. Abs. [0004], [0006], [0020], [0028] – [0029]).

116 10 Gbit/s = 125 MByte. Bei dem in der NK2 angesprochenen HP DL830 G7 Server mit einem großen Arbeitsspeicher von 10 GByte RAM ist dieses geringe Einsparpotential an Speicherplatz von nur 1¼ Prozent unerheblich und – nach Auffassung des Senats - nicht relevant genug, um dem Fachmann hinreichend Motivation und Veranlassung zur Modifikation des Verfahrens bzw. der Vorrichtung gemäß NK2 zu geben (vgl. NK2, S. 13, Z. 10 - 13).

117 Soweit diese Argumentation der Klägerinnen nicht durchgreift, haben diese ihr schriftsätzliches Vorbringen in der mündlichen Verhandlung dahingehend ergänzt, dass die Paket-Logs gemäß NK7 / NK12 letztlich nichts anderes als eine von mehreren Implementierungs-Alternativen wären, welche zum Standardrepertoire des Fachmanns zählten. Dies ist für die Beurteilung der erfinderischen Tätigkeit entscheidend.

118 Denn kommen für den Fachmann verschiedene Alternativen in Betracht, können mehrere von ihnen naheliegend sein, wobei es grundsätzlich ohne Bedeutung ist, welche der Lösungsalternativen der Fachmann als erste in Betracht zöge (vgl. BGH, Urteil vom 16.02.2016, X ZR 5/14 – Anrufroutingverfahren). Darüber hinaus besteht Veranlassung zum Heranziehen einer generellen Lösung, solange deren Nutzung sich dem Fachmann im Rahmen seines Standardrepertoire-Fachwissens als objektiv zweckmäßig darstellt und keine besonderen Umstände dagegen sprechen (vgl. BGH, Urteil vom 11.03.2014, X ZR 139/10 – Farbversorgungssystem; BGH, Urteil vom 27.03.2018, X ZR 59/16 – Kinderbett; BGH, Urteil vom 26.09.2017, X ZR 109/15 - Spinfrequenz).

119 Damit stellt die Erzeugung von Logs und deren Verwendung bei einer Korrelation (vgl. NK12 bzw. NK7) eine gängige Lösung dar, die beim „Lawful Intercept“ System der NK2 fachmännisch ohne besondere Schwierigkeiten implementiert werden kann.

120 Der Gegenstand des erteilten Patentanspruchs 1 ist somit aus der Kombination der Druckschrift NK2 mit einer der Druckschriften NK7 bzw. NK12 jeweils nahegelegt und beruht somit nicht auf einer erfinderischen Tätigkeit.

121 Gleiches gilt für den nebengeordneten Patentanspruch 15, der eine entsprechende Vorrichtung zur Durchführung des Verfahrens u.a. gemäß Patentanspruch 1 betrifft.

137 Der Patentanspruch 1 gemäß Hilfsantrag 1 ist zulässig. Die Änderung hinsichtlich eines „packet droppings“ ist beispielsweise dem Streitpatent, Absätze [0013] und [0049] sowie Patentanspruch 12 bzw. der Offenlegungsschrift, Absätze [15] und [51] sowie Patentanspruch 21 zu entnehmen.

138 Der Gegenstand des Patentanspruchs 1 gemäß Hilfsantrag 1 ist jedoch nicht patentfähig, da er gegenüber der Lehre der Druckschriften NK12 und HLNK1 nicht auf einer erfinderischen Tätigkeit beruht (vgl. Art. II § 6 Abs. 1 Nr. 1 IntPatÜG i. V. m. Art. 138 Abs. 1 Nr. 1, Art. 52, 56 EPÜ).

139 Zu den im Vergleich zur erteilten Fassung unveränderten Merkmalen wird auf die entsprechenden Ausführungen in Abschnitt II.3.1 verwiesen.

140 Den neuen technischen Sachgehalt gemäß dem modifizierten Merkmal M7.1_Hi1 entnimmt der Fachmann ebenfalls der HLNK1; im Einzelnen:

141 Die HLNK1 beschreibt eine Überwachung von bidirektionalem Datenverkehr, wobei infizierte Hosts bzw. Geräte mit bösartigen Aktivitäten sowohl innerhalb des Unternehmensnetzwerks als auch außerhalb, bspw. im Internet, identifiziert und isoliert werden, indem deren Datenverkehr automatisch blockiert bzw. gefiltert wird (vgl. HLNK1, Sp. 10, Z. 60 – Sp. 11, Z. 18, Sp. 12, Z. 57 – Sp. 13, Z. 9). Das Blockieren und Filtern gemäß HLNK1 entspricht dem, was gemäß Streitpatent unter „drop“ zu verstehen ist, denn gemäß der Lehre der HLNK1 erfolgt das Blockieren/Filtern der Pakete infizierter Hosts stets im „processing node“, der sich im Providernetz außerhalb des Unternehmensnetzes befindet, d.h. Pakete bspw. von einem infizierten Host im Internet werden auf der Empfangsseite der Netzwerkvorrichtung („enterprise gateway“) im ersten Netzwerk blockiert, wohingegen Pakete eines infizierten Hosts im Unternehmensnetz auf der Sendeseite der Netzwerkvorrichtung im zweiten Netzwerk blockiert werden.

142 Allerdings ist im letzteren Fall eines infizierten Hosts im Unternehmensnetz der „processing node“ der „next hop router“ der Netzwerkvorrichtung bzw. des „enterprise gateways“ (vgl. HLNK1, Sp. 5, Z. 1 - 4), so dass es technisch keine Rolle spielt, ob das Paket am Eingang der Netzwerkvorrichtung im ersten Netzwerk oder am Ausgang der Netzwerkvorrichtung im zweiten Netzwerk fallengelassen wird.

143 Darüber hinaus zeigt die HLNK1, Figur 2 noch eine Firewall FW 202 an der Grenze zwischen Unternehmensnetz und Providernetz, so dass es für den Fachmann naheliegt, auch diesen bei Bedarf zur Isolation des infizierten Hosts im Unternehmensnetz heranzuziehen. Zum Beleg dieses Fachwissens wird bspw. auf die Druckschrift HLNK2, Figur 5.1 i. V. m. Absatz 5.1 verwiesen.

144 Damit sind sämtliche Merkmale des Patentanspruchs 1 gemäß Hilfsantrag 1 aus der Zusammenschau der Druckschriften NK12 und HLNK1 nahegelegt.

145 Gleiches gilt für den nebengeordneten Patentanspruch 15 in der Fassung gemäß Hilfsantrag 1.

146 Da die Beklagte die abhängigen Unteransprüche nicht isoliert verteidigt, bedürfen diese keiner gesonderten Prüfung. Mit dem sich als nicht patentfähig erweisenden Patentanspruch 1 gemäß Hilfsantrag 1 sind auch die darauf direkt oder indirekt rückbezogenen Unteransprüche 2 bis 14 für nichtig zu erklären, da die Beklagte weder geltend gemacht hat noch sonst ersichtlich ist, dass die zusätzlichen Merkmale dieser Ansprüche zu einer anderen Beurteilung der Patentfähigkeit führen (vgl. BGH, Beschluss vom 27. Juni 2007 – X ZB 6/05, GRUR 2007, 862 Leitsatz – Informationsübermittlungsverfahren II; BGH, Urteil vom 29. September 2011 - X ZR 109/08 1. Leitsatz – Sensoranordnung).

151 Der Hilfsantrag 1b ist zulässig. Zur Begründung wird entsprechend auf die Ausführungen des entsprechenden Abschnitts III.2.1 zum Hilfsantrag 1 verwiesen.

152 Die Merkmale M7.1_Hi1b und M7.2_Hi1b können keine erfinderische Tätigkeit begründen.

153 Die HLNK1 umfasst ein automatisches Blockieren bzw. Filtern des Datenverkehrs von identifizierten bösartigen/infizierten Hosts, welche sich bspw im Unternehmensnetz befinden, wobei das Blockieren/Filtern mittels Regeln stets im „processing node“ im Providernetz erfolgt (vgl. HLNK1, Sp. 10, Z. 60 – Sp. 11, Z. 18, Sp. 12, Z. 57 – Sp. 13, Z. 9). Hierzu gelten auch die Ausführungen zum Hilfsantrag 1 entsprechend (siehe dazu Abschnitt III.2.2).

154 Zu den im Vergleich zur erteilten Fassung unveränderten Merkmalen wird auf die entsprechenden Ausführungen in Abschnitt II.3.1 verwiesen.

155 Damit beruht der Gegenstand des Patentanspruchs 1 gemäß Hilfsantrag 1b ebenfalls nicht auf einer erfinderischen Tätigkeit.

156 Gleiches gilt für den nebengeordneten Patentanspruch 13 in der Fassung gemäß Hilfsantrag 1b.

157 Da die Beklagte die abhängigen Unteransprüche nicht isoliert verteidigt, bedürfen diese keiner gesonderten Prüfung. Mit dem sich als nicht patentfähig erweisenden Patentanspruch 1 gemäß Hilfsantrag 1b sind auch die darauf direkt oder indirekt rückbezogenen Unteransprüche 2 bis 12 für nichtig zu erklären, da die Beklagte weder geltend gemacht hat noch sonst ersichtlich ist, dass die zusätzlichen Merkmale dieser Ansprüche zu einer anderen Beurteilung der Patentfähigkeit führen (vgl. BGH, Beschluss vom 27. Juni 2007 – X ZB 6/05, GRUR 2007, 862 Leitsatz – Informationsübermittlungsverfahren II; BGH, Urteil vom 29. September 2011 - X ZR 109/08 1. Leitsatz – Sensoranordnung).

163 Die Änderung gemäß Merkmal M6_Hi2 hinsichtlich eines Bestimmens eines „malicious hosts“ im zweiten Netzwerk im Verfahrensschritt des Korrelierens ist unzulässig, da der Gegenstand des Patentanspruchs 1 in der verteidigten Fassung nach Hilfsantrag 2 über den Inhalt der ursprünglichen Anmeldungsunterlagen (vgl. NK21) hinausgeht (Art. II § 6 Abs. 1 Nr. 3 IntPatÜG i.V.m. Art. 138 Abs. 1 Buchst. c), Art. 123 Abs. 2 EPÜ).

164 Zwar offenbart die ursprüngliche Anmeldung eine Bestimmung eines Hosts 108, welcher mit einer bösartigen Einheit assoziiert ist (vgl. Offenlegungsschrift, Abs. [50] - [51], Anspruch 21), diese Bestimmung erfolgt jedoch nicht mittels Korrelieren, sondern vielmehr bei einer nicht näher beschriebenen Untersuchung des Datenverkehrs („For example, one or more of the communications between host 108 and 114 (e.g., P1 and P1', P2 and P2’, P3 and P3’, P10 and P10’, or P11 and P11’) may be indicative of malware installed by a computing device associated with host 108 (e.g., the malicious entity) on a computing device associated with host 114, and rule(s) 140 may be configured to prevent the spread of the malware.“; Hervorhebung hinzugefügt).

165 Darüber hinaus offenbart die Offenlegungsschrift, Absatz [24] zwar eine Detektion einer Verschleierung durch eine bösartige Einheit mittels Korrelation, dabei handelt es sich jedoch nicht um einen Host sondern um die Netzwerkvorrichtung selbst (dort: „For example, network device(s) 122 may be employed by a malicious entity to attempt to obfuscate, spoof, or proxy for the identity or location of host 114 (e.g., network device(s) 122 may be employed as part of a man-in-the-middle attack).“).

166 Ließe man die Unzulässigkeit der Anspruchsfassung dahinstehen, würde das hier hinzugefügte Merkmal M6_Hi2 vor dem Hintergrund der Druckschriften NK12 und HLNK1 keine erfinderische Tätigkeit begründen (vgl. Art. II § 6 Abs. 1 Nr. 1 IntPatÜG i. V. m. Art. 138 Abs. 1 Nr. 1, Art. 52, 56 EPÜ).

167 Denn die HLNK1 lehrt ebenfalls eine Detektion einer bösartigen Einheit im zweiten Netzwerk (vgl. HLNK1, Sp. 10, Z. 60 – Sp. 11, Z. 3, „In those implementations where all communications 350 are inspected, the communications 350 can be processed to identify devices which are likely associated with malicious activity…. If such devices are outside of the enterprise network, the authority node policy data can be used to implement a rule preventing such devices from communicating with devices within the protected enterprise network.“).

168 Zu den modifizierten Merkmalen M7.1_Hi1 und M7.2_Hi1b wird zur Begründung jeweils auf die entsprechenden Ausführungen zum Hilfsantrag 1 (siehe dazu Abschnitt III.2.2) bzw. Hilfsantrag 1b (siehe dazu Abschnitt III.3.2) verwiesen.

169 Zu den im Vergleich zur erteilten Fassung unveränderten Merkmalen wird auf die entsprechenden Ausführungen in Abschnitt II.3.1 verwiesen.

170 Gleiches gilt für den nebengeordneten Patentanspruch 14 in der Fassung gemäß Hilfsantrag 2.

176 Die Anspruchsfassung gemäß Hilfsantrag 2b ist zulässig. Die Änderungen gemäß den Merkmalen M4_Hi2b und M7.2_Hi2b hinsichtlich eines Identifizierens von Paketen an ein bösartiges Gerät im zweiten Netzwerk sowie eines Verhinderns einer Malware-Verbreitung durch den Host im ersten Netzwerk ergeben sich aus dem Streitpatent, Absatz [0049] bzw. der Offenlegungsschrift, Absatz [51] („For example, one or more of the communications between host 108 and 114 (e.g., P1 and P1', P2 and P2’, P3 and P3’, P10 and P10’, or P11 and P11’) may be indicative of malware installed by a computing device associated with host 108 (e.g., the malicious entity) on a computing device associated with host 1 14, and rule(s) 140 may be configured to prevent the spread of the malware.“)

177 Dennoch können die hier neu hinzufügten Merkmale M4_Hi2b und M7_Hi2b vor dem Hintergrund der Druckschriften NK12 und HLNK1 ebenfalls keine erfinderische Tätigkeit begründen (vgl. Art. II § 6 Abs. 1 Nr. 1 IntPatÜG i. V. m. Art. 138 Abs. 1 Nr. 1, Art. 52, 56 EPÜ).

178 Denn die HLNK1 offenbart eine Überwachung von bidirektionalem Datenverkehr, wobei infizierte Hosts bzw. Geräte mit bösartigen Aktivitäten sowohl innerhalb des Unternehmensnetzwerks als auch außerhalb, bspw. im Internet, identifiziert und isoliert werden, indem deren Datenverkehr automatisch blockiert bzw. gefiltert wird (vgl. HLNK1, Sp. 10, Z. 60 – Sp. 11, Z. 18, Sp. 12, Z. 57 – Sp. 13, Z. 9).

179 Zum modifizierten Merkmal M7.1_Hi1b wird zur Begründung auf die entsprechenden Ausführungen zum Hilfsantrag 1b (siehe dazu Abschnitt III.3.2) verwiesen.

180 Zu den im Vergleich zur erteilten Fassung unveränderten Merkmalen wird auf die entsprechenden Ausführungen in Abschnitt II.3.1 verwiesen.

181 Damit beruht der Gegenstand des Patentanspruchs 1 gemäß Hilfsantrag 2b nicht auf einer erfinderischen Tätigkeit.

182 Gleiches gilt für den nebengeordneten Patentanspruch 13 in der Fassung gemäß Hilfsantrag 2b.

183 Da die Beklagte die abhängigen Unteransprüche nicht isoliert verteidigt, bedürfen diese keiner gesonderten Prüfung. Mit dem sich als nicht patentfähig erweisenden Patentanspruch 1 gemäß Hilfsantrag 2b sind auch die darauf direkt oder indirekt rückbezogenen Unteransprüche 2 bis 12 für nichtig zu erklären, da die Beklagte weder geltend gemacht hat noch sonst ersichtlich ist, dass die zusätzlichen Merkmale dieser Ansprüche zu einer anderen Beurteilung der Patentfähigkeit führen (vgl. BGH, Beschluss vom 27. Juni 2007 – X ZB 6/05, GRUR 2007, 862 Leitsatz – Informationsübermittlungsverfahren II; BGH, Urteil vom 29. September 2011 - X ZR 109/08 1. Leitsatz – Sensoranordnung).

189 Die Anspruchsfassung gemäß Hilfsantrag 2c ist zulässig. Die Änderungen gemäß Merkmal M4_Hi2c hinsichtlich eines Identifizierens von Paketen eines von einem Host im zweiten Netzwerk infizierten Hosts im ersten Netzwerk ergeben sich aus dem Streitpatent, Absatz [0049] bzw. der Offenlegungsschrift, Absatz [51] („For example, one or more of the communications between host 108 and 114 (e.g., P1 and P1', P2 and P2’, P3 and P3’, P10 and P10’, or P11 and P11’) may be indicative of malware installed by a computing device associated with host 108 (e.g., the malicious entity) on a computing device associated with host 1 14, and rule(s) 140 may be configured to prevent the spread of the malware.“)

190 Der Gegenstand des Patentanspruchs 1 gemäß Hilfsantrag 2c umfassend das neu hinzugetretene Merkmal M4_Hi2c beruht vor dem Hintergrund der Druckschriften NK12 und HLNK1 ebenfalls nicht auf erfinderischer Tätigkeit (vgl. Art. II § 6 Abs. 1 Nr. 1 IntPatÜG i. V. m. Art. 138 Abs. 1 Nr. 1, Art. 52, 56 EPÜ).

191 Denn die HLNK1 offenbart eine Überwachung von bidirektionalem Datenverkehr, wobei infizierte Hosts bzw. Geräte mit bösartigen Aktivitäten sowohl innerhalb des Unternehmensnetzwerks als auch außerhalb, bspw. im Internet, identifiziert und isoliert werden, indem deren Datenverkehr automatisch blockiert bzw. gefiltert wird (vgl. HLNK1, Sp.10, Z. 60 – Sp.11, Z.18, Sp. 12, Z. 57 – Sp. 13, Z. 9).

192 Zu den modifizierten Merkmalen M7.1_Hi1b und M7.2_Hi2b wird zur Begründung jeweils auf die entsprechenden Ausführungen zum Hilfsantrag 1b (siehe dazu Abschnitt III.3.2) bzw. Hilfsantrag 2b (siehe dazu Abschnitt III.5.2) verwiesen.

193 Zu den im Vergleich zur erteilten Fassung unveränderten Merkmalen wird auf die entsprechenden Ausführungen in Abschnitt II.3.1 verwiesen.

194 Damit beruht der Gegenstand des Patentanspruchs 1 gemäß Hilfsantrag 2c ebenfalls nicht auf einer erfinderischen Tätigkeit.

195 Gleiches gilt für den nebengeordneten Patentanspruch 13 in der Fassung gemäß Hilfsantrag 2c.

196 Da die Beklagte die abhängigen Unteransprüche nicht isoliert verteidigt, bedürfen diese keiner gesonderten Prüfung. Mit dem sich als nicht patentfähig erweisenden Patentanspruch 1 gemäß Hilfsantrag 2c sind auch die darauf direkt oder indirekt rückbezogenen Unteransprüche 2 bis 12 für nichtig zu erklären, da die Beklagte weder geltend gemacht hat noch sonst ersichtlich ist, dass die zusätzlichen Merkmale dieser Ansprüche zu einer anderen Beurteilung der Patentfähigkeit führen (vgl. BGH, Beschluss vom 27. Juni 2007 – X ZB 6/05, GRUR 2007, 862 Leitsatz – Informationsübermittlungsverfahren II; BGH, Urteil vom 29. September 2011 - X ZR 109/08 1. Leitsatz – Sensoranordnung).

201 Die Änderung gemäß Merkmal M6_Hi3 hinsichtlich eines Korrelierens von empfangenen mit gesendeten Paketen ist unzulässig. Der Gegenstand des Patentanspruchs 1 in der verteidigten Fassung nach Hilfsantrag 3 geht über den Inhalt der ursprünglichen Anmeldungsunterlagen (vgl. NK21) hinaus (Art. II § 6 Abs. 1 Nr. 3 IntPatÜG i.V.m. Art. 138 Abs. 1 Buchst. c), Art. 123 Abs. 2 EPÜ), da gemäß Offenlegungsschrift, Absätze [36] bis [38] am Netzwerkgerät die gesendeten mit den empfangen Paketen korreliert werden sowie eine Übereinstimmung zwischen einem gesendeten und einem empfangenen Paket festgestellt wird und nicht umgekehrt.

202 Darüber hinaus sind nach Auffassung des Senats die Erfordernisse für eine Beschränkung nicht erfüllt. Der ureigenste Zweck einer (Kreuz-)Korrelation zwischen multiplen eingangsseitigen und ausgangsseitigen Datenpaketen ist stets die Bestimmung von Korrelationskoeffizienten, welche die „Ähnlichkeit“ zwischen den Eingangs- und den Ausgangs-Daten spezifizieren. Die Offenlegungsschrift beschreibt in den Absätzen [36] - [37], dass mittels der Korrelation ein Bestimmen von Übereinstimmungen zumindest von Teilen der Datenpakete festgestellt werden soll und dass ggf. Punktzahlen („scores“) hinsichtlich der Übereinstimmungen vergeben werden sollen.

203 Es handelt sich bei den Änderungen im Merkmal M4_Hi3 somit offensichtlich um ein „Nullmerkmal“, denn beim Zugrundelegen der Definition aus dem Streitpatent wird dem ursprünglichen Merkmal M6 nichts hinzugefügt, was zu einer Beschränkung führen würde.

204 Ließe man die Unzulässigkeit der Anspruchsfassung dahinstehen, würde der Gegenstand des Patentanspruchs 1 gemäß Hilfsantrag 3 umfassend das neu hinzugetretene Merkmale M6_Hi3 vor dem Hintergrund der Druckschriften NK12 und HLNK1 ebenfalls nicht auf erfinderischer Tätigkeit beruhen (vgl. Art. II § 6 Abs. 1 Nr. 1 IntPatÜG i. V. m. Art. 138 Abs. 1 Nr. 1, Art. 52, 56 EPÜ).

205 Denn die NK12 lehrt eine Korrelation multipler Eingangs- sowie Ausgangs-Pakete, wobei eine Übereinstimmung („match“) zwischen jeweils einem Ausgangs- sowie einem Eingangs-Paket bestimmt wird (vgl. NK12, Fig. 2 – 3, Abs. [0006] – [0008], [0021] – [0025]).

206 Zu den im Vergleich zur erteilten Fassung unveränderten Merkmalen wird auf die entsprechenden Ausführungen in Abschnitt II.3.1 verwiesen.

207 Gleiches gilt für den nebengeordneten Patentanspruch 15 in der Fassung gemäß Hilfsantrag 3.

212 Patentanspruch 1 gemäß Hilfsantrag 4 ist zulässig, da sowohl im Streitpatent als auch in der Offenlegungsschrift eine Korrelation mit einem Vergleichen von Zeiten bzw. Zeitstempeln in den „Log entries“ offenbart wird (vgl. Streitpatent, Abs. [0033], [0036], [0047] und Ansprüche 7 - 9; vgl. Offenlegungsschrift, Abs. [36], [38], [49] und Ansprüche 15 - 18).

213 Der Gegenstand des Patentanspruchs 1 gemäß Hilfsantrag 4 umfassend das im Vergleich zur erteilten Fassung einzig neu hinzugetretene Merkmal M6_Hi4 beruht vor dem Hintergrund der Druckschriften NK12 und HLNK1 ebenfalls nicht auf erfinderischer Tätigkeit (vgl. Art. II § 6 Abs. 1 Nr. 1 IntPatÜG i. V. m. Art. 138 Abs. 1 Nr. 1, Art. 52, 56 EPÜ).

214 Denn die NK12 lehrt eine Korrelation multipler Ausgangs-/Eingangs-Pakete unter Berücksichtigung von Zeitstempeln, welche jeweils in den „Log entries“ für die Eingangs- sowie die Ausgangs-Pakete hinterlegt sind (vgl. NK12, Fig. 2, „Correlation by time“, Abs. [0006], [0008], [0022] – [0023], Anspruch 19).

215 Zu den im Vergleich zur erteilten Fassung unveränderten Merkmalen wird auf die entsprechenden Ausführungen in Abschnitt II.3.1 verwiesen.

216 Damit beruht der Gegenstand des Patentanspruchs 1 gemäß Hilfsantrag 4 ebenfalls nicht auf einer erfinderischen Tätigkeit.

217 Gleiches gilt für den nebengeordneten Patentanspruch 14 in der Fassung gemäß Hilfsantrag 4.

218 Da die Beklagte die abhängigen Unteransprüche nicht isoliert verteidigt, bedürfen diese keiner gesonderten Prüfung. Mit dem sich als nicht patentfähig erweisenden Patentanspruch 1 gemäß Hilfsantrag 4 sind auch die darauf direkt oder indirekt rückbezogenen Unteransprüche 2 bis 13 für nichtig zu erklären, da die Beklagte weder geltend gemacht hat noch sonst ersichtlich ist, dass die zusätzlichen Merkmale dieser Ansprüche zu einer anderen Beurteilung der Patentfähigkeit führen (vgl. BGH, Beschluss vom 27. Juni 2007 – X ZB 6/05, GRUR 2007, 862 Leitsatz – Informationsübermittlungsverfahren II; BGH, Urteil vom 29. September 2011 - X ZR 109/08 1. Leitsatz – Sensoranordnung).

223 Patentanspruch 1 gemäß Hilfsantrag 5 ist zulässig, da sowohl im Streitpatent als auch in der Offenlegungsschrift ein Vergleichen von Zeitstempeln in den „Log entries“ offenbart wird (vgl. Streitpatent, Abs. [0033], [0036], [0047] und Ansprüche 7 - 9; vgl. Offenlegungsschrift, Abs. [35], [38], [49] und Ansprüche 15 - 18).

224 Der Gegenstand des Patentanspruchs 1 gemäß Hilfsantrag 5 umfassend das im Vergleich zum Hilfsantrag 4 einzig neu hinzugetretene Merkmal M7.2_Hi5 beruht vor dem Hintergrund der Druckschriften NK12 und HLNK1 ebenfalls nicht auf erfinderischer Tätigkeit (vgl. Art. II § 6 Abs. 1 Nr. 1 IntPatÜG i. V. m. Art. 138 Abs. 1 Nr. 1, Art. 52, 56 EPÜ).

225 Denn die NK12 lehrt eine Korrelation multipler Eingangs- sowie Ausgangs-Pakete unter Berücksichtigung von Zeitstempeln („timestamps“), wobei diese jeweils in den „Log entries“ für die Eingangs- sowie die Ausgangs-Pakete enthalten sind (vgl. NK12, Fig. 2, „Correlation by time“, Abs. [0006], [0008], [0022] – [0023], Ansprüche 4, 5, 16, 17, 19).

226 Insbesondere beschreibt die NK12 ein Vergleichen der Zeitstempel für die Empfangszeiten mit denjenigen der Sendezeiten, um so eine konsistente Entscheidung hinsichtlich einer Paketidentität treffen zu können (vgl. NK12, Abs. [0023], „Furthermore, it is also observed that the time in TimeSecs (seconds) are equal, but the time in TimeMSecs (milliseconds) differ by 814 milliseconds. In other words, the inside packet arrived 814 milliseconds before the outside packet, which is consistent with the inside packet sensing the packet first. In this case, the identity of the packet is the SrcAddr (source address) of the packet sensed from each side, which is 132.xxx.xxx.102/172.xxx.xxx.240.“).

227 Zu dem modifizierten Merkmal M6_Hi4 wird zur Begründung auf die entsprechenden Ausführungen zum Hilfsantrag 4 (siehe dazu Abschnitt III.8.2) verwiesen.

228 Zu den im Vergleich zur erteilten Fassung unveränderten Merkmalen wird auf die entsprechenden Ausführungen in Abschnitt II.3.1 verwiesen.

229 Damit beruht der Gegenstand des Patentanspruchs 1 gemäß Hilfsantrag 5 ebenfalls nicht auf einer erfinderischen Tätigkeit.

230 Gleiches gilt für den nebengeordneten Patentanspruch 13 in der Fassung gemäß Hilfsantrag 5.

231 Da die Beklagte die abhängigen Unteransprüche nicht isoliert verteidigt, bedürfen diese keiner gesonderten Prüfung. Mit dem sich als nicht patentfähig erweisenden Patentanspruch 1 gemäß Hilfsantrag 5 sind auch die darauf direkt oder indirekt rückbezogenen Unteransprüche 2 bis 12 für nichtig zu erklären, da die Beklagte weder geltend gemacht hat noch sonst ersichtlich ist, dass die zusätzlichen Merkmale dieser Ansprüche zu einer anderen Beurteilung der Patentfähigkeit führen (vgl. BGH, Beschluss vom 27. Juni 2007 – X ZB 6/05, GRUR 2007, 862 Leitsatz – Informationsübermittlungsverfahren II; BGH, Urteil vom 29. September 2011 - X ZR 109/08 1. Leitsatz – Sensoranordnung).