EP 3 395 XXA: Keine Patentverletzung bei unselektiver Flow-Protokollierung
KI-Zusammenfassung
Die Klägerin begehrte wegen EP 3 395 XXA Unterlassung sowie Annexansprüche wegen Netzwerksicherheitsprodukten. Streitig war insbesondere, ob „Netzwerkbedrohungsindikatoren“ auch rein abstrakt verstanden werden können und ob das Erzeugen von Protokolldaten für sämtliche Datenflüsse genügt. Das OLG Düsseldorf bestätigte die Klageabweisung: Das Patent verlangt eine selektive Bestimmung unverschlüsselter Pakete anhand konkreter Bedrohungsindikatoren und darauf basierendes Protokollieren. Die angegriffene Ausführungsform erstellt Flow-/Telemetriedaten unterschiedslos und nimmt die Bedrohungsanalyse erst nachgelagert cloudbasiert vor; damit fehlen u.a. die Merkmalsgruppen zur Bestimmung und protokollbasierten Filterung.
Ausgang: Berufung gegen klageabweisendes Patentverletzungsurteil zurückgewiesen; keine wortsinngemäße Verwirklichung der Ansprüche 14/15.
Abstrakte Rechtssätze
Bei einem mehrstufigen Patentanspruch ist grundsätzlich von der im Anspruch vorgegebenen Reihenfolge der Verfahrensschritte auszugehen; Abweichungen bedürfen hinreichender Anhaltspunkte in der Patentschrift.
Der Begriff „Netzwerkbedrohungsindikator“ ist als konkretes, bekanntes Anzeichen für eine Netzwerkbedrohung zu verstehen; reine Datentypen oder Datenfelder ohne konkret benannte Werte genügen nicht.
Anspruchsgemäß ist ein Filtern nur, wenn anhand von Paketfilterregeln nach Netzwerkbedrohungsindikatoren eine Auswahl zwischen potentiell gefährlichen und unbedenklichen Paketen getroffen wird; eine bloße Sortierung sämtlicher Pakete ersetzt die Filterung nicht.
Die Protokolldaten müssen nach dem Anspruch „basierend auf“ den Paketfilterregeln für die zuvor anhand von Netzwerkbedrohungsindikatoren bestimmten unverschlüsselten Pakete erzeugt werden; eine Protokollierung aller Datenflüsse unabhängig von Indikatoren verwirklicht das Merkmal nicht.
Eine nachgelagerte Bedrohungsanalyse auf Basis historisch aggregierter Telemetriedaten (z.B. cloudbasiert) genügt nicht, wenn die anspruchsgemäße selektive Erzeugung von Protokolldaten und die darauf aufbauende Bestimmung gefilterter Pakete nicht stattfindet.
Tenor
I.Die Berufung der Klägerin gegen das am 28.12.2022 verkündeteUrteil der 4b Zivilkammer des Landgerichts Düsseldorf wird zurückgewiesen.
II.
Die Klägerin hat auch die Kosten des Berufungsverfahrens zu tragen.
III.
Dieses Urteil und das Urteil des Landgerichts sind vorläufig vollstreckbar.
Der Klägerin wird nachgelassen, die Zwangsvollstreckung der Beklagtenwegen ihrer Kosten durch Sicherheitsleistung in Höhe von 120 % des jeweils beizutreibenden Betrages abzuwenden, falls nicht die Beklagten zuvorSicherheit in gleicher Höhe leisten.
IV.
Die Revision wird nicht zugelassen.
V.
Der Streitwert für das Berufungsverfahren wird auf 600.000 Euro festgesetzt.
Gründe
A.
Die Klägerin nimmt die Beklagten aus dem auch mit Wirkung für die Bundesrepublik Deutschland erteilten und in englischer Verfahrenssprache veröffentlichten europäischen Patent 3 395 XXA (Anlage KAP 6; deutsche Übersetzung Anlage KAP 6a; nachfolgend: Klagepatent) auf Unterlassung, Auskunft und Rechnungslegung, Vernichtung und Rückruf der als patentverletzend angegriffenen Gegenstände sowie Feststellung ihrer Verpflichtung zum Schadensersatz in Anspruch.
Die dem Klagepatent zugrunde liegende Anmeldung wurde am 16.12.2016 unter Inanspruchnahme einer US-Priorität (US 201514757XXB) vom 23.12.2015 eingereicht. Der Hinweis auf die Patenterteilung wurde am 03.02.2021 im Patentblatt bekannt gemacht. Der deutsche Teil des Klagepatents wird bei dem Deutschen Patent- und Markenamt unter der Registernummer DE 60 2016 052 XXC.2 geführt.
Die Klägerin ist Anmelderin und war eingetragene Inhaberin des Klagepatents, wobei sie Ende 2023 von „A Inc.“ in „A LLC“ umgewandelt wurde (vgl. Anlage KAP 43). Seit dem 05.04.2023 ist die „B“ als Inhaberin des Klagepatents im Register eingetragen.
Durch Entscheidung vom 08.02.2024 hat das Europäische Patentamt das Klagepatent im Einspruchsverfahren vollumfänglich widerrufen (vgl. Anlagen B 13, B 16 / 16a). Gegen diese Entscheidung hat die Klägerin mit Schriftsatz vom 14.03.2024 Beschwerde eingelegt (Anlage KAP 55).
Das Klagepatent, dessen englische Bezeichnung „C“ lautet, betrifft eine regelbasierte Netzwerk-Bedrohungserkennung für verschlüsselte Kommunikation. Mit ihrer Klage macht die Klägerin die unmittelbare Verletzung der Vorrichtungsansprüche 14 und 15 des Klagepatents geltend, die wiederum rückbezogen sind auf den Verfahrensanspruch 1. In deutscher Übersetzung lauten die Ansprüche 1, 14 und 15 wie folgt:
1. Verfahren, umfassend:
Empfangen, durch ein Paketfiltersystem (200), das konfiguriert ist, um Pakete gemäß einer Vielzahl von Paketfilterregeln entsprechend einer Vielzahl von Netzwerkbedrohungsindikatoren zu filtern, einer Vielzahl von Paketen;
Identifizieren von Paketen, die unverschlüsselte Daten umfassen, wobei ein oder mehrere Pakete der Pakete, die unverschlüsselte Daten umfassen, Daten umfassen, die konfiguriert sind, um eine verschlüsselte Kommunikationssitzung zwischen einem ersten Host und einem zweiten Host herzustellen;
Bestimmen von identifizierten Paketen, die unverschlüsselte Daten umfassen, die zumindest einem aus der Vielzahl der Netzwerkbedrohungsindikatoren entsprechen;
Erzeugen, basierend auf der Vielzahl von Paketfilterregeln, von Protokolldaten der identifizierten Pakete, die unverschlüsselte Daten umfassen, die zumindest einem aus der Vielzahl der Netzwerkbedrohungsindikatoren entsprechen;
Identifizieren von Paketen, die verschlüsselte Daten umfassen; und
Korrelieren, basierend auf den Protokolldaten der identifizierten Pakete, die unverschlüsselte Daten umfassen, die zumindest einem aus der Vielzahl von Netzwerkbedrohungsindikatoren entsprechen, von Paketen, die verschlüsselte Daten umfassen, die zumindest einem aus der Vielzahl von Netzwerkbedrohungsindikatoren entsprechen; und
Weiterleiten, durch das Paketfiltersystem, von gefilterten Paketen an ein Proxy-System basierend auf einer Bestimmung, dass die gefilterten Pakete Daten umfassen, die zumindest einem aus der Vielzahl von Netzwerkbedrohungsindikatoren entsprechen.
14. Paketfiltervorrichtung, umfassend:
zumindest einen Prozessor; und Speicher, der Anweisungen speichert, die, wenn sie durch den zumindest einen Prozessor ausgeführt werden, die Paketfiltervorrichtung dazu veranlassen, das Verfahren nach einem der Ansprüche 1-13 durchzuführen.
15. Ein oder mehrere nichtflüchtige computerlesbare Medien, die Anweisungen umfassen, die, wenn sie durch zumindest einen Prozessor eines Paketfiltersystems ausgeführt werden, das Paketfiltersystem dazu veranlassen, das Verfahren nach einem der Ansprüche 1-13 durchzuführen.
Die Beklagte zu 1) vertreibt weltweit Hard- und Software auf dem Gebiet der Netzwerksicherheit und des Netzwerkmanagements wie beispielsweise Router und Switches mit zugehöriger Software. Die Beklagte zu 2) ist die deutsche Tochtergesellschaft der Beklagten zu 1) und ist nach dem als Anlage KAP 5 vorgelegten Screenshot Betreiberin der deutschsprachigen Internetpräsenz des Konzerns.
Mit ihrer Klage wendet sich die Klägerin gegen Angebot und Vertrieb von Kombinationen verschiedener Netzwerkschutzvorrichtungen ausgestaltet als Hard- und Softwarekomponenten, jedenfalls bestehend aus einer oder mehreren der folgenden Komponenten:
D (auch bezeichnet als D) und E (E);
D umfassend eine Kombination bestehend aus F, G (auch bezeichnet als G oder G), der auf dem F und dem G implementierten D Software (D Software), der über Cloud-Server betriebenen H (auch bezeichnet als H, H oder H, (H)) und der teilweise über die Cloud betriebenen und teilweise auf dem G und den Routern und Switches implementierten I (I),
die zusammen mit mindestens einem der folgenden Netzwerkgeräte angeboten und vertrieben werden:
J,
K,
L
(nachfolgend gemeinsam „angegriffene Ausführungsform“).
Die grundsätzliche Funktionsweise der angegriffenen Ausführungsform kann nachfolgender Abbildung entnommen werden (Anlage KAP 17a, S. 3):
Die dargestellten Router bzw. Switches sind dazu eingerichtet, sog. O zu erstellen, in denen in periodischen Zeitintervallen Informationen über den von den jeweiligen Routern oder Switches empfangenen und weitergeleiteten Datenverkehr gesammelt und zusammengefasst werden. Bei diesen Informationen handelt es sich beispielsweise um Zeitstempel, die Byte- und Paketanzahl, Quell- und Ziel-IP-Adressen, Quell- und Ziel-IP-Ports, Ingress- und Egress-Port-Nummern etc. Die Informationen werden für alle Datenflüsse gesammelt, die durch den entsprechenden Router oder Switch laufen, wobei sie jeweils einem bestimmten Datenfluss zugeordnet werden können.
Neben den O erzeugen die streitgegenständlichen Router und Switches sog. I Telemetriedaten für alle Datenströme, die den jeweiligen Router oder Switch passieren. Die I Telemietriedaten enthalten u.a. das sog. M (M), das zu Beginn des Aufbaus einer verschlüsselten Kommunikation zwischen Rechnern gesendet wird. Die nachfolgende Abbildung zeigt beispielhaft den Aufbau eines M (entnommen aus der Anlage KAP 23, dort Seite 15):
Das M enthält neben dem IP Header und dem TCP Header auch einen TLS Header. TLS steht für Transport Layer Security und ist ein Verschlüsselungsprotokoll zur sicheren Datenübertragung. Der TLS Header enthält unverschlüsselte Informationen, die notwendig sind, um eine verschlüsselte Kommunikation zwischen zwei Rechnern aufzubauen.
Die O einschließlich der I Telemetriedaten können von jedem Router oder Switch an einen F zur weiteren Verarbeitung gesendet werden. Der F aggregiert die erhaltenen Daten und leitet diese (in aggregierter Form) an die G Komponente von D weiter. Wird, basierend auf den F-Daten, potenziell gefährlicher Datenverkehr festgestellt, werden Warnungen generiert. Als Reaktion auf diese Warnungen kann ein Hostcomputer, der mit einer erkannten Netzwerkbedrohung in Verbindung steht, über die Hardwarekomponente N E unter Quarantäne gestellt werden, was dazu führen kann, dass der Datenverkehr mit diesem Host durch Router oder Switches blockiert wird.
Nach Auffassung der Klägerin verletzen die Beklagten mit dem Angebot und der Lieferung der angegriffenen Ausführungsform in der Bundesrepublik Deutschland das Klagepatent unmittelbar.
Vor dem Landgericht hat sie geltend gemacht, die O einschließlich der I-Telemetrie-Daten würden erfindungsgemäße Protokolldaten darstellen. Die Erzeugung der FRecords einschließlich der I Telemetriedaten basiere auf einer Paketfilterregel, die mit einem Netzwerkbedrohungsindikator assoziiert sei. Der erfindungsgemäße Netzwerkbedrohungsindikator könne ein „abstrakter“ sein; er müsse keine konkrete Bedrohung anzeigen. Aus diesem Grunde sei es auch erfindungsgemäß, für sämtliche Datenströme, die den Router bzw. Switch durchlaufen, Protokolldaten zu erstellen. Entscheidend sei allein, dass die angegriffene Ausführungsform die O einschließlich der I Telemetriedaten dazu nutze, den Datenverkehr im Netzwerk auf Bedrohungen hin zu untersuchen. Dies sei bei der angegriffenen Ausführungsform – insoweit unstreitig – der Fall. Im Übrigen würden bekannte Bedrohungen in einer Art Feedback-Schleife an die angegriffene Ausführungsform zurückgesandt und die Protokolldaten entsprechend ergänzt.
Die Beklagten haben eine Verletzung des Klagepatents in Abrede gestellt. Sie sind der Auffassung, die erfindungsgemäßen Netzwerkbedrohungsindikatoren müssten konkrete Daten umfassen. Es sei gerade nicht erfindungsgemäß, für alle Datenströme Protokolldaten zu erstellen und erst im Anschluss mithilfe dieser Protokolldaten eine Bedrohungserkennung durchzuführen. Genau so aber arbeite die angegriffene Ausführungsform und weise deshalb keine erfindungsgemäße Paketfilterung auf. Soweit aufgrund der von der Klägerin angesprochenen Feedback-Schleife Protokolldaten um weitere Inhalte ergänzt würden, erfolge dies für alle Datenströme gleichermaßen. Keineswegs würden bekannte Bedrohungsindikatoren dazu genutzt, die eingehenden Datenströme nach ihnen zu filtern.
Durch Urteil vom 28.12.2022 hat das Landgericht die Klage abgewiesen. Zur Begründung hat es im Wesentlichen ausgeführt:
Der Kern der Erfindung und damit die Lösung der im Klagepatent formulierten Aufgabe liege darin, mögliche, von verschlüsselten Paketen ausgehende Netzwerkbedrohungen dadurch zu erkennen, dass unverschlüsselte Pakete bestimmt würden, die zum einen für den Aufbau einer verschlüsselten Kommunikationssitzung verwendet würden und die zum anderen Daten enthalten, die zumindest einem Netzwerkbedrohungsindikator entsprechen. Durch den Abgleich – d.h. die Korrelation – der verschlüsselten Pakete mit den Protokolldaten der zuvor bestimmten unverschlüsselten Pakete könne sodann auf eine Netzwerkbedrohung durch die verschlüsselten Pakete geschlossen werden. Einer Entschlüsselung wie im Stand der Technik bedürfe es nicht mehr.
Technisch-funktional verlange das „Filtern“ die Anwendung von Regeln auf empfangene Datenpakete mit dem Ziel, solche Pakete aus dem Datenstrom zu identifizieren, die Daten umfassen, die den vorgegebenen Netzwerkbedrohungsindikatoren entsprechen. Netzwerkbedrohungsindikatoren seien dementsprechend bestimmte Daten oder Werte für einen Datentyp oder ein Datenfeld, die geeignet seien, auf eine Netzwerkbedrohung hinzuweisen. Datenfelder oder Datentypen als solche, die in den Datenpaketen unterschiedslos vorhanden seien, seien nicht als Netzwerkbedrohungsindikatoren anzusehen. In zeitlicher Hinsicht sei erforderlich, dass die Bestimmung von unverschlüsselten Datenpaketen, die einem Netzwerkbedrohungsindikator entsprechen, zeitlich vor dem Erzeugen der Protokolldaten erfolge. Anhand der erzeugten Protokolldaten sei es anschließend möglich, Pakete mit verschlüsselten und Pakete mit unverschlüsselten Daten derart zu korrelieren, dass aus dem Wissen über die Pakete mit unverschlüsselten Daten Erkenntnisse über Pakete mit verschlüsselten Daten gewonnen werden können, ohne sie entschlüsseln zu müssen. Solchermaßen könne bestimmt werden, welche derjenigen Pakete, die verschlüsselte Daten umfassen, Daten umfassen, die einem oder mehreren der Netzwerkbedrohungsindikatoren entsprechen.
Ausgehend von dieser Auslegung des Klagepatents sei die angegriffene Ausführungsform nicht geeignet, das erfindungsgemäße Verfahren anzuwenden. So sei nicht erkennbar, dass die angegriffene Ausführungsform geeignet sei, Datenpakete mit unverschlüsselten Daten, die einem Nezwerkbedrohungsindikator entsprechen, von solchen unverschlüsselten Daten zu unterscheiden, die keinem Netzwerkbedrohungsindikator entsprechen. Bei den O handele es sich zwar um Protokolldaten, diese würden aber – gemeinsam mit den I Telemetriedaten – unstreitig für alle Datenflüsse gesammelt, die durch den entsprechenden Router oder Switch liefen. Selbst wenn es im Nachgang zur Erstellung der O zu einer Bestimmung von Paketen kommen sollte, deren Daten einem Netzwerkbedrohungsindikator entsprechen, so basierten die O jedenfalls nicht auf dieser Bestimmung. Die Bedrohungserkennung durch die H-Komponente des D finde basierend auf den O und damit grundsätzlich nach der Erzeugung der Protokolldaten statt.
Wegen der weiteren tatsächlichen Feststellungen und der Begründung wird auf das Urteil des Landgerichts vom 28.12.2022 Bezug genommen, § 540 Abs. 1 Nr. 1 ZPO.
Gegen dieses Urteil richtet sich die Berufung der Klägerin, mit der diese ihr in erster Instanz erfolglos gebliebenes Klagebegehren weiterverfolgt. Unter Wiederholung und Vertiefung ihres erstinstanzlichen Vortrags macht sie geltend:
Das Landgericht habe die Lehre des Klagepatents rechtsfehlerhaft zu eng ausgelegt. Der Kern der patentgemäßen Lehre bestehe darin, Datenpakete nach ihrer Zugehörigkeit zu einer bestimmten Kommunikationssitzung zu sortieren, um Bedrohungen in verschlüsselten Datenpaketen ohne Entschlüsselung erkennen zu können. Hierzu würden zunächst Protokolldaten von unverschlüsselten Datenpaketen erstellt, die nachfolgend die Basis dafür bildeten, verschlüsselte Datenpakete zu korrelieren und sie der richtigen Kommunikationssitzung zuzuordnen. Diese Sortierung der Datenpakete nach Kommunikationssitzungen ermögliche es einem Administrator im Falle einer tatsächlichen Bedrohungslage, bestimmte Kommunikationssitzungen zwischen zwei Hosts zu unterbrechen, in Quarantäne zu versetzen oder in einer bestimmten Art und Weise zu überwachen bzw. zu protokollieren. Auf die Erkennung einer spezifischen Bedrohung komme es dabei nicht an. Wenn eine Netzwerkbedrohung festgestellt werde, erlaube es das erfindungsgemäße Verfahren, diejenigen Datenpakete „aufzuspüren“, die mit dieser Netzwerkbedrohung (wahrscheinlich) verknüpft seien.
Das Landgericht habe bei seiner Auslegung des Klagepatents übersehen, dass sich die Bedrohungseinschätzung ändern könne. In einem solchen Fall müsse der Administrator auch nachträglich in der Lage sein, auf bestimmte Kommunikationssitzungen zuzugreifen. Der Anspruch gebe deshalb gerade nicht vor, dass es auch Pakete geben müsse, die nicht anhand eines Netzwerkbedrohungsindikators erfasst werden. Funktional wäre dies nachteilig, weil so auf erst nachträglich erkannte Bedrohungssituationen nicht angemessen reagiert werden könne. Der Begriff des Netzwerkbedrohungsindikators sei deshalb erfindungsgemäß nicht auf Werte oder bestimmte Daten beschränkt, um potenziell gefährliche von unbedenklichen zu unterscheiden. Das Klagepatent wolle vielmehr ganz allgemein sicherstellen, dass ein verschlüsseltes Datenpaket anhand eines Netzwerkbedrohungsindikators wiedererkannt werden könne. Würde man demgegenüber Daten nur für aktuelle, bereits existierende bzw. bekannte Bedrohungen erfassen, wäre das Sicherheitssystem in höchstem Maße unflexibel und lückenhaft.
Aus diesem Grund sei es für die Verwirklichung der erfindungsgemäßen Lehre unbeachtlich, wenn das angegriffene Paketfiltersystem für alle Datenpakete Protokolldaten erzeuge. Entscheidend sei lediglich, dass das System die Datenpakete nach den vorgegebenen Schritten filtere. Aus funktionaler Sicht könne eine Verarbeitung sämtlicher Datenpakete nur da aus der Verletzung herausführen, wo eine erfindungsgemäße Korrelation von verschlüsselten mit unverschlüsselten Datenpaketen – etwa aufgrund unterschiedsloser Daten – nicht möglich sei.
Bei richtiger Auslegung des Klagepatents verwirkliche die angegriffene Ausführungsform sämtliche Merkmale der Vorrichtungsansprüche 14 und 15. Die O seien erfindungsgemäße Protokolldaten. Es sei unschädlich, dass die angegriffene Ausführungsform für sämtliche Datenpakete Protokolldaten erzeuge. Entscheidend sei allein, dass aufgrund dieser Daten eine erfindungsgemäße Korrelation vorgenommen werden könne.
Die Klägerin behauptet, sie habe das Klagepatent durch Patentübertragungsvertrag vom 26.01.2023 (Anlage KAP 44) auf die B übertragen und dieser sämtliche Rechte aus dem Klagepatent, insbesondere Schadensersatzansprüche, Auskunfts- und Rechnungslegungsansprüche auch für die Vergangenheit, abgetreten. Ein rechtskräftiges Urteil in dieser Sache werde sich in seiner Rechtskraft auch auf die B erstrecken, da Herr P zugleich COO der Klägerin und Managing Director der B sei, sodass letztere bezüglich des rechtshängigen Verfahrens im Zeitpunkt der Patent-übertragung nicht gutgläubig gewesen sei.
Die sich aus dem Klagepatent ergebenden Ansprüche macht die Klägerin in zweiter Instanz in Prozessstandschaft für die B geltend und
beantragt,
I.
auf ihre Berufung das Urteil des Landgerichts Düsseldorf vom 28.12.2022 (Az. 4b O 72/21) abzuändern und die Beklagten zu verurteilen,
1.
es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes jeweils bis zu EUR 250.000,00 — ersatzweise Ordnungshaft — oder einer Ordnungshaft bis zu 6 Monaten, im Fall wiederholter Zuwiderhandlung bis zu insgesamt 2 Jahren, wobei die Ordnungshaft an den gesetzlichen Vertretern der Beklagten zu vollziehen ist,
zu u n t e r l a s s e n,
a)
Paketfiltervorrichtungen mit zumindest einem Prozessor und Speicher, der Anweisungen speichert,
in der Bundesrepublik Deutschland anzubieten, in Verkehr zu bringen oder zu gebrauchen oder zu den genannten Zwecken einzuführen oder zu besitzen,
wobei die Anweisungen, wenn sie durch den zumindest einen Prozessor ausgeführt werden, die Paketfiltervorrichtung dazu veranlassen, das folgende Verfahren durchzuführen:
Empfangen, durch ein Paketfiltersystem, das konfiguriert ist, um Pakete gemäß einer Vielzahl von Paketfilterregeln entsprechend einer Vielzahl von Netzwerkbedrohungsindikatoren zu filtern, einer Vielzahl von Paketen;
Identifizieren von Paketen, die unverschlüsselte Daten umfassen, wobei ein oder mehrere Pakete der Pakete, die unverschlüsselte Daten umfassen, Daten umfassen, die konfiguriert sind, um eine verschlüsselte Kommunikationssitzung zwischen einem ersten Host und einem zweiten Host herzustellen;
Bestimmen von identifizierten Paketen, die unverschlüsselte Daten umfassen, die zumindest einem aus der Vielzahl der Netzwerkbedrohungsindikatoren entsprechen;
Erzeugen, basierend auf der Vielzahl von Paketfilterregeln, von Protokolldaten der identifizierten Pakete, die unverschlüsselte Daten umfassen, die zumindest einem aus der Vielzahl der Netzwerkbedrohungsindikatoren entsprechen;
Identifizieren von Paketen, die verschlüsselte Daten umfassen; und
Korrelieren, basierend auf den Protokolldaten der identifizierten Pakete, die unverschlüsselte Daten umfassen, die zumindest einem aus der Vielzahl von Netzwerkbedrohungsindikatoren entsprechen, von Paketen, die verschlüsselte Daten umfassen, die zumindest einem aus der Vielzahl von Netzwerkbedrohungsindikatoren entsprechen; undWeiterleiten, durch das Paketfiltersystem, von gefilterten Paketen an ein Proxy-System basierend auf einer Bestimmung, dass die gefilterten Pakete Daten umfassen, die zumindest einem aus der Vielzahl von Netzwerkbedrohungsindikatoren entsprechen;
(unmittelbare Verletzung Anspruch 14, EP 3 395 XXA)
b)
eine oder mehrere nicht flüchtige, von einem Computer lesbare Medien mit darauf gespeicherten Anweisungen,
in der Bundesrepublik Deutschland anzubieten, in Verkehr zu bringen oder zu gebrauchen oder zu den genannten Zwecken einzuführen oder zu besitzen,
wobei die Anweisungen, wenn sie durch zumindest einen Prozessor eines Paketfiltersystems ausgeführt werden, das Paketfiltersystem dazu veranlassen, das folgende Verfahren durchzuführen:
Empfangen, durch ein Paketfiltersystem (200), das konfiguriert ist, um Pakete gemäß einer Vielzahl von Paketfilterregeln entsprechend einer Vielzahl von Netzwerkbedrohungsindikatoren zu filtern, einer Vielzahl von Paketen;
Identifizieren von Paketen, die unverschlüsselte Daten umfassen, wobei ein oder mehrere Pakete der Pakete, die unverschlüsselte Daten umfassen, Daten umfassen, die konfiguriert sind, um eine verschlüsselte Kommunikationssitzung zwischen einem ersten Host und einem zweiten Host herzustellen;
Bestimmen von identifizierten Paketen, die unverschlüsselte Daten umfassen, die zumindest einem aus der Vielzahl der Netzwerkbedrohungsindikatoren entsprechen;
Erzeugen, basierend auf der Vielzahl von Paketfilterregeln, von Protokolldaten der identifizierten Pakete, die unverschlüsselte Daten umfassen, die zumindest einem aus der Vielzahl der Netzwerkbedrohungsindikatoren entsprechen;
Identifizieren von Paketen, die verschlüsselte Daten umfassen; und
Korrelieren, basierend auf den Protokolldaten der identifizierten Pakete, die unverschlüsselte Daten umfassen, die zumindest einem aus der Vielzahl von Netzwerkbedrohungsindikatoren entsprechen, von Paketen, die verschlüsselte Daten umfassen, die zumindest einem aus der Vielzahl von Netzwerkbedrohungsindikatoren entsprechen; undWeiterleiten, durch das Paketfiltersystem, von gefilterten Paketen an ein Proxy-System basierend auf einer Bestimmung, dass die gefilterten Pakete Daten umfassen, die zumindest einem aus der Vielzahl von Netzwerkbedrohungsindikatoren entsprechen;
(unmittelbare Verletzung Anspruch 15, EP 3 395 XXA)
2.
gegenüber der B in einer chronologisch geordneten und nach Jahren und Typen gegliederten Aufstellung darüber Auskunft zu erteilen, in welchem Umfang sie (die Beklagten) die zu I. 1. bezeichneten Handlungen seit dem 03.02.2021 begangen haben, und zwar unter Angabe
a)
der Namen und der Anschriften der Hersteller, Lieferanten und anderer Vorbesitzer,
b)
der Namen und Anschriften der gewerblichen Abnehmer und Verkaufsstellen, für welche die Erzeugnisse bestimmt waren,
c)
der Menge der ausgelieferten, erhaltenen oder bestellten Er-zeugnisse sowie über die Preise, die für die betreffenden Er-zeugnisse bezahlt wurden;
wobei
− zum Nachweis der Angaben die entsprechenden Kaufbelege (nämlich Rechnungen, hilfsweise Lieferscheine) in Kopie vorzulegen sind,
− geheimhaltungsbedürftige Details außerhalb der auskunftspflichtigen Daten geschwärzt werden dürfen,
− die Aufstellung mit den Daten der Auskunft in einer mittels EDV auswertbaren, elektronischen Form zu übermitteln ist;
3.
gegenüber der B in einer chronologisch geordneten und nach Jahren und Typen gegliederten Aufstellung darüber Rechnung zu legen, in welchem Umfang sie (die Beklagten) die zu I. 1. bezeichneten Handlungen seit dem 03.03.2021 begangen haben, und zwar unter der Angabe
a)
der einzelnen Lieferungen, aufgeschlüsselt nach Liefermengen, -zeiten und preisen und den jeweiligen Typenbezeichnungen sowie der Namen und Anschriften der Abnehmer, einschließlich der Verkaufsstellen für die die Erzeugnisse bestimmt waren,
b) der einzelnen Angebote, aufgeschlüsselt nach Angebotsmengen, -zeiten und - preisen und den jeweiligen Typenbezeichnungen sowie den Namen und Anschriften der gewerblichen Angebotsempfänger,
c) der betriebenen Werbung, aufgeschlüsselt nach Werbeträgern, deren Auflagenhöhe, Verbreitungszeitraum und Verbreitungsgebiet, im Falle von Internet-Werbung der Domain, den Zugriffszahlen und der Schaltungszeiträume, und bei direkter Werbung, wie Rundbriefen, den Namen und Anschriften der Empfänger,
d) der nach den einzelnen Kostenfaktoren aufgeschlüsselten Gestehungskosten und des erzielten Gewinns,
wobei
− die Aufstellung mit den Daten der Rechnungslegung in einer mittels EDV auswertbaren, elektronischen Form zu übermitteln ist; und
− es den Beklagten vorbehalten bleibt, die Namen und Anschriften der nicht gewerblichen Abnehmer und der Angebotsempfänger statt der B einem von dieser zu bezeichnenden und ihr gegenüber zur Verschwiegenheit verpflichteten, in der Bundesrepublik Deutschland ansässigen, vereidigten Wirtschaftsprüfer mitzuteilen, sofern die Beklagten dessen Kosten tragen und ihn zugleich ermächtigen und verpflichten, der B auf konkrete Anfrage mitzuteilen, ob ein bestimmter Abnehmer oder Angebotsempfänger in der Aufstellung enthalten ist;
4.
die unter I.1. bezeichneten, seit dem 03.02.2021 in Verkehr gebrachten Vorrichtungen gegenüber den gewerblichen Abnehmern unter Hinweis darauf, dass der Senat mit seinem Urteil eine Verletzung des Klagepatents ausgesprochen hat, mit der verbindlichen Zusage aus den Vertriebswegen zurückzurufen, etwaige Entgelte zu erstatten sowie notwendige Verpackungs- und Transportkosten sowie mit der Rückgabe der Vorrichtungen verbundene Zoll- und Lagerkosten zu übernehmen und die Vorrichtungen wieder an sich zu nehmen;
5.
die unter I.1. bezeichneten, seit dem 03.02.2021 in Verkehr gebrachten Vorrichtungen endgültig aus den Vertriebswegen zu entfernen, wobei insbesondere die folgenden Maßnahmen zu ergreifen sind:
a)
die Beklagten haben alle möglichen und zumutbaren Maßnahmen zu ergreifen, um die Standorte und die Besitzer über die unter I.1. bezeichneten Vorrichtungen zu ermitteln;
b)
soweit die Beklagten selbst rechtliche oder tatsächliche Verfügungsgewalt über die unter I.1. bezeichneten Vorrichtungen innehaben, müssen die rechtlich zulässigen und zumutbaren Maßnahmen ergriffen werden, damit diese Vorrichtungen in den unmittelbaren Besitz der Beklagten gelangen und dort verbleiben;
c) soweit die Beklagten weder rechtliche noch tatsächliche Verfügungsgewalt über die unter I.1. bezeichneten Vorrichtungen innehaben, müssen sie alle rechtlich zulässigen und zumutbaren Maßnahmen ergreifen, um die Personen, die Ansprüche auf Herausgabe oder Vernichtung gegen die Inhaber der Verfügungsgewalt der Vorrichtungen innehaben, zur Geltendmachung dieser Ansprüche veranlassen und/oder diese Personen bei der Geltendmachung dieser Ansprüche zu unterstützen;
6. nur die Beklagte zu 2.: die in der Bundesrepublik Deutschland in ihrem unmittelbaren oder mittelbaren Besitz und/oder Eigentum befindlichen, oben unter I.1. bezeichneten Vorrichtungen auf eigene Kosten zu vernichten oder nach ihrer Wahl an einen von der B zu benennenden Gerichtsvollzieher zum Zwecke der Vernichtung auf ihre – der Beklagten zu 2. – Kosten herauszugeben;
II. festzustellen, dass die Beklagten verpflichtet sind, der B allen Schaden zu ersetzen, der der Klägerin durch die unter I.1. bezeichneten und im Zeitraum vom dem 03.03.2021 bis zum 25.01.2023 begangenen Handlungen entstanden ist und der B durch die unter I.1. bezeichneten und im Zeitraum seit dem 26.01.2023 entstanden ist und noch entstehen wird.
Die Beklagten beantragen,
die Berufung zurückzuweisen,
hilfsweise, den Rechtsstreit bis zur rechtskräftigen Entscheidung über den Einspruch (Az. 16840343.4 – 1213/3395043) gegen das Klagepatent auszusetzen.
Sie verteidigen das angefochtene Urteil und treten den Ausführungen der Klägerin unter Wiederholung und Vertiefung ihres erstinstanzlichen Vorbringens wie folgt entgegen:
Das Landgericht habe das Klagepatent in seinem Urteil zutreffend ausgelegt. Die Lehre des Klagepatents befasse sich keineswegs allgemein mit der Sortierung von Datenpaketen nach ihrer Zugehörigkeit zu einer bestimmten Kommunikationssitzung, sondern vielmehr mit dem Erkennen verschlüsselter Datenpakete, die eine potentielle Bedrohung für ein Netzwerk darstellen. Zu diesem Zweck sehe das Klagepatent zunächst vor, unverschlüsselte Datenpakete zu erkennen, die potentiell gefährlich seien. Für diese als potentiell gefährlich erkannten unverschlüsselten Datenpakete würden sodann Protokolldaten erzeugt. Durch eine Korrelation von verschlüsselten Datenpaketen, die man wegen ihrer Verschlüsselung nicht unmittelbar als potenziell gefährlich erkennen könne, mit den zuvor erzeugten Protokolldaten der potenziell gefährlichen unverschlüsselten Datenpakete lasse sich indirekt feststellen, welche verschlüsselten Datenpakete potenziell gefährlich seien. Diese „gefilterten“ Datenpakete würden dann an ein Proxy-System weitergeleitet, z.B. zur weiteren Analyse.
Die Protokolldaten würden dabei basierend auf einer Vielzahl von Paketfilterregeln erzeugt, die wiederum als Filterkriterium sog. Netzwerkbedrohungsindikatoren verwenden würden. Dabei handele es sich z.B. um eine als gefährlich bekannte Internetadresse oder Domain. Das erfindungsgemäße „Filtern“ verlange zwingend eine Unterscheidung zwischen ungefährlichen und potenziell gefährlichen Datenpaketen, der eine Auswahlentscheidung dergestalt nachfolge, dass Protokolldaten selektiv für potenziell gefährliche (unverschlüsselte) Datenpakete erzeugt würden. Der die potenzielle Bedrohung anzeigende Netzwerkbedrohungsindikator müsse zu diesem Zweck eine konkret benannte Bedrohung anzeigen; nicht ausreichend sei demgegenüber die abstrakte Möglichkeit, dass ein bestimmter Datentyp (wie beispielsweise eine IP-Adresse als solche) auf mögliche Bedrohungen (in der Zukunft) hinweisen könne. Dieses Verständnis werde durch Abs. [0001] der Klagepatentschrift bestätigt, der beschreibe, dass Netzwerkbedrohungsdienste Listen von als gefährlich erkannten Netzwerkadressen, Domainnamen, Uniform Resource Identifier, URIs usw. bereitstellen, um die Identifizierung von konkreten Netzwerkbedrohungen zu ermöglichen.
Soweit die Klägerin demgegenüber die Auffassung vertrete, der Bezug zu einer konkreten Gefahr könne auch erst nach der erfindungsgemäßen Korrelation hergestellt werden, widerspreche dies der im Anspruchswortlaut klar vorgegebenen Abfolge der einzelnen Verfahrensschritte. Verstehe man den Netzwerkbedrohungsindikator rein abstrakt, so könne anhand der erfindungsgemäßen Korrelation nicht bestimmt werden, welche verschlüsselten Datenpakete potenziell gefährlich seien. In der Folge müssten dann nicht nur die potenziell gefährlichen Datenpakete an das Proxy-System weitergeleitet werden, sondern sämtliche Pakete; hierin aber liege keine erfindungsgemäße „Paketfilterung“.
Der Auslegung des Landgerichts folgend verwirkliche die angegriffene Ausführungsform die klagepatentgemäße Lehre nicht. Die Erstellung der angegriffenen O und der I Telemetriedaten erfolge ohne die Anwendung von Paketfilterregeln.
Wegen der weiteren Einzelheiten des Sach- und Streitstandes wird auf den Inhalt der Gerichtsakten nebst Anlagen Bezug genommen.
B.
Die Berufung der Klägerin ist zwar zulässig, aber unbegründet. Zu Recht hat das Landgericht mit dem angefochtenen Urteil eine Verletzung des Klagepatents verneint und die Klage abgewiesen.
I.
Es kann dahinstehen, ob die Klägerin gemäß § 265 Abs. 2 S. 1 ZPO auch nach der am 05.04.2023 erfolgten Eintragung der B als neue Inhaberin des Klagepatents im Patentregister weiterhin zur Prozessführung befugt ist und ob sie oder aber die B aktiv legitimiert sind, die streitbefangenen Ansprüche geltend zu machen. Hierauf kommt es nicht an, weil der Senat nicht feststellen kann, dass die angegriffene Ausführungsform von der Lehre der Klagepatentansprüche 14 und/oder 15 wortsinngemäß Gebrauch macht.
II.
Das Klagepatent betrifft ein Verfahren zur regelbasierten Netzwerk-Bedrohungserkennung für verschlüsselte Kommunikation, eine entsprechende Paketfiltervorrichtung sowie nicht-transitorische computerlesbare Medien, deren Anweisungen die Paketfiltervorrichtung dazu veranlassen, das erfindungsgemäße Verfahren auszuführen.
1.
Wie die Klagepatentschrift in ihrer Einleitung (Abs. [0001]) ausführt, gewinnt die Netzwerksicherheit zunehmend an Bedeutung. Netzwerkbedrohungen sind in unterschiedlicher Form bekannt, z.B. unbefugte Anfragen oder Datenübertragungen, Viren, Malware, große Mengen an Datenverkehr etc.. Von Netzwerkbedrohungsdien-sten werden Informationen über bekannte Netzwerkbedrohungen wie z.B. Berichte mit Auflistungen von Indikatoren für Netzwerkbedrohungen (Netzwerkadressen, Domainnamen, Uniform Resource Identifiers, usw.) zur Verfügung gestellt, die zur Identifizierung von Netzwerkbedrohungen verwendet werden können. Erfolgt die Kommunikation verschlüsselt, können relevante Indikatoren zur Erkennung von Bedrohungen jedoch verschleiert sein. Hieraus resultiert ein Bedarf an regelbasierter Erkennung von Netzwerkbedrohungen für verschlüsselte Kommunikation.
Die Klagepatentschrift benennt in ihrem Abs. [0001] zwei Schriften aus dem Stand der Technik, die sich mit eben diesem Bedarf befassen. So offenbart die US 2014/0317397 (Anlage KAP 8) eine Vorrichtung innerhalb eines Netzwerks, die verschlüsselten Datenverkehr selektiv entschlüsselt und auf Bedrohungen hin untersucht. Nachteilig an dieser Lösung ist, dass der Datenverkehr zur Erkennung von Bedrohungen erst entschlüsselt werden muss, was Zeit kostet und Netzwerkressourcen verbraucht (vgl. Schriftsatz der Klägerin vom 22.06.2021, S. 16, Bl. 1041 e-Akte LG). Die US 2014/0283004 (Anlage KAP 9) offenbart ein Paketsicherheits-Gateway („packet security gateway“), das eine regelbasierte Bedieneroperation auf einen Teil von Datenpaketen anwendet, wenn dieser Teil von Datenpaketen Werte aufweist, die einer gespeicherten Regel entsprechen.
Ein konkretes zu lösendes Problem wird in der Beschreibung des Klagepatents nicht ausdrücklich formuliert. Ausgehend von dem in der Klagepatentschrift benannten Bedarf an regelbasierter Erkennung von Netzwerkbedrohungen für verschlüsselte Kommunikation und dem zitierten Stand der Technik erkennt der Fachmann – ein Diplom-Ingenieur der Nachrichtentechnik, Elektrotechnik und/oder Informatik, der über mehrjährige Berufserfahrung und Kenntnisse auf dem Gebiet paketbasierter und verschlüsselter Kommunikationsnetze verfügt und mit Techniken der Netzwerksicherheit, wie regelbasierter Paketfilterung, betraut ist – aber, dass die dem Klagepatent zugrunde liegende objektive Aufgabe darin zu sehen ist, die regelbasierte Erkennung von Netzwerkbedrohungen für verschlüsselte Kommunikation zu verbessern (genauso: Schriftsatz der Klägerin vom 22.06.2021, S. 16, Bl. 1041 e-Akte LG).
Zur Lösung der so umschriebenen Problemstellung schlägt das Klagepatent – neben dem im unabhängigen Anspruch 1 beschriebenen Verfahren – in seinen in diesem Rechtsstreit streitgegenständlichen Ansprüchen 14 und 15 eine Paketfiltervorrichtung bzw. ein computerlesbares Medium mit folgenden Merkmalen vor:
Anspruch 14:
1. Paketfiltervorrichtung, umfassend:
1.1 zumindest einen Prozessor und
1.2 einen Speicher, der Anweisungen speichert.
2. Die Anweisungen veranlassen, wenn sie durch den zumindest einen Prozessor ausgeführt werden, die Paketfiltervorrichtung dazu, ein Verfahren durchzuführen, umfassend:
2.1 Empfangen einer Vielzahl von Paketen durch ein Paketfiltersystem (200);
2.1.1 das Paketfiltersystem (200) ist konfiguriert, um Pakete gemäß einer Vielzahl von Paketfilterregeln entsprechend einer Vielzahl von Netzwerkbedrohungsindikatoren zu filtern;
2.2 Identifizieren von Paketen, die unverschlüsselte Daten umfassen;
2.2.1 ein oder mehrere Pakete der Pakete, die unverschlüsselte Daten umfassen, sind konfiguriert, um eine verschlüsselte Kommunikationssitzung zwischen einem ersten Host und einem zweiten Host herzustellen;
2.3 Bestimmen von identifizierten Paketen, die unverschlüsselte Daten umfassen,
2.3.1 die zumindest einem aus der Vielzahl von Netzwerkbedrohungsindikatoren entsprechen;
2.4 Erzeugen, basierend auf der Vielzahl von Paketfilterregeln, von Protokolldaten der identifizierten Pakete, die unverschlüsselte Daten umfassen,
2.4.1. die zumindest einem aus der Vielzahl der Netzwerkbedrohungsindikatoren entsprechen,
2.5 Identifizieren von Paketen, die verschlüsselte Daten umfassen;
2.6 Korrelieren von Paketen, die verschlüsselte Daten umfassen,
2.6.1 die zumindest einem aus der Vielzahl von Netzwerkbedrohungsindikatoren entsprechen,
2.6.2 basierend auf den Protokolldaten der identifizierten Pakete, die unverschlüsselte Daten umfassen, die zumindest einem aus der Vielzahl von Netzwerkbedrohungsindikatoren entsprechen; und
2.7 Weiterleiten von gefilterten Paketen durch das Paketfiltersystem an ein Proxy-System
2.7.1. basierend auf einer Bestimmung, dass die gefilterten Pakete Daten umfassen, die zumindest einem aus der Vielzahl von Netzwerkbedrohungsindikatoren entsprechen.
Anspruch 15:
1. Ein oder mehrere nichtflüchtige, computerlesbare Medien, die Anweisungen umfassen;
2. die Anweisungen veranlassen, wenn sie durch den zumindest einen Prozessor eines Paketfiltersystems ausgeführt werden, die Paketfiltervorrichtung dazu, ein Verfahren durchzuführen, umfassend:
2.1 Empfangen einer Vielzahl von Paketen durch ein Paketfiltersystem (200)
2.1.1 das Paketfiltersystem (200) ist konfiguriert, um Pakete gemäß einer Vielzahl von Paketfilterregeln entsprechend einer Vielzahl von Netzwerkbedrohungsindikatoren zu filtern;
2.2 Identifizieren von Paketen, die unverschlüsselte Daten umfassen;
2.2.1 ein oder mehrere Pakete der Pakete, die unverschlüsselte Daten umfassen, sind konfiguriert, um eine verschlüsselte Kommunikationssitzung zwischen einem ersten Host und einem zweiten Host herzustellen;
2.3 Bestimmen von identifizierten Paketen, die unverschlüsselte Daten umfassen,
2.3.1 die zumindest einem aus der Vielzahl von Netzwerkbe-drohungsindikatoren entsprechen;
2.4 Erzeugen, basierend auf der Vielzahl von Paketfilterregeln, von Protokolldaten der identifizierten Pakete, die unverschlüsselte Daten umfassen,
2.4.1 die zumindest einem aus der Vielzahl der Netzwerkbedrohungsindikatoren entsprechen;
2.5 Identifizieren von Paketen, die verschlüsselte Daten umfassen;
2.6 Korrelieren von Paketen, die verschlüsselte Daten umfassen,
2.6.1 die zumindest einem aus der Vielzahl von Netzwerkbedrohungsindikatoren entsprechen,
2.6.2 basierend auf den Protokolldaten der identifizierten Pakete, die unverschlüsselte Daten umfassen, die zumindest einem aus der Vielzahl von Netzwerkbedrohungsindikatoren entsprechen; und
2.7 Weiterleiten von gefilterten Paketen durch das Paketfiltersystem an ein Proxy-System
2.7.1 basierend auf einer Bestimmung, dass die gefilterten Pakete Daten umfassen, die zumindest einem aus der Vielzahl von Netzwerkbedrohungsindikatoren entsprechen.
2.
Dem Klagepatent liegt – wie bereits dargestellt – das technische Problem zugrunde, dass Datenpakete, die einen verschlüsselten Teil enthalten und über eine verschlüsselte Kommunikationssitzung gesendet werden, aufgrund der Verschlüsselung nicht direkt mit Netzwerkbedrohungsindikatoren verglichen werden können. Die klagepatentgemäße Lehre sucht die aus dem Stand der Technik bekannte regelbasierte Erkennung von Netzwerkbedrohungen dahingehend zu verbessern, dass eine zeit- und ressourcenaufwendige Entschlüsselung verschlüsselter Datenpakete vermieden wird, indem verschlüsselte Datenpakete mit unverschlüsselten Datenpaketen derart korreliert werden, dass von dem Inhalt der unverschlüsselten Datenpakete auf mögliche Netzwerkbedrohungen durch verschlüsselte Datenpakete rückgeschlossen werden kann (so auch die Klägerin in ihrer Berufungsbegründung vom 28.03.2023, S. 6 letzter Absatz, Bl. 143 eAkte).
Die Erfindung beruht dabei auf der Erkenntnis, dass verschlüsselte Kommunikation durch Datenpakete aufgebaut wird, die unverschlüsselte Daten umfassen. Diese unverschlüsselten Daten können auf mögliche Netzwerkbedrohungsindikatoren hin untersucht werden, die dann wiederum – mittels Protokolldaten – der unter Verwendung der unverschlüsselten Daten aufgebauten verschlüsselten Kommunikation zugeordnet werden können. Auf diese Weise können nach der erfindungsgemäßen Lehre mögliche Netzwerkbedrohungen durch verschlüsselten Datenverkehr erkannt werden, ohne diesen entschlüsseln zu müssen.
a)
Das nach Anspruch 1 geschützte Verfahren wird in den streitgegenständlichen Vorrichtungsansprüchen 14 und 15 jeweils durch die Paketfiltervorrichtung bzw. das Paketfiltersystem ausgeführt. In Anspruch 14 wird die Paketfiltervorrichtung selbst unter Schutz gestellt, von Anspruch 15 werden nichtflüchtige, computerlesbare Medien erfasst, die Anweisungen umfassen, die durch einen Prozessor eines Paketfiltersystems ausgeführt werden. Beide Vorrichtungsansprüche setzen damit in ihren Merkmalen 1 und 2 (Anspruch 14) bzw. in ihrem Merkmal 2 (Anspruch 15) zunächst eine Vorrichtung voraus, die entsprechend Merkmal 2.1.1 geeignet ist, Datenpakete gemäß einer Vielzahl von Paketfilterregeln zu filtern. Dies geschieht durch Anwendung des in Anspruch 1 geschützten Verfahrens, das – vereinfacht dargestellt – folgende wesentliche Schritte umfasst:
1. Empfangen einer Vielzahl von (Daten-) Paketen durch ein Paketfiltersystem,
2. Identifizieren solcher Pakete, die unverschlüsselte Daten enthalten und dem Aufbau einer verschlüsselten Kommunikationssitzung dienen,
3. Bestimmen solcher Pakete unter den identifizierten unverschlüsselten Paketen (gemäß Schritt 2), deren Daten Netzwerkbedrohungsindikatoren entsprechen,
4. Erzeugen von Potokolldaten dieser (nach Schritt 3.) bestimmten Pakete,
5. Identifizieren von Paketen mit verschlüsselten Daten,
6. Korrelieren dieser Pakete mit verschlüsselten Daten auf der Grundlage der erstellten Protokolldaten (aus Schritt 4),
7. Weiterleiten der gefilterten Pakete an ein Proxy-System.
Patentansprüche, die ein mehrstufiges Verfahren betreffen, sind grundsätzlich dahin auszulegen, dass die Verfahrensschritte in der angegebenen Reihenfolge zu absolvieren sind (Scharen in Benkard, Patentgesetz, 12. Auflage 2023, § 14 Rn 47; so wohl auch die Klägerin in ihre Berufungsreplik vom 26.10.2023, S. 16 Rn 47, Bl. 381 eAkte). Dieser Grundsatz erfährt nur dann eine Ausnahme, wenn sich aus dem bei der Auslegung heranzuziehenden weiteren Inhalt der Patentschrift hinreichende Anhaltspunkte für ein abweichendes Verständnis ergeben (BGH, GRUR 2015, 159 Rn. 33 – Zugriffsrechte).
Solche Anhaltspunkte sind der Klagepatentschrift nicht zu entnehmen. Vielmehr gibt das Klagepatent durch die jeweilige Bezugnahme auf vorherige Verfahrensschritte eine bestimmte Verfahrensabfolge zwingend vor. Nach dem Empfangen von Paketen (Merkmal 2.1) erfolgt zunächst die Identifizierung von Paketen, die unverschlüsselte Daten umfassen, wobei unter diesen Datenpaketen wiederum nur solche herausgefiltert werden, die so konfiguriert sind, dass sie eine verschlüsselte Kommunikationssitzung zwischen einem ersten und einem zweiten Host herstellen (Merkmal 2.2 einschließlich 2.2.1). Denn nur diese Datenpakete sind im Anschluss von Bedeutung, um etwaige Netzwerkbedrohungen in verschlüsselten Datenpaketen aufspüren zu können. Zu diesem Zweck werden aus den nach Merkmal 2.2 identifizierten Datenpaketen gemäß Merkmal 2.3 wiederum diejenigen Pakete bestimmt, die gemäß Merkmal 2.3.1 zumindest einem aus der Vielzahl von Netzwerkbedrohungsindikatoren entsprechen. „Bestimmen“ bedeutet auch hier „identifizieren“. Beide Begriffe werden im Klagepatent synonym benutzt und basieren auf dem Umstand, dass die anspruchsgemäße Paketfiltervorrichtung eine Vorrichtung ist, die es sich zum Ziel gesetzt hat, zu filtern / zu unterscheiden / auszuwählen. Ob ein im Sinne von Merkmal 2.2 identifiziertes Datenpaket mit unverschlüsselten Daten nach Merkmal 2.3 bestimmt wird, hängt davon ab, ob es die in Merkmal 2.3.1 enthaltene Vorgabe erfüllt oder nicht. Das Kriterium bzw. die Regelung für die Filterung ist die in diesem Merkmal genannte Übereinstimmung mit zumindest einem Netzwerkbedrohungsindikator.
Für die nach Merkmal 2.3 bestimmten Pakete werden sodann gemäß Merkmal 2.4 Protokolldaten erzeugt und zwar basierend auf der Vielzahl von Paketfilterregeln, wobei eben diejenigen Pakete betroffen sind, die unverschlüsselte Daten umfassen, die zumindest einem aus der Vielzahl von Netzwerkbedrohungsindikatoren entsprechen (Merkmal 2.4.1). Hierin liegt eine Wiederholung von Merkmal 2.3.1, die klarstellt, dass es sich bei den Netzwerkbedrohungsindikatoren um das entscheidende Filterkriterium für die Paketfilterregeln handelt. Mithilfe der erfindungsgemäßen Paketfilterregeln wird mithin zwischen Paketen unterschieden, die „gefährliche“ Daten enthalten, und solchen, die entsprechende Daten nicht enthalten. Nur für die bestimmten Pakete, die der Paketfilterregel entsprechen, werden nach Merkmal 2.4 Protokolldaten erzeugt. Protokolldaten sind solche Daten, die die zwischengespeicherten Sitzungsstatusinformationen abbilden (vgl. Anlage KAP 45 / B12, Rn 11.7.2, in deutscher Übersetzung Anlage KAP 45a, Bl. 1260 eAkte). Dies können nach Abs. [0018] der Klagepatentschrift z.B. Protokolltypen, Zielnetzwerkadressen, Quellnetzwerkadressen, Signaturen oder Authentifizierungsinformationen sein.
Ob für viele oder wenige anspruchsgemäß bestimmte identifizierte Pakete Protokolldaten erzeugt werden, lässt der Anspruch ebenso offen wie die Frage, ob (andere) Protokolldaten möglicherweise auch für Pakete erzeugt werden, auf die andere Paketfilterregelungen angewendet werden. All dies ist nicht Gegenstand des Anspruchs. Er enthält „nur“, aber eben auch die Vorgabe, dass entsprechend der Merkmale 2.2 bis 2.3.1 gefiltert werden muss und für die so gefilterten Pakete Protokolldaten erzeugt werden. Aufgrund dessen widerspricht ein Verständnis, wonach es nur darauf ankommt, dass für sämtliche unverschlüsselten Daten (unterschiedslos irgendwelche) Protokolldaten erzeugt werden, dem Wortlaut des Anspruchs.
Dieses Verständnis des Klagepatents teilt offenbar auch die Einspruchsabteilung des EPA, wenn sie in ihren unverbindlichen vorläufigen Feststellungen davon ausgeht, dass die dortige D1 nur festlege, dass die verschlüsselten Datenpakete auf der Grundlage der Auswahlregeln (Protokolldaten) ausgewählt würden, aber nicht offenbart werde, dass die Pakete Netzwerkbedrohungsindikatoren entsprechen, bevor sie ausgewählt würden (vgl. Anlage KAP 45 / B12 Rn 11.4.3, in deutscher Übersetzung Anlage KAP 45a, Bl. 1252, 1253 eAkte).
Im nächsten Verfahrensschritt (Merkmal 2.5) werden Pakete identifiziert, die verschlüsselte Daten umfassen. Diese werden sodann nach Merkmal 2.6 einer Korrelation unterzogen und zwar dergestalt, dass als Bezugspunkt die gemäß Merkmal 2.4 erzeugten Protokolldaten verwendet werden (Merkmal 2.6.2). Wie die anspruchsgemäße Korrelation genau funktioniert, erläutert die Klagepatentschrift nicht. Der Anspruchswortlaut fordert insofern nur recht vage eine Korrelation von Paketen mit verschlüsselten Daten „basierend auf den Protokolldaten der identifizierten Pakete“. Dass die Protokolldaten die Basis für die Korrelation bilden, leuchtet dem Fachmann unmittelbar ein, da sie Informationen über den Sitzungsstatus enthalten und bei ihrer Erzeugung die Paketfilterregeln verwendet wurden. Sie erlauben einen Rückschluss von als potentiell gefährlich erkannten unverschlüsselten Datenpaketen auf Datenströme, die dieselbe Sitzung wiederverwenden, darunter eben auch verschlüsselte Pakete (vgl. hierzu auch: Anlage Kap 45 / B12 Rn 11.7.4, in deutscher Übersetzung Anlage KAP 45a, Bl. 1260, 1261 eAkte; Anlage B 16/16a Rn 31, 40). Das Korrelieren erfolgt mit dem Ziel, aus dem Vergleich zwischen den als potentiell bedrohlich erkannten unverschlüsselten Datenpaketen und den verschlüsselten Datenpaketen eine Aussage darüber abzuleiten, welche der verschlüsselten Datenpakete ebenfalls eine Bedrohung darstellen können. Der Korrelierungsprozess der Merkmalsgruppe 2.6 erlaubt somit, trotz Verschlüsselung diejenigen verschlüsselten Datenpakete zu identifizieren, die potentiell bedrohlich sind.
Als letzten Schritt sieht das anspruchsgemäße Verfahren, das von der Paketfiltervorrichtung durchgeführt wird, die Weiterleitung der gefilterten Datenpakete an ein Proxy-System vor. Das Proxy-System als solches ist dabei nicht Gegenstand des Anspruchs, insbesondere also nicht Bestandteil der erfindungsgemäßen Paketfiltervorrichtung. Diese muss lediglich dazu geeignet sein, die gefilterten Datenpakete an ein Proxy-System im Sinne der Klagepatentansprüche weiterzuleiten. Die Weiterleitung basiert – wie Merkmal 2.7.1 explizit vorgibt – auf einer Bestimmung, dass die gefilterten Pakete Daten umfassen, die einem Netzwerkbedrohungsindikator entsprechen. Die in Merkmal 2.7.1 angespochene „Bestimmung“ wiederum hat ihre Grundlage in der zuvor erfolgten erfindungsgemäßen Korrelation. Durch diese werden eben diejenigen Datenpakete mit verschlüsselten Daten bestimmt, die den Paketfilterregeln entsprechen und damit potentiell gefährliche Daten enthalten.
b)
Wie dargestellt benennt der Anspruch mehrfach als Paketfilterkriterium das Vorliegen eines Netzwerkbedrohungsindikators (vgl. Merkmale 2.1.2, 2.3.1, 2.4.1, 2.6.1, 2.6.2, 2.7.1). Dieser ist folglich das entscheidende Kriterium bzw. die entscheidende Regel für die erfindungsgemäße Filterung. Hiernach soll gefiltert, d.h. ausgewählt werden. Es ist insbesondere weder das unterschiedslose Erzeugen von Protokolldaten noch das unterschiedslose Weiterleiten sämtlicher Datenpakete anspruchsgemäß, sondern der Anspruch erfordert das Erzeugen von Protokolldaten für bestimmte identifizierte Pakete und das Weiterleiten (nur) der gefilterten Pakete, wobei die Filterung danach erfolgt, ob das jeweilige Datenpaket Daten umfasst, die einem Netzwerkbedrohungsindikator entsprechen.
Unter einem Netzwerkbedrohungsindikator versteht der Fachmann ein Anzeichen, das auf eine konkrete (bekannte) Bedrohung hinweist. Ein Netzwerkbedrohungsindikator kann z.B. eine Netzwerkadresse, ein Domainname oder ein URI/URL sein, der mit einer bekannten Netzwerkbedrohung (z.B. einem Botnet-Controller) assoziiert ist.
Für dieses Verständnis streitet zunächst der Wortlaut des verwendeten Begriffs und insbesondere der Bestandteil „Indikator“. Ein Indikator ist nach allgemeinem Verständnis ein Anzeichen, ein Indiz, ein Hilfsmittel, das auf etwas, oftmals auf einen Zustand oder eine Situation, hinweist. Der Indikator ist folglich nicht mit dem Zustand oder der Situation als solcher gleichzusetzen, sondern eine Art „Vorstufe“, die darauf hinweist, dass dieser Zustand oder die Situation eintreten kann.
Dass das Klagepatent ein anderes Verständnis dieses Teilbegriffs zugrunde legt, ist nicht ersichtlich. Der Anspruch fordert demnach mit einem Netzwerkbedrohungsindikator ein Anzeichen für eine Netzwerkbedrohung. Da „nur“ von einer Bedrohung des Netzwerks die Rede ist, muss zwar eine (konkrete) Gefahr für die Netzwerksicherheit gegeben sein, diese muss sich aber (noch) nicht realisiert haben.
Erforderlich ist allerdings das Vorhandensein eines konkreten (bekannten) Netzwerkbedrohungsindikators. Denn der Anspruch fordert keinen Indikator für eine „potentielle“/“mögliche“ Netzwerkbedrohung. Vielmehr wird, wie ausgeführt, ein Anzeichen für eine Netzwerkbedrohung verlangt. Es geht also nicht um die prinzipielle Eignung, ein Anzeichen sein zu können. Gefordert ist vielmehr ein (tatsächliches) Anzeichen, mit dessen Hilfe die Netzwerkbedrohung erkannt wird.
Dieses Anzeichen kann auch nicht generell darin gesehen werden, dass die betreffende Kommunikation verschlüsselt ist. Der Anspruch geht vielmehr eindeutig davon aus, dass zwischen gefährlichen und ungefährlichen verschlüsselten Daten zu unterscheiden ist. Hierin liegt gerade der Sinn und Zweck des anspruchsgemäßen Verfahrens. Wenn demgegenüber sämtliche Pakete mit verschlüsselten Daten, weil sie potentiell eine Gefahr darstellen könnten, an ein Proxy-System weitergeleitet werden sollten, wären die Verfahrensschritte nach den Merkmalen 2.3 bis 2.4.1 und 2.6 überflüssig. Den in den Merkmalen 2.1.1, 2.3.1, 2.4.1, 2.6.1, 2.6.2 und 2.7.1 explizit genannten Netzwerkbedrohungsindikatoren käme keine eigenständige funktionale Bedeutung zu. Eine solche Auslegung vermag nicht zu überzeugen. Vielmehr kennzeichnen die erfindungsgemäßen Netzwerkbedrohungsindikatoren ein (tatsächliches) Anzeichen, mit dessen Hilfe Netzwerkbedrohungen in verschlüsselter Kommunikation erkannt werden können.
Dieses Verständnis findet sich in den einleitenden Bemerkungen der Klagepatentschrift bestätigt. Abs. [0001] der Klagepatentschrift erläutert nämlich den Hintergrund der Erfindung wie folgt (in deutscher Übersetzung):
“Netzwerkbedrohungsdienste liefern Informationen über Netzwerkbedrohungen, z. B. Berichte mit Listen von Indikatoren für Netzwerkbedrohungen (z. B. Netzwerkadressen, Domänennamen, einheitliche Ressourcenbezeichner (URIs) usw.). Solche Informationen können zur Identifizierung von Netzwerkbedrohungen verwendet werden.”
Die angesprochenen Listen enthalten konkrete Netzwerkadressen, Domainnamen und URIs, die bereits im Stand der Technik dazu genutzt wurden, Netzwerkbedrohungen zu erkennen. Diesem Stand der Technik entsprechend sind auch in den im Klagepatent beschriebenen Ausführungsbeispielen konkrete Daten oder Werte für Datenfelder oder Datentypen als Netzwerkbedrohungsindikatoren angegeben.
So heißt es etwa in Abs. [0014], dass die Threat-Intelligence-Anbieter eine oder mehrere Bedrohungsmeldungen an die Regelanbieter übermitteln könnten, die einen oder mehrere Netzwerkbedrohungsindikatoren umfassen könnten, z.B. Domainnamen, URIs, Netzwerkadressen oder ähnliches. In einem nächsten Schritt könnten die Regelanbieter diese Berichte über Bedrohungsdaten verwenden, um eine oder mehrere Paketfilterregeln zu konfigurieren, durch die Pakete bestimmt werden könnten, die Daten umfassen, die Netzwerkbedrohungsindikatoren entsprechen. Damit aber sind Grundlage für die erfindungsgemäßen Paketfilterregeln Daten über konkrete Bedrohungslagen; die verwendeten Netzwerkbedrohungsindikatoren sind bekannt und umfassen konkrete Daten oder Werte.
Auch in Abs. [0015] der Klagepatentschrift ist die Rede davon, dass konkrete Domainnamen abgefragt werden, um auf dieser Grundlage Pakete zu identifizieren, die einem oder mehreren Netzwerkbedrohungsindikator/en entsprechen. Für eben diese Pakete sollen Protokolldaten erzeugt werden. Die in den Absätzen [0016] und [0017] beschriebenen Verfahrensschritte nehmen Bezug auf die zuvor auf der Basis bekannter Netzwerkbedrohungsindikatoren identifizierten Pakete.
Aus den Unteransprüchen ergibt sich nichts anderes. So stellen die Unteransprüche 2 und 3 auf einen Domainnamen (Unteranspruch 2) oder eine Netzwerkadresse (Unteranspruch 3) ab, wobei das beanspruchte Verfahren die Feststellung enthält, dass eine DNS-Abfrage und/oder die Antwort auf eine DNS-Abfrage den Domainnamen bzw. die Netzwerkadresse umfasst. Dies erfordert zwingend, dass ein konkreter Domain-Name bzw. eine konkrete Netzwerkadresse abgefragt werden, da eine Abfrage dahingehend, ob die unverschlüsselten Daten überhaupt Domain-Namen bzw. Netzwerkadressen enthalten, technisch sinnlos wäre. Für den Umkehrschluss, Anspruch 1 sei gegenüber den Unteransprüchen 2 und 3 in der Hinsicht weiter zu verstehen, dass mit den erfindungsgemäßen Netzwerkbedrohungsindikatoren lediglich reine Datentypen oder Datenfelder ohne konkrete Daten oder Werte gemeint sein könnten, finden sich in der Klagepatentschrift keine Anhaltspunkte.
Würde man der dahingehenden Auslegung der Klägerin folgen, so ließen sich Datenpakete mit potentiell gefährlichen Daten nicht von solchen unterscheiden, die ausschließlich unbedenkliche Daten enthalten. Eine erfindungsgemäße Filterung fände nicht statt. Vielmehr würde jedes Datenpaket, das die Paketfiltervorrichtung passiert und den entsprechenden Datentyp aufweist (also beispielsweise irgendeinen Domainnamen enthält), zunächst als potentielle Bedrohung erfasst. Damit aber würden die erfindungsgemäßen Filterregeln im Grunde ausgehöhlt. Gerade das zwischen den Parteien diskutierte Beispiel, den Dateityp IP-Adresse als (abstrakten) Netzwerkbedrohungsindikator zu verwenden, hätte zur Folge, dass sämtliche Pakete weitergeleitet würden, denn alle weisen diesen Dateityp auf. Die Protokolldaten mögen sich dann zwar nach den jeweiligen IP-Adressen unterscheiden, hierin liegt aber keine „Filterung“, sondern eine reine „Sortierung“. Eine Auswahl fände gerade nicht statt; vielmehr würden sämtliche Pakete ggfs. in dem Proxy-System einer Aktion, Maßnahme, Regel, Analyse etc. unterzogen. Dies aber widerspräche dem – breits in dem Verzicht auf eine Entschlüsselung der Daten zum Ausdruck kommenden – Ziel des Klagepatents, ein effizientes und ressourcenschonendes Verfahren bereitzustellen.
Der Umstand, dass das anspruchsgemäße Verfahren es unter Zugrundelegung des genannten Verständnisses ggfs. nicht ermöglicht, bei erst nachträglich erkannten Bedrohungen auf Datenströme zuzugreifen, die die Paketfiltervorrichtung bereits passiert haben, spricht nicht gegen die hier vertretene Auslegung. Es mag sein, dass eine derartige Reaktionsmöglichkeit (in bestimmter Hinsicht) technisch sinnvoll und zweckmäßig wäre, dem Anspruch ist sie indes nicht zu entnehmen.
Bei der von der Klägerin vertretenen weiten Auslegung des Begriffs der „Netzwerkbedrohungsindikatoren“ würde das in Klagepatentanspruch 1 beschriebene Verfahren gerade einen entscheidenden Schritt nicht benennen, nämlich die Bestimmung derjenigen Datenpakete, die eine konkrete potentielle Netzwerkbedrohung darstellen. Die Erkennung und gesonderte Behandlung derjenigen Datenpakete mit verschlüsselten Daten, die eine konkrete potentielle Netzwerkbedrohung darstellen, ist hingegen Kern der erfindungsgemäßen Lehre; eine Auslegung der Patentansprüche, die eben diesen Schritt offenlässt, vermag nicht zu überzeugen.
III.
Das vorstehend erläuterte Verständnis des Klagepatents zugrunde gelegt, verwirklicht die angegriffene Ausführungsform nicht sämtliche Merkmale der streitgegenständlichen Vorrichtungsansprüche 14 und 15, insbesondere nicht die Merkmalsgruppen 2.3 und 2.4.
1.
Nach den unangegriffenen Feststellungen des Landgerichts verwendet die angegriffene Ausführungsform zur Bedrohungserkennung durch I unverschlüsselte Daten des M (M), die in den sog. O gespeichert werden. Die (unverschlüsselten) Informationen des M sind geeignet, eine verschlüsselte Kommunikationssitzung aufzubauen. Die Informationen in den O werden in periodischen Zeitintervallen gesammelt und zusammengefasst. Dabei handelt es um Informationen über Zeitstempel, Byte- und Paketanzahl, Quell- und Ziel-IP-Adressen, Quell- und Ziel-IP-Ports, Ingress- und Egress-Port-Nummern und ähnliches. Die O werden unstreitig für alle Datenflüsse gesammelt, die den entsprechenden Router oder Switch durchlaufen, ohne Rücksicht darauf, ob die Datenflüsse aus verschlüsselten und/oder unverschlüsselten Daten bestehen und ob ihre Daten Netzwerkbedrohungsindikatoren entsprechen oder nicht.
2.
Hiervon ausgehend handelt es sich bei der angegriffenen Ausführungsform nicht um ein erfindungsgemäßes Paketfiltersystem, das aus Datenpaketen mit unverschlüsselten Daten, die dem Aufbau einer verschlüsselten Kommunikationssitzung dienen, diejenigen bestimmt, die Daten enthalten, die zumindest einem aus der Vielzahl von Netzwerkbedrohungsindikatoren entsprechen (Merkmalsgruppe 2.3) und für die solchermaßen bestimmten Pakete Protokolldaten erzeugt (Merkmalsgruppe 2.4), um auf der Basis dieser Protokolldaten im Anschluss Pakete mit verschlüsselten Daten zu korrelieren, die zumindest einem aus der Vielzahl von Netzwerkbedrohungsindikatoren entsprechen (Merkmalsgruppe 2.6).
a)
Die Kernunterschiede zwischen der angegriffenen Ausführungsform und der Lehre des Klagepatents bestehen darin, dass die Router/Switches der angegriffenen Ausführungsform für alle verarbeiteten Datenpakete O inkl. I Telemetriedaten erzeugen, und zwar unabhängig davon, ob diese Datenpakete mit einer Netzwerkbedrohung assoziiert sind oder nicht. Es ist insbesondere nicht feststellbar, dass Paketfilterregeln auf der Basis von Netzwerkbedrohungsindikatoren in die O einfließen und das Erzeugen der O deshalb auf einer Paketfilterregel, die mit einem Netzwerkbedrohungsindikator assoziiert ist, beruht. Es findet gerade kein selektives Erzeugen von O und I Telemetriedaten nur für potenziell gefährliche Datenpakete statt, wie Merkmal 2.4 dies verlangt.
In der Folge findet auch keine erfindungsgemäße Korrelation mit verschlüsselten Datenpaketen statt. Diese könnte schon deshalb nicht zum erfindungsgemäßen Erfolg führen, weil zuvor keine Filterung anhand von Netzwerkbedrohungsindikatoren erfolgt ist, insofern also keine Filterung dahingehend stattgefunden hat, welche Pakete mit unverschlüsselten Daten Hinweise auf mögliche Netzwerkbedrohunen enthalten.
Bei dem Erstellen von O inkl. I Telemetriedaten wird vielmehr direkt erkannt, welche unverschlüsselten Datenpakete und welche verschlüsselten Datenpakete zum gleichen Datenfluss gehören, ohne dass eine Prüfung auf Netzwerkbedrohungsindikatoren durchgeführt wird. Für die Verwirklichung der erfindungsgemäßen Lehre genügt es hingegen nicht, dass ein Router/Switch entschlüsselte und unverschlüsselte Datenpakete derselben Kommunikationssitzung zuordnen kann, indem er bestimmte Informationen der unverschlüsselten Datenpakete mit Informationen über die verschlüsselten Datenpakete erfasst, speichert und im Anschluss miteinander abgleicht.
Insofern mag ein Identifizieren von unverschlüsselten Datenpaketen, die zum Aufbau einer verschlüsselten Kommunikationssitzung dienen, und ein Identifizieren von verschlüsselten Datenpaketen, die derselben Kommunikationssitzung zuzuordnen sind, stattfinden. Auch mag eine Korrelation von verschlüsselten Datenpaketen mit bestimmten unverschlüsselten Datenpaketen erfolgen. Was aber nicht festgestellt werden kann, ist, dass Protokolldaten im Sinne von Merkmal 2.4 basierend auf Paketfilterregeln für eine bestimmte Auswahl von Paketen mit unverschlüsselten Daten erstellt werden, so dass auf der Grundlage dieser Protokolldaten anhand der anspruchsgemäßen Korrelation gemäß Merkmal 2.6 (unmittelbar) festgestellt werden könnte, welche Pakete mit verschlüsselten Daten potentiell gefährliche Daten enthalten.
Vielmehr erfolgt die Bedrohungserkennung bei der angegriffenen Ausführungsform erst nachgelagert durch die Cloud-basierte H-Komponente von N Q auf Basis der vorher erzeugten historischen und durch den F aggregierten und weitergeleiteten Informationen. Alle O werden vom F aggregiert und die aggregierten Daten werden anschließend von der H-Komponente von D analysiert, um Netzwerkbedrohungen zu erkennen. Die Zuordnung von Datenpaketen mit unverschlüsseltem Datenverkehr zu Paketen mit verschlüsselten Daten erfolgt bereits zu Beginn des F Prozesses, da die Router und Switches F Informationen jeweils für einen Datenfluss sammeln und zusammenfassen und als flussspezifische Einträge in die O aufnehmen. Bei Datenflüssen, die verschlüsselte Datenpakete enthalten, bestimmt also bereits der jeweilige Router oder Switch, welche der verschlüsselten Datenpakete und welche der unverschlüsselten Datenpakete aus der Vielzahl der Datenpakete, die den Router/Switch durchlaufen haben, zu demselben unidirektionalen Datenfluss gehören.
Stellt die Cloud-basierte H-Komponente von D basierend auf den aggregierten historischen F-Daten potenziell gefährlichen, bereits erfolgten Datenverkehr fest, werden Warnungen generiert, die einem Netzwerkadministrator über eine H-Schnittstelle zum G angezeigt werden können. Als Reaktion auf diese Warnungen kann ein Netzwerkadministrator Hostcomputer, die mit einer erkannten Netzwerkbedrohung in Verbindung stehen, vom Netzwerk trennen oder unter Quarantäne stellen. Dies basiert hingegen gerade nicht – wie im Rahmen der erfindungsgemäßen Lehre – auf einer vorherigen Filterung auf der Grundlage von (bekannten) Netzwerkbedrohungsindikatoren, sondern vielmehr auf einem nachträglichen Abgleich mit globalen Bedrohungsmustern anhand aggregierter historischer Daten.
b)
Soweit die Klägerin für die Verwirklichung der erfindungsgemäßen Lehre darauf abstellt, dass die angegriffene Ausführungsform in einer Art Feedback-Schleife erkannte Bedrohungen an die angegriffene Ausführungsform zurückmelde und die Protokolldaten um entsprechende Einträge ergänze, genügt ihr Vorbringen nicht, um eine Verwirklichung der Merkmalsgruppe 2.4 dazulegen.
Denn die Klägerin behauptet zwar – insbesondere unter Verweis auf den sogenannten Design Guide der Beklagten (vgl. Anlage KAP 32) –, dass I Daten über bekannte Bedrohungen sammele und sie im Anschluss in die O einfließen lasse (Replik vom 02.06.2022, S. 5.f., Bl. 1254 f. eAkte LG). Den von der Klägerin zitierten Produktunterlagen lässt sich aber gerade nicht entnehmen, dass Informationen über bekannte Bedrohungen in der angegriffenen Ausführungsform dergestalt verarbeitet werden, dass – entsprechend der Merkmalsgruppe 2.4 – zielgerichtet nur für solche oder jedenfalls unterscheidbar für solche Pakete mit unverschlüsselten Daten, die den erkannten Bedrohungen entsprechen, O und/oder I Telemetriedaten erzeugt werden. In dem von der Klägerin herangezogenen Design Guide der Beklagten (Anlage KAP 32) heißt es insofern (in deutscher Übersetzung):
„Standardmäßig werden Metadaten aus dem internetgebundenen Datenverkehr an H, einen Cloud-basierten Service von N, gesendet, wo sie durch maschinelles Lernen zur Identifizierung potenzieller Malware verarbeitet werden. Das Ergebnis dieser Verarbeitung wird im Falle von verdächtigem Datenverkehr kategorisiert und an Ihre N Re zurückgemeldet.“
„I verwendet spezielle M- und SPLT-Vorlagen für die Sammlung von Metadaten, die bei der Analyse des verschlüsselten Datenverkehrs verwendet werden. Diese Daten werden dann als dedizierte F- oder IPFIX-Datensätze an N Stealthwatch Fs exportiert, wo eine erste Analyse durchgeführt wird. Nach der globalen Aktivierung von I auf dem Netzwerkgerät mit dem Befehl et-analytics werden ein dedizierter F v9 oder IPFIX, ein Datensatz, ein Monitor und ein Exporter automatisch auf dem Netzwerkgerät aktiviert und konfiguriert. Die I-Aufzeichnungsdefinition ist nicht anpassbar und wird in Verbindung mit einer separaten, benutzerdefinierten flexiblen F-Konfiguration verwendet, die noch zu besprechen ist.“
Ergänzend verweist die Klägerin auf die nachfolgend wiedergegebene Abbildung zu den sog. „S“:
Hieraus kann zwar entnommen werden, dass I Informationen über bekannte Bedrohungen nutzt, um diese in das System zurückzugeben und die Bedrohungserkennung zu verbessern, nicht bestätigt wird aber die Annahme, dass O aufgrund einer Rückmeldung über erkannte Bedrohungen gezielt nur für solche Datenpakete mit unverschlüsselten Daten erstellt werden, die den bekannten Netzwerkbedrohungsindikatoren entsprechen. Die von der Klägerin zitierten Beschreibungsstellen belegen letztlich im Ergebnis nur, dass eine Bedrohungserkennung in den Systemen der Beklagten erfolgt. Diese kann aber ebenso gut in der Cloud vorgenommen werden, wie die Beklagten wiederholt unter substantiierter Darlegung der Funktionsweise der angegriffenen Ausführungsform vorgetragen haben. Eine solche Bedrohungserkennung aber entspricht nicht der erfindungsgemäßen Lehre.
Etwas anderes ergibt sich auch nicht aus Anlage KAP 18. Soweit es dort auf Seite 3 (in deutscher Übersetzung) heißt:
D bietet unternehmensweite Netzwerktransparenz und wendet erweiterte Sicherheitsanalysen an, um Bedrohungen in Echtzeit zu erkennen und darauf zu reagieren. Mithilfe einer Kombination aus Verhaltensmodellierung, maschinellem Lernen und globalen Bedrohungsdaten kann die Lösung Bedrohungen wie Command-and-Control-Angriffe, Ransomware, Distributed-Denial-of-Service-Angriffe (DDoS), illegales Cryptomining, unbekannte Malware und Insider-Bedrohungen schnell und mit hoher Zuverlässigkeit erkennen. Mit einer einzigen, agentenlosen Lösung erhalten Sie eine umfassende Bedrohungsüberwachung für den gesamten Netzwerkverkehr, selbst wenn dieser verschlüsselt ist.“
wird hierdurch wiederum nur das Ergebnis einer wirksamen Malwareerkennung beschrieben, nicht aber, dass diese in erfindungsgemäßer Weise erfolgt. Gleiches gilt für das als Anlage KAP 33 vorgelegte sog. „White Paper“ zum D System, in dem es (in deutscher Übersetzung) heißt:
„N Stealthwatch nutzt F, Proxy-Server, Endpunkt-Telemetrie, Richtlinien- und Zugriffs-Engines, Verkehrssegmentierung sowie Verhaltensmodellierung und maschinelles Lernen, um das "normale" Verhalten von Hosts und Benutzern im gesamten Unternehmen zu ermitteln. D kann den Datenverkehr mit dem Verhalten globaler Bedrohungen korrelieren, um automatisch infizierte Hosts, Command-and-Control-Kommunikation und verdächtigen Datenverkehr zu identifizieren.“
Dass die angegriffene Ausführungsform bzw. die cloudbasierte Netzwerkkomponente N E in der Lage ist, Datenverkehr zu korrelieren, besagt nichts über die erfindungsgemäße Erstellung von Protokolldaten im Sinne der Merkmalsgruppe 2.4.
Soweit die Klägerin schließlich unter Verweis auf den als Anlage KAP 24 vorgelegten Artikel aus Wikipedia darauf verweist, dass Informationen über die TLS-Verschlüsselung in den M gespeichert werden, bestreitet die Beklagte dies nicht. Es mag auch zutreffend sein, dass über die Parameter für den TLS-Fluß Datenpakete korreliert und ggf. ein konkreter Fluß abgeschaltet werden könnte. All dies belegt aber nur, dass die Systeme der Beklagten eine funktionierende Malware-Erkennung aufweisen. Die Beklagte bestreitet insofern auch gar nicht, dass alle diese Informationen in den O gespeichert werden. Ggf. werden diese Informationen auch um weitere Datentypen ergänzt, wenn dies aufgrund bekannter Bedrohungen für erforderlich erachtet wird. Dies betrifft aber ausschließlich den Inhalt und Umfang der O, nicht hingegen die Veranlassung durch das System, überhaupt O für ganz bestimmte Datenpakete zu erstellen.
In den vorgelegten Unterlagen findet sich tatsächlich kein Anhaltspunkt dafür, dass die angegriffene Ausführungsform Informationen über bekannte Netzwerkbedrohungen dergestalt nutzt, dass anhand dieser Informationen aus dem Strom von Daten, die durch die angegriffenen Router bzw. Switches laufen, diejenigen Datenpakete mit unverschlüsselten Daten herausgefiltert werden, die zumindest einem Netzwerkbedrohungsindikator entsprechen (Merkmalsgruppe 2.3), um für eben diese Datenpakete Protokolldaten zu erstellen (Merkmalsgruppe 2.4), die es in der Folge ermöglichen, in erfindungsgemäßer Weise Datenpakete mit verschlüsselten Daten mit den zuvor bestimmten Datenpaketen mit unverschlüsselten Daten zu korrelieren (Merkmalsgruppe 2.6), um im Anschluss nur diejenigen gefilterten Datenpakete an ein Proxysystem weiterzuleiten, die potentiell gefährliche Daten enthalten (Merkmalsgruppe 2.7).
IV.
Das Rubrum war in der aus ihm ersichtlichen Fassung zu berichtigen, nachdem die Klägerin unter Vorlage entsprechender Unterlagen ihre Umfirmierung mitgeteilt und die Beklagten Einwände dagegen nicht erhoben haben.
V.
Die Kostenentscheidung folgt aus § 97 Abs. 1 ZPO.
Die Entscheidung zur vorläufigen Vollstreckbarkeit ergibt sich aus §§ 708 Nr. 10, 711, 108 Abs. 1 Satz 1 ZPO.
Es besteht keine Veranlassung, die Revision zuzulassen, weil die hierfür in § 543 ZPO aufgestellten Voraussetzungen ersichtlich nicht vorliegen. Als Einzelfallentscheidung hat die Rechtssache weder grundsätzliche Bedeutung im Sinne des § 543 Abs. 2 Nr. 1 ZPO noch erfordern die Sicherung einer einheitlichen Rechtsprechung oder die Fortbildung des Rechts eine revisionsgerichtliche Entscheidung im Sinne des § 543 Abs. 2 Nr. 2 ZPO.
X Y Z
Verkündet am 27.03.2024 T, Justizbeschäftigte als Urkundsbeamtinder Geschäftsstelle