20 W (pat) 9/12

BUNDESPATENTGERICHT W (pat) 9/12 Verkündet am 20. Juni 2016

…

BESCHLUSS In der Beschwerdesache betreffend die Patentanmeldung 10 2008 059 487.3 …

hat der 20. Senat (Technischer Beschwerdesenat) auf die mündliche Verhandlung vom 20. Juni 2016 durch den Vorsitzenden Richter Dipl.-Phys. Dr. Mayer, die Richterin Dorn sowie die Richter Dipl.-Ing. Albertshofer und Dipl.-Phys. Bieringer beschlossen:

Die Beschwerde wird zurückgewiesen.

BPatG 154 05.11 Gründe I.

Das Deutsche Patent- und Markenamt – Prüfungsstelle für IPC-Klasse H 04 L – hat die am 28. November 2008 eingereichte Patentanmeldung mit der Bezeichnung „Verfahren zur Generierung von Parametrierungsdaten für ein Kommunikations-Schutzsystem eines Kommunikationsnetzes in einer Automatisierungsanlage“ mit Beschluss vom 24. August 2011 zurückgewiesen. Dem Zurückweisungsbeschluss lagen die Patentansprüche 1 bis 14 vom Anmeldetag zugrunde. Die Prüfungsstelle begründete ihren Zurückweisungsbeschluss damit, dass der Gegenstand des Patentanspruchs 1 in Ansehung der Druckschriften D1 US 6 167 052 A und D2 US 2004 / 0 153 171 A1 nicht auf einer erfinderischen Tätigkeit beruhe.

Hiergegen richtet sich die am 12. September 2011 eingelegte Beschwerde der Anmelderin, mit der sie ihre Anmeldung weiterverfolgt.

Der Vertreter der Anmelderin beantragt, den Beschluss der Prüfungsstelle für Klasse H 04 L des Deutschen Patent- und Markenamts vom 24 August 2011 aufzuheben und das nachgesuchte Patent auf der Grundlage folgender Unterlagen zu erteilen:

Patentansprüche:

Patentansprüche 1 bis 13 vom 3. November 2011, beim DPMA eingegangen am 4. November 2011 Beschreibung:

Beschreibungsseiten 1 und 3 bis 9 vom Anmeldetag (28.11.2008)

Beschreibungsseiten 2, 2a vom 22. Juni 2009, beim DPMA eingegangen am 23. Juni 2009 Zeichnungen:

Figuren 1 und 2 vom Anmeldetag (28.11.2008) Hilfsantrag 1:

Patentansprüche 1 bis 11, überreicht in der mündlichen Verhandlung am 20. Juni 2016 Hilfsantrag 2:

Patentansprüche 1 bis 11, überreicht in der mündlichen Verhandlung am 20. Juni 2016 Hilfsantrag 3:

Patentansprüche 1 bis 11, überreicht in der mündlichen Verhandlung am 20. Juni 2016 Hilfsantrag 4:

Patentansprüche 1 bis 9, überreicht in der mündlichen Verhandlung am 20. Juni 2016 Hilfsantrag 5:

Patentansprüche 1 bis 9, überreicht in der mündlichen Verhandlung am 20. Juni 2016 Beschreibung und Zeichnungen jeweils wie Hauptantrag.

Der geltende Patentanspruch 1 gemäß Hauptantrag lautet (mit hinzugefügten Merkmalsbezeichnungen):

M1 Verfahren zur Generierung von Parametrierungsdaten für ein Kommunikations-Schutzsystem (6) eines Kommunikationsnetzes in einer Automatisierungsanlage (100, 200),

bei dem Mkonv mit einem Konverter:

M1.1 - basierend auf Konfigurationsdaten der Automatisierungsanlage (100, 200) Kommunikationsparameter der Automatisierungsanlage ermittelt werden; M1.1.1 - basierend auf den Kommunikationsparametern die Parametrierungsdaten für das Kommunikations- Schutzsystem (6) erstellt werden.

Der nebengeordnete Patentanspruch 12 gemäß Hauptantrag lautet:

Verfahren zum Überwachen eines Kommunikationsnetzes einer Automatisierungsanlage (100, 200), bei dem die Kommunikationsverbindungen im Betrieb der Automatisierungsanlage (100, 200) basierend auf einem Kommunikations-Schutzsystem (6) überwacht werden, wobei die Parametrierungsdaten des Kommunikations-Schutzsystems (6) mit einem Verfahren nach einem der vorhergehenden Ansprüche generiert sind.

Der nebengeordnete Patentanspruch 13 gemäß Hauptantrag lautet:

Automatisierungsanlage (100, 200), umfassend ein Kommunikationsnetz, welches derart ausgestaltet ist, dass im Betrieb der Automatisierungsanlage (100, 200) das Kommunikationsnetz mit dem Verfahren nach Anspruch 12 überwacht wird.

Der geltende Patentanspruch 1 gemäß Hilfsantrag 1 lautet (mit hinzugefügten Merkmalsbezeichnungen):

M1 Verfahren zur Generierung von Parametrierungsdaten für ein Kommunikations-Schutzsystem (6) eines Kommunikationsnetzes in einer Automatisierungsanlage (100, 200),

bei dem Mkonv mit einem Konverter:

M1.1 - basierend auf Konfigurationsdaten der Automatisierungsanlage (100, 200) Kommunikationsparameter der Automatisierungsanlage ermittelt werden; M1.1.1 - basierend auf den Kommunikationsparametern die Parametrierungsdaten für das Kommunikations- Schutzsystem (6) erstellt werden; U4 - wobei die Kommunikationsparameter die in dem Kommunikationsnetz vorhandenen Komponenten (1, …, 5) und die zwischen den Komponenten (1, …, 5) verwendeten Kommunikationsverbindungen U7.1 U8 enthalten, wobei die Parametrierungsdaten des Kommunikations-Schutzsystems (6) einen Regelsatz spezifizieren, der basierend auf den Komponenten und den Kommunikationsverbindungen festlegt, unter welchen Bedingungen im Betrieb des Kommunikationsnetzes ein Angriff auf das Kommunikationsnetz festgestellt wird; - wobei die Kommunikationsparameter die Kommunikationsverbindungen durch für die jeweilige Kommunikationsverbindung verwendeten Protokolle aus den Schichten des OSI-Referenzmodells spezifizieren; - die Kommunikationsparameter für die Kommunikationsverbindung zwischen Komponenten (1, …, 5) des Kommunikationsnetzes festlegen, über welche Spezifikationswerte die Komponenten in den einzelnen Protokollen angesprochen werden.

Die nebengeordneten Patentansprüche 10 und 11 gemäß Hilfsantrag 1 sind wortgleich zu den Patentansprüchen 12 bzw. 13 des Hauptantrags, jedoch mit angepasstem Rückbezug.

Der geltende Patentanspruch 1 gemäß Hilfsantrag 2 lautet (mit hinzugefügten Merkmalsbezeichnungen):

M1 Verfahren zur Generierung von Parametrierungsdaten für ein Kommunikations-Schutzsystem (6) eines Kommunikationsnetzes in einer Automatisierungsanlage (100, 200), bei dem Mkonv mit einem Konverter: M1.1* - basierend auf Konfigurationsdaten der Automatisierungsanlage (100, 200) Kommunikationsparameter der Automatisierungsanlage ausgelesen werden; M1.1.1 - basierend auf den Kommunikationsparametern die Parametrierungsdaten für das KommunikationsSchutzsystem (6) erstellt werden.

Der geltende Patentanspruch 1 gemäß Hilfsantrag 3 lautet (mit hinzugefügten Merkmalsbezeichnungen):

M1 Verfahren zur Generierung von Parametrierungsdaten für ein Kommunikations-Schutzsystem (6) eines Kommunikationsnetzes in einer Automatisierungsanlage (100, 200), bei dem:

M1.1 - basierend auf Konfigurationsdaten der Automatisierungsanlage (100, 200) Kommunikationsparameter der Automatisierungsanlage ermittelt werden; M1.1.1 - basierend auf den Kommunikationsparametern die Parametrierungsdaten für das KommunikationsSchutzsystem (6) erstellt werden.

Der geltende Patentanspruch 1 gemäß Hilfsantrag 4 lautet (mit hinzugefügten Merkmalsbezeichnungen):

M1 Verfahren zur Generierung von Parametrierungsdaten für ein Kommunikations-Schutzsystem (6) eines Kommunikationsnetzes in einer Automatisierungsanlage (100, 200),

bei dem Mkonv mit einem Konverter:

M1.1* - basierend auf Konfigurationsdaten der Automatisierungsanlage (100, 200) Kommunikationsparameter der Automatisierungsanlage ausgelesen werden; M1.1.1 - basierend auf den Kommunikationsparametern die Parametrierungsdaten für das Kommunikations- Schutzsystem (6) erstellt werden; U4 - wobei die Kommunikationsparameter die in dem Kommunikationsnetz vorhandenen Komponenten (1, …, 5) und die zwischen den Komponenten (1, …, 5) verwendeten Kommunikationsverbindungen enthalten, wobei die Parametrierungsdaten des Kommunikations-Schutzsystems (6) einen Regelsatz spezifizieren,

der basierend auf den Komponenten und den Kommunikationsverbindungen festlegt, unter welchen Bedingungen im Betrieb des Kommunikationsnetzes ein Angriff auf das Kommunikationsnetz festgestellt wird; U7.1 - wobei die Kommunikationsparameter die Kommunikations-verbindungen durch für die jeweilige Kommunikationsverbindung verwendeten Protokolle aus den Schichten des OSI-Referenzmodells spezifizieren; U8 - die Kommunikationsparameter für die Kommunikationsverbindung zwischen Komponenten (1, …, 5) des Kommunikationsnetzes festlegen, über welche Spezifikationswerte die Komponenten in den einzelnen Protokollen angesprochen werden.

Der geltende Patentanspruch 1 gemäß Hilfsantrag 5 lautet (mit hinzugefügten Merkmalsbezeichnungen):

M1 Verfahren zur Generierung von Parametrierungsdaten für ein Kommunikations-Schutzsystem (6) eines Kommunikationsnetzes in einer Automatisierungsanlage (100, 200), bei dem:

M1.1 - basierend auf Konfigurationsdaten der Automatisierungsanlage (100, 200) Kommunikationsparameter der Automatisierungsanlage ermittelt werden; M1.1.1 - basierend auf den Kommunikationsparametern die Parametrierungsdaten für das Kommunikations- Schutzsystem (6) erstellt werden; U4 - wobei die Kommunikationsparameter die in dem Kommunikationsnetz vorhandenen Komponenten (1, …, 5) und die zwischen den Komponenten (1, …, 5) verwendeten Kommunikationsverbindungen enthalten, wobei die Parametrierungsdaten des Kommunikations-Schutzsystems (6) einen Regelsatz spezifizieren,

der basierend auf den Komponenten und den Kommunikationsverbindungen festlegt, unter welchen Bedingungen im Betrieb des Kommunikationsnetzes ein Angriff auf das Kommunikationsnetz festgestellt wird; U7.1 - wobei die Kommunikationsparameter die Kommunikationsverbindungen durch für die jeweilige Kommunikationsverbindung verwendeten Protokolle aus den Schichten des OSI-Referenzmodells spezifizieren; U8 - die Kommunikationsparameter für die Kommunikationsverbindung zwischen Komponenten (1, …, 5) des Kommunikationsnetzes festlegen, über welche Spezifikationswerte die Komponenten in den einzelnen Protokollen angesprochen werden.

Wegen der weiteren Einzelheiten und des Wortlauts der jeweiligen Unteransprüche wird auf den Akteninhalt verwiesen.

II.

Die zulässige Beschwerde hat in der Sache keinen Erfolg, da der jeweilige Gegenstand des Patentanspruchs 1 sowohl gemäß Hauptantrag als auch gemäß jedem der Hilfsanträge 1 bis 5 mangels erfinderischer Tätigkeit nicht patentfähig ist (§ 1 Abs. 1 i. V. m. § 4 PatG).

1. Die Anmeldung betrifft ein Verfahren zur Generierung von Parametrierungsdaten für ein Kommunikations-Schutzsystem eines Kommunikationsnetzes in einer Automatisierungsanlage (Titel; S. 1, Z. 3-5). Neue Kommunikationsnetze in Automatisierungsanlagen basierten auf Kommunikationstechnologien wie TCP/IP und Ethernet. Sie seien Angriffen wie Hacking, Malware und dergleichen ausgesetzt. Zum Schutz würden Kommunikations-Schutzssysteme verwendet, insbesondere Intrusion-Detection-Systeme (IDS), welche jeglichen Netzverkehr in einem Kommunikationsnetz abhörten und bei schädlich eingestuftem Netzverkehr Alarmmeldungen generierten (S. 1, Z. 13-24). Derartige Systeme benötigten Parametrierungsdaten, um einen Angriff zu erkennen und dessen Schädlichkeit zu beurteilen.

Die Generierung von Parametrierungsdaten nach dem Stand der Technik kenne zwei Verfahren, und zwar ein signaturbasiertes und ein lernendes Verfahren. Ersteres verwende Angriffsmuster und habe den Nachteil, dass nur bekannte Angriffsmuster erkannt würden. Zweiteres benötige eine aufwändige Lernphase und habe den Nachteil, dass es ein während der Initialisierung erhaltenes Angriffsmuster als valides Verhalten klassifiziere. Dies sei für Automatisierungssysteme nicht praktikabel.

Vor diesem Hintergrund sei es Aufgabe der Erfindung, auf einfache Weise zuverlässige Parametrierungsdaten für ein Kommunikations-Schutzsystem eines Kommunikationsnetzes in einer Automatisierungsanlage zu generieren (S. 2, Z. 10-13).

Gelöst werde die Aufgabe durch ein Verfahren, bei dem Kommunikationsparameter der Automatisierungsanlage basierend auf deren Konfigurationsdaten ermittelt würden. In einem weiteren Schritt würden basierend auf den Kommunikationsparametern dann Parametrierungsdaten für das Kommunikations-Schutzsystem erstellt.

2. Als Fachmann ist ein Diplom-Ingenieur der Nachrichtentechnik (Univ.) anzusehen, der sich mit der Sicherung der Kommunikation innerhalb von Kommunikationsnetzen, insbesondere auch mit Prozessleittechnik in Automatisierungsanlagen, bei denen Ethernet und IP Technologie eingesetzt wird, befasst. Er hat profunde Kenntnisse über Kommunikationsschutzsysteme (IDS und IPS) und kennt sich mit CAE-Systemen und deren gängigen Datenformaten aus. In der Ausübung seiner Tätigkeit lässt sich der Fachmann bei Bedarf von Informatikern und Automatisierungstechnikern beraten.

3. Der Fachmann versteht den Gegenstand des Patentanspruchs 1 gemäß Hauptantrag als ein Verfahren, das aus den Konfigurationsdaten, die z. B. als XML-Daten vorliegen und MAC-Adressen sowie Ports der Komponenten des Netzwerks enthalten können, über einen Zwischenschritt zunächst Daten der Netzwerk-Infrastruktur (~Kommunikationsparameter) ermittelt bzw. ausliest und letztlich Parametrierungsdaten für das Kommunikations-Schutzsystem erzeugt. Dabei kann ein Parser (~Konverter; vgl. Beschreibung, S. 5, Z. 14-16) verwendet werden. Dem Fachmann ist geläufig, dass ein Parser Textteile (die z. B. die auf Seite 2, Zeile 34, beispielhaft genannten Adressen sein können) aus den XMLDaten herauslesen und diese dann mit anderer Anordnung wieder als Parameter eines Befehls zusammensetzen kann (z. B. eine Whitelist mit zulässigen Verbindungen parametriert durch die IP-Adressen der Kommunikationspartner, vgl. Beschreibung, S. 8, Z. 7-16).

Zu der Art der Bereitstellung der Konfigurationsdaten – ob automatisch oder manuell – ist nichts beansprucht. Es kann sich somit um Engineeringdaten einer Au- tomatisierungsanlage handeln, wobei jedoch der Anspruchswortlaut nicht auf dieses Ausführungsbeispiel beschränkt ist.

Die Kommunikationsparameter betreffen Netzwerkverbindungen, MAC-Adressen, Ports u. Ä.. Sie beschreiben die IT-Infrastruktur bzw. Netzwerk-Infrastruktur und sind in den Konfigurationsdaten enthalten (Beschreibung, S. 2, Z. 32-35).

Soweit der Vertreter der Anmelderin vorgetragen hat, die Kommunikationsparameter seien in den Konfigurationsdaten enthalten (vgl. auch Beschreibung, S. 2, Z. 32-35), kann der Fachmann das beanspruchte Ermitteln der Kommunikationsparameter nur als deren Auslesen aus den Konfigurationsdaten verstehen. Alternative Möglichkeiten zum Ermitteln der Kommunikationsparameter finden sich in den ursprünglich eingereichten Anmeldeunterlagen nicht. Bei einer Gesamtschau entnimmt der Fachmann den Anmeldeunterlagen somit, dass Adressen der Komponenten oder Ports (entsprechend den Konfigurationsdaten, vgl. S. 2, Z. 34) als XML-Daten vorliegen und ausgelesen werden.

4. Der Gegenstand des Patentanspruchs 1 gemäß Hauptantrag ist mangels erfinderischer Tätigkeit nicht patentfähig.

Aus der Offenlegungsschrift US 6 167 052 A (D1) ist in Übereinstimmung mit dem Gegenstand des Patentanspruchs 1 gemäß Hauptantrag ein Verfahren bekannt, bei dem Parametrierungsdaten für ein Kommunikations-Schutzsystem eines Kommunikationsnetzes generiert werden (~M1 teilweise). Das Verfahren gemäß D1 erzeugt „access control lists“, um den Nachrichtenverkehr im Kommunikationsnetzwerk („network 110“) zu beschränken (vgl. D1, Zusammenfassung: „A computer system automatically creates access control lists for routers to allow or deny traffic as specified by the administrator.“). Es verwendet einen Konverter im Sinne des Patentanspruchs 1 (~Mkonv). Dazu weist das Kommunikationsnetzwerk der D1 eine „management station 124M“ mit einem Programm auf, das ausgeführt wird, um die o. g. „access control lists“ zu generieren (vgl. D1, Sp. 8, Z. 27-29 i. V. m. Appendix E). Die Managementstation 124M ermittelt die „connectivity groups“ (entsprechend den Kommunikationsparametern i. S. des Patentanspruchs 1), indem Informationen aus der Datenbank (vgl. D1, Appendix C) bereitgestellt werden (vgl. D1, Sp. 6, Z. 2-13 i. V. m Appendix B, insbesondere Schritt M7). Dabei entsprechen die vom Administrator für die Datenbank vorgegebenen Informationen, z. B Domain, IP-Adressen, MAC-Adressen, Ports, connectivity groups (vgl. D1, Appendix C) den Konfigurationsdaten i. S. des Patentanspruchs 1 (~M1.1). Aus den ermittelten Kommunikationsparametern werden Parametrierungsdaten erstellt (~M1.1.1), indem ein Regelsatz bestehend aus „access control lists“ von der Management Station 124M gemäß Schritt M50 erstellt wird (vgl. D1, Sp. 8, Z. 27 ff., i. V. m Appendix E). Den resultierenden Regelsatz mit den Parametrierungsdaten entnimmt der Fachmann aus D1, Appendix F („AL1-1 access-list 1 permit ip 10.3.4.0 0.0.0.255“ usw.).

Somit unterscheidet sich das Verfahren des Patentanspruchs 1 gemäß Hauptantrag von dem bekannten Verfahren gemäß der Druckschrift D1 nur dadurch, dass es sich bei Ersterem um ein Verfahren für ein Kommunikationsnetz in einer Automatisierungsanlage handeln soll.

Das bekannte Verfahren auch dort anzuwenden, war dem Fachmann schon mittels seines Fachwissens über Kommunikations-Schutzsysteme in Netzwerken, das für Unternehmensnetzwerke (D1) wie Automatisierungsanlagen (Patentanspruch 1) gleichermaßen gilt, nahe gelegt, insbesondere, da in beiden Anwendungsfällen keine physikalisch autarken Netzwerke vorliegen (vgl. D1, Fig. 1; vgl. Beschreibung der Patentanmeldung, S. 1, Z. 13-17) und somit auch Zugriffe von außen kontrolliert werden müssen.

Soweit der Vertreter der Anmelderin vorgetragen hat, dass nur Konfigurationsdaten von Automatisierungsanlagen automatisch konvertiert werden könnten, kann dies eine erfinderische Tätigkeit nicht begründen. Denn zum einen ist gemäß dem Wortlaut des Patentanspruchs 1 weder beansprucht noch sonst offenbart, dass das beanspruchte Verfahren vollautomatisch ablaufen soll und dass das (teilweise) manuelle Ausführen ausgeschlossen sein könnte, zum anderen werden auch gemäß der D1 Parametrierungsdaten automatisch erzeugt (vgl. D1, Zusammenfassung: „automatically“) und Kommunikationsparameter aus der Datenbank (Appendix C) ausgelesen (Fundstellen s. oben).

5. Zum Hilfsantrag 1 Das Merkmal U4 entspricht dem kennzeichnenden Merkmal des ursprünglichen Patentanspruchs 4. Nach fachmännischem Verständnis besagt das Merkmal U4, dass die Kommunikationsverbindungen zwischen den Komponenten in den aus den Konfigurationsdaten ausgelesenen Kommunikationsparametern enthalten sind (vgl. Beschreibung, S. 3, Z. 23-28). Daraus wird ein Regelsatz erzeugt, der die entsprechenden Kommunikationsparameter als Parametrierungsdaten enthält. Die Beschreibung führt hierzu das Erstellen einer Whitelist aus – für zulässige Verbindungen zwischen Komponenten (vgl. Beschreibung, S. 8, Z. 7-16). Diese wird dazu benutzt, während des Betriebs (nach Abschluss der Parametrierung) einen Angriff auf das Kommunikationsnetzwerk festzustellen.

Das Merkmal U7.1 entspricht dem ersten Teil des kennzeichnenden Merkmals des ursprünglichen Patentanspruchs 7. Der Fachmann versteht das Merkmal U7.1 dahingehend, dass die Kommunikationsparameter für verschiedene Schichten des OSI-Modells spezifiziert sein sollen; diese können gemäß dem Ausführungsbeispiel auf Seite 7, Zeilen 29 bis 37, IP-Adressen oder MAC-Adressen sein (Geräte 3, 4, 5 kommunizieren auf OSI-Layer 2 und Geräte 1 und 2 auf OSI-Layer 3).

Das Merkmal U8 entspricht dem kennzeichnenden Merkmal des ursprünglichen Unteranspruchs 8. Der Fachmann versteht das Merkmal U8 dahingehend, dass die Kommunikationsparameter Spezifikationswerte enthalten sollen, wobei darunter gemäß der Beschreibung u. a. IP-Adressen und/oder Ports zu verstehen sind (vgl. S. 4, Z. 33-35: „Die Spezifikationswerte sind dabei insbesondere IP-Adressen und/oder Ports […]“). Somit betrifft das Merkmal U8 festgelegte (d.h. zulässige) Verbindungen zwischen Komponenten, die mittels IP-Adresse oder Port beschrieben sind.

5.1. Der Gegenstand des Patentanspruchs gemäß Hilfsantrag 1 ist mangels erfinderischer Tätigkeit nicht patentfähig.

Neben den Merkmalen M1 (teilweise), Mkonv, M1.1 und M1.1.1 (s. o. Ziff. 4.) sind aus der D1 die Merkmale U4 teilweise, U7.1 und U8 bekannt. Das bekannte Verfahren gemäß D1 erzeugt für jeden Router eine access control list (vgl. D1, Sp. 8, Z. 34-40) nach dem Beispiel gemäß Appendix E, sodass Regelsätze für die Router und VLAN (~Komponenten i. S. des Patentanspruchs 1) mit deren Verbindungen (~Kommunikationsverbindungen i. S. des Patentanspruchs 1) nach dem Vorbild des Appendix E entstehen (vgl. D1, Appendix E i. V. m. Fig. 2 am Beispiel Verbindung 210 und VLAN 140e). Dies entspricht teilweise dem Merkmal U4. Der Fachmann entnimmt der D1 weiter (Sp. 2, Z. 67, bis Sp. 3, Z. 6), dass das Verfahren innerhalb einer Domain auf OSI-Layer 2 (vgl. auch Sp. 1, Z. 39 f.) und für das Routing auf OSI-Layer 3 (vgl. auch Sp. 3, Z. 40 ff.) arbeitet. Insofern werden verschiedene Protokolle des OSI-Referenzmodells verwendet, die auch in den „connectivity groups“ (~Kommunikationsparameter) mit MAC-Adresse auf OSILayer 2 (vgl. D1, Sp. 4, Z. 19-21, und Sp. 7, Z. 38-44) und IP-Adresse auf OSILayer 3 (vgl. D1, Appendix F) enthalten sind (~Merkmal U7.1). Der Fachmann entnimmt der D1 zudem, dass die Verbindungen innerhalb einer Domain mittels MAC-Adresse oder Port und Verbindungen zwischen verschiedenen Domains via Router über IP-Adressen angesprochen werden (vgl. D1, Sp. 3, Z. 40-47: „[…] communications between different domains use IP addresses.“ und Sp. 3, Z. 7 ff.: „[…] traffic based on MAC addresses.“). Dementsprechend werden die Komponenten gemäß D1 über die Adressen (~Spezikationswerte i. S. des Merkmals U8) in den einzelnen Protokollen angesprochen, was dem Merkmal U8 entspricht.

Somit unterscheidet sich das Verfahren des Patentanspruchs 1 gemäß Hilfsantrag 1 von dem bekannten Verfahren gemäß D1 nur dadurch, dass es sich bei Ersterem um ein Verfahren für ein Kommunikationsnetz in einer Automatisierungsanlage handelt (M1 teilweise) und dass ein Angriff auf das Kommunikationsnetz festgestellt werden soll (U4 teilweise). Beide Unterschiedsmerkmale sind allerdings aus der Druckschrift US 2004/0 153 171 A1 (D2) bekannt. Die D2 betrifft industrielle Automatisierungssysteme (Titel; Abs. [0010]), insbesondere deren Kommunikations-Schutzsystem (vgl. D2, Abs. [0043]). Das KommunikationsSchutzsystem gemäß D2 (dort im Sicherheitsserver “automation security server” enthalten) weist ein Modul (dort: „Management module 532“) auf, um eine unternehmensweite Sicherheitsrichtlinie zu erzwingen und Sicherheitsvorfälle zu regeln, wobei der Sicherheitsstatus gemeldet wird (vgl. D2, Abs. [0043]). Somit ist das Kommunikations-Schutzsystem der D2 Teil einer Automatisierungsanlage (~M1 zweiter Teil) und spezifiziert, unter welchen Bedingungen ein Überschreiten der Zugriffsregeln (~Regelsatz) einen Angriff auf das Kommunikationsnetz feststellt (~U4, zweiter Teil).

Der Fachmann betrachtet vor diesem Hintergrund auch die D2, die eine Automatisierungsanlage mit Kommunikations-Schutzsystem betrifft und die Restmerkmale von M1 und U4 zeigt. Bereits mittels seines Fachwissens über KommunikationsSchutzsysteme in Netzwerken, das für Unternehmensnetzwerke (D1) wie Automatisierungsanlagen (Patentanspruch 1) gleichermaßen gilt, insbesondere, da in beiden Anwendungsfällen Zugriffe von außen kontrolliert werden müssen, war dem Fachmann nahe gelegt, das Verfahren der D1 auch für Kommunikationsnetzwerke in Automatisierungsanlagen anzuwenden. Explizit erhält der Fachmann aus der D2 (Abs. [0011], letzter Satz) die Aufforderung, Sicherheitsmaßnahmen, die aus IT-Netzwerken (~Kommunikationsnetzwerken) bekannt sind, auf Automatisierungsanlagen zu übertragen (dort: „[…] security processing can be transferred from IT network resources to automation resources.”). So wird er unmittelbar auf die Ausführungsform gemäß der D2 hingeführt, bei Verstößen gegen die zugelas- senen Access Control Lists (vgl. Abs. [0040], S. 4, oben) einen Sicherheitsvorfall zu melden (vgl. Abs. [0043]).

6. Der jeweilige Gegenstand des Patentanspruchs 1 in der gemäß den Hilfsanträgen 2 bis 5 verteidigten Fassung beruht ebenfalls nicht auf erfinderischer Tätigkeit:

Der Patentanspruch 1 gemäß Hilfsantrag 2 unterscheidet sich vom Patentanspruch 1 gemäß Hauptantrag dadurch, dass bei dem Merkmal M1.1 das Wort „ermittelt“ durch „ausgelesen“ ersetzt ist (vgl. Merkmal M1.1*). Da der Fachmann das Ermitteln nur als Auslesen verstehen kann (s. o. Ziff. 3), gilt die obige Argumentation zum Hauptantrag für den Hilfsantrag 2 entsprechend.

Der Patentanspruch 1 gemäß Hilfsantrag 3 unterscheidet sich vom Patentanspruch 1 gemäß Hauptantrag dadurch, dass das Merkmal Mkonv gestrichen ist. Der Patentanspruch 1 gemäß Hilfsantrag 3 ist damit gegenüber dem Patentanspruch 1 gemäß Hauptantrag verallgemeinert. Da sein Gegenstand somit auch den Gegenstand des Patentanspruchs 1 gemäß Hauptantrag umfasst, gilt die obige Argumentation zum Hauptantrag für den Hilfsantrag 3 entsprechend.

Der Patentanspruch 1 gemäß Hilfsantrag 4 unterscheidet sich vom Patentanspruch 1 gemäß Hilfsantrag 1 dadurch, dass bei dem Merkmal M1.1 das Wort „ermittelt“ durch „ausgelesen“ ersetzt ist (vgl. Merkmal M1.1*).Da der Fachmann das Ermitteln nur als Auslesen verstehen kann (s. o. Ziff. 3), gilt die obige Argumentation zum Hilfsantrag 1 entsprechend für den Hilfsantrag 4.

Der Patentanspruch 1 gemäß Hilfsantrag 5 unterscheidet sich vom Patentanspruch 1 gemäß Hilfsantrag 1 dadurch, dass das Merkmal Mkonv gestrichen ist. Der Patentanspruch 1 gemäß Hilfsantrag 5 ist damit gegenüber dem Patentanspruch 1 gemäß Hilfsantrag 1 verallgemeinert. Da sein Gegenstand somit auch den Ge- genstand des Patentanspruchs 1 gemäß Hilfsantrag 1 umfasst, gilt die obige Argumentation zum Hilfsantrag 1 entsprechend für den Hilfsantrag 5.

7. Nachdem sich der jeweils geltende Patentanspruch 1 gemäß dem Hauptantrag und den Hilfsanträgen 1 bis 5 als nicht patentfähig erweist, kann die beantragte Patenterteilung nicht erfolgen. Mit den vorstehend genannten Patentansprüchen fallen auch alle anderen Ansprüche. Aus der Fassung der Anträge und dem zu ihrer Begründung Vorgebrachten ergeben sich keine Zweifel an dem prozessualen Begehren der anwaltlich vertretenen Anmelderin, das Patent ausschließlich in einer der beantragten Fassungen zu verteidigen (BGH, Beschluss vom 27. Februar 2008 - X ZB 10/07, GRUR-RR 2008, 456 Rn. 22 m. w. N. – Installiereinrichtung).

Rechtsbehelfsbelehrung Gegen diesen Beschluss des Beschwerdesenats steht den am Beschwerdeverfahren Beteiligten die Rechtsbeschwerde zu (§ 99 Absatz 2, § 100 Absatz 1, § 101 Absatz 1 des Patentgesetzes).

Da der Senat die Rechtsbeschwerde nicht zugelassen hat, ist sie nur statthaft, wenn gerügt wird,

dass 1.

das beschließende Gericht nicht vorschriftsmäßig besetzt war,

2. bei dem Beschluss ein Richter mitgewirkt hat, der von der Ausübung des Richteramtes kraft Gesetzes ausgeschlossen oder wegen Besorgnis der Befangenheit mit Erfolg abgelehnt war,

3. einem Beteiligten das rechtliche Gehör versagt war,

4. ein Beteiligter im Verfahren nicht nach Vorschrift des Gesetzes vertreten war, sofern er nicht der Führung des Verfahrens ausdrücklich oder stillschweigend zugestimmt hat,

5. der Beschluss aufgrund einer mündlichen Verhandlung ergangen ist, bei der die Vorschriften über die Öffentlichkeit des Verfahrens verletzt worden sind, oder

6. der Beschluss nicht mit Gründen versehen ist

(§ 100 Absatz 3 des Patentgesetzes).

Die Rechtsbeschwerde ist beim Bundesgerichtshof einzulegen (§ 100 Absatz 1 des Patentgesetzes). Sitz des Bundesgerichtshofes ist Karlsruhe (§ 123 GVG).

Die Rechtsbeschwerde ist innerhalb eines Monats nach Zustellung des Beschlusses beim Bundesgerichtshof schriftlich einzulegen (§ 102 Absatz 1 des Patentgesetzes). Die Postanschrift lautet: Bundesgerichtshof, Herrenstraße 45 a, 76133 Karlsruhe. Sie kann auch als elektronisches Dokument eingereicht werden (§ 125a Absatz 2 des Patentgesetzes in Verbindung mit der Verordnung über den elektronischen Rechtsverkehr beim Bundesgerichtshof und Bundespatentgericht (BGH/BPatGERVV) vom 24. August 2007 (BGBl. I S. 2130)). In diesem Fall muss die Einreichung durch die Übertragung des elektronischen Dokuments in die elektronische Poststelle des Bundesgerichtshofes erfolgen (§ 2 Absatz 2 BGH/BPatGERVV). Die Rechtsbeschwerde kann nur darauf gestützt werden, dass der Beschluss auf einer Verletzung des Rechts beruht (§ 101 Absatz 2 des Patentgesetzes). Die Rechtsbeschwerde ist zu begründen. Die Frist für die Begründung beträgt einen Monat; sie beginnt mit der Einlegung der Rechtsbeschwerde und kann auf Antrag von dem Vorsitzenden verlängert werden (§ 102 Absatz 3 des Patentgesetzes). Die Begründung muss enthalten:

1. die Erklärung, inwieweit der Beschluss angefochten und seine Abänderung oder Aufhebung beantragt wird;

2. die Bezeichnung der verletzten Rechtsnorm; 3. insoweit die Rechtsbeschwerde darauf gestützt wird, dass das Gesetz in Bezug auf das Verfahren verletzt sei, die Bezeichnung der Tatsachen, die den Mangel ergeben (§ 102 Absatz 4 des Patentgesetzes).

Vor dem Bundesgerichtshof müssen sich die Beteiligten durch einen beim Bundesgerichtshof zugelassenen Rechtsanwalt als Bevollmächtigten vertreten lassen (§ 102 Absatz 5 des Patentgesetzes).

Dorn zugleich für Dr. Mayer, der an der Unterschrift wegen Krankheit verhindert ist.

Dorn Albertshofer Bieringer Pr