17 W (pat) 52/12

BUNDESPATENTGERICHT W (pat) 52/12 Verkündet am 21. Juli 2015

…

BESCHLUSS In der Beschwerdesache betreffend die Patentanmeldung 11 2008 002 005.1-53 …

hat der 17. Senat (Technischer Beschwerdesenat) des Bundespatentgerichts auf die mündliche Verhandlung vom 21. Juli 2015 unter Mitwirkung des Vorsitzenden Richters Dipl.-Phys. Dr. Morawek, der Richterin Eder sowie der Richter Dipl.-Ing. Baumgardt und Dipl.-Ing. Hoffmann beschlossen:

Die Beschwerde wird zurückgewiesen.

BPatG 154 05.11 Gründe I.

Die vorliegende Patentanmeldung ist eine PCT-Anmeldung in nationaler Phase, welche die Priorität einer Voranmeldung in den USA vom 31. Juli 2007 in Anspruch nimmt und als WO 2009 / 17 572 A2 in englischer Sprache veröffentlicht wurde. Ihr PCT-Anmeldetag ist der 7. Juli 2008. Sie trägt in der deutschen Übersetzung (DE 11 2008 002 005 T5) die Bezeichnung:

„System und Verfahren einer eingriffbeständigen Steuerung“.

Die Anmeldung wurde durch Beschluss der Prüfungsstelle für Klasse G 06 F des Deutschen Patent- und Markenamts vom 12. Juli 2012 mit der Begründung zurückgewiesen, dass der Gegenstand des Hauptanspruchs mangels erfinderischer Tätigkeit nicht gewährbar sei, weil er durch die Druckschrift D2 (s. u.) nahegelegt sei.

Gegen diesen Beschluss ist die Beschwerde der Anmelderin gerichtet. Auf einen Ladungszusatz des Senates hin hat sie ein überarbeitetes Patentbegehren eingereicht. Zur mündlichen Verhandlung ist sie - wie angekündigt - nicht erschienen. Sie führt schriftlich aus, dass die Ausführungen der Prüfungsstelle in dem angefochtenen Beschluss die Zurückweisung der Anmeldung nicht rechtfertigten. Die Herleitung im Beschluss, dass die gemäß dem dort anhängigen Anspruch definierten Aktivitäten im Zusammenhang mit dem Provisioning eines Verwaltungsprozessors durch die Druckschrift D2 nahegelegt würden, gingen deutlich über das hinaus, was ein Fachmann der D2 bei verständiger Würdigung derselben - ohne Kenntnis des Gegenstands der Anmeldung - entnehmen würde. Die in Anbetracht der Ausführungen des Senats im Ladungszusatz überarbeiteten Patentansprüche definierten nach Überzeugung der Anmelderin nunmehr einen Gegenstand, der durch den neu genannten Stand der Technik ebenso wenig wie durch den im Prüfungsverfahren genannten Stand der Technik nahegelegt sei.

Die Anmelderin stellt (sinngemäß, siehe Eingabe vom 17. Juli 2015, Seite 1 unten und Seite 2 oben) den Antrag,

den angefochtenen Beschluss der Prüfungsstelle für Klasse G06F vom 12. Juli 2012 aufzuheben und ein Patent auf Grundlage folgender Unterlagen zu erteilen:

 Patentansprüche 1 bis 8 gemäß Anlage zur Eingabe vom 17. Juli 2015,

 ursprüngliche Beschreibungsseiten 1 bis 6 vom 26. Januar 2010,

 ursprüngliche Figuren 1 und 2 vom 26. Januar 2010.

Der geltende Patentanspruch 1 (hier mit neuer Gliederung und Markierung von insgesamt drei redaktionellen Korrekturen in den Merkmalen (B) und (F)) lautet:

(A) 1. Verfahren zur eingriffbeständigen Steuerung eines elektronischen Geräts (122, 123), wobei das Verfahren folgende Schritte aufweist:

(B) Lesen (202-208) zumindest einer Flag (50) des elektronischen Geräts (122, 123) mit Firmware (24), wobei die Flag (50) einen Provisioning-Aktiv/Inaktiv-Zustand anzeigt, der einen aktiven Zustand, in dem ein für das Provisioning aktivierter Verwaltungsprozessor (26) des elektronischen Geräts (122, 123) mit einem entfernten Server (121, 16) kommuniziert, oder einen inaktiven Zustand, in dem der für das Provisioning aktivierte Verwaltungsprozessor (26) daran gehindert ist, mit dem entfernten Server (121, 16) zu kommunizieren, anzeigt; und

(C) ansprechend auf das Lesen der Flag (50), die den aktiven Zustand anzeigt:

(D) Lesen (210, 212) eines Eingangs/Ausgangstores (28) des elektronischen Geräts (122, 123), um Verschlüsselungsdaten zu erhalten;

(E) Übertragen (214-222) der Verschlüsselungsdaten von dem elektronischen Gerät (122, 123) an den entfernten Server (121, 16), um den entfernten Server (121, 16) für eine Kommunikation mit dem elektronischen Gerät (122, 123) zu authentifizieren; und

(F) Provisioning (224) des für das Provisioning aktivierten Verwaltungsprozessors (26) des elektronischen Geräts (12) (122, 123) basierend auf einer Kommunikationen zwischen dem Verwaltungsprozessor (26) und dem entfernten Server (121, 16), um den Verwaltungsprozessor (26) zu konfigurieren, um zuzulassen, dass der entfernte Server (121, 16) über eine Konsole (52) des entfernten Servers (121, 16) einen Fernzugriff und eine Fernsteuerung des elektronischen Geräts (122, 123) durchführt.

Bezüglich des unabhängigen, auf ein solcherart arbeitendes elektronisches Gerät gerichteten Anspruchs 6 sowie der Unteransprüche 2 bis 5, 7 und 8 wird auf die Akte verwiesen.

Als Aufgabe ist auf Seite 4 Absatz 3 der Eingabe vom 17. Juli 2015 angegeben, „einen verbesserten Ansatz zu schaffen, der eine sicherheitsbeständige Steuerung eines elektronischen Geräts für eine Fernwartung ermöglicht, ohne dass eine Einstellung der entsprechenden Einheiten vor Ort erforderlich ist“.

II.

Die frist- und formgerecht eingelegte Beschwerde ist auch sonst zulässig. Sie hat jedoch keinen Erfolg, weil das nunmehr beanspruchte Verfahren zur eingriffbeständigen Steuerung nach Patentanspruch 1 (dessen ursprüngliche Offenbarung bereits zweifelhaft ist) zumindest nicht auf einer erfinderischen Tätigkeit beruht (§ 4 PatG).

1. Die vorliegende Patentanmeldung betrifft den Zugriff auf vernetzte elektronische Geräte von entfernter Stelle („remote“) zur Einstellung und Steuerung. Der Fernzugriff soll von einem Server aus derart erfolgen, dass es nichtautorisierten Dritten so weit wie möglich erschwert wird, auf diese elektronischen Geräte zuzugreifen und unberechtigt ihre Steuerung zu übernehmen („tamper-resistant“).

Gemäß Figur 1 weisen die elektronischen Geräte (122, 123), auf welche der Fernzugriff von dem entfernten Server (121 bzw. 16) aus erfolgen soll, außer ihrem Arbeits-Prozessor (22) noch einen separaten Verwaltungsprozessor (26) auf, der für die Kommunikation mit dem entfernten Server zuständig ist. Ob dieser Verwaltungsprozessor mit dem Server eine Verbindung aufnehmen und Zugriffsrechte für das System des Arbeits-Prozessors (22) einstellen darf, kann durch ein oder mehrere Flags (44, 46, 50) bestimmt werden, die im jeweiligen Gerät nicht-flüchtig gespeichert sind (siehe die Absätze [0007], [0008] und [0009]).

Wenn das zumindest eine Flag entsprechend gesetzt ist (Merkmale (B) und (C)), soll ein „Provisioning“ (Absatz [0009]: „Bereitstellen, z. B. Einrichten von Zugriffsrechten und Berechtigungen zur Sicherstellung der Sicherheit“) des Verwaltungsprozessors basierend auf einer Kommunikation mit dem Server erfolgen. Dabei wird der Verwaltungsprozessor konfiguriert, um einen autorisierten Fernzugriff zuzulassen (Merkmal (F) - siehe die Absätze [0007], [0008] und [0009]).

Hier ist noch festzuhalten, dass der Begriff „Provisioning“ in der ursprünglich eingereichten Übersetzung (DE 11 2008 002 005 T5) nicht enthalten war. Er geht zurück auf die zugrundeliegende PCT-Anmeldung, wie sie als WO 2009 / 17 572 A2 veröffentlicht ist, und findet sich in der Übersetzung allein unter dem Begriff „Bereitstellen“ wieder. Gemeint ist, wie zuvor erwähnt, das Konfigurieren des Verwaltungsprozessors so, dass eine gesicherte Kommunikationsverbindung mit dem Server hergestellt ist und Befehle vom Server akzeptiert werden.

Als Vorstufe für dieses „Provisioning“ ist eine Authentifizierung zwischen dem entfernten Server und dem fernzusteuernden elektronischen Gerät vorgesehen. Dazu sollen Verschlüsselungsdaten (60) von einem I/O-Tor (28) (z. B. USB-Anschluss 30) des elektronischen Gerätes (122, 123) ausgelesen und an den entfernten Server (121, 16) übertragen werden (Merkmale (D), (E) - siehe Absatz [0011]).

Der gesamte Verfahrensablauf ist in Figur 2 dargestellt und in Absatz [0012] zusammenhängend beschrieben.

Als Fachmann, der mit der Aufgabe betraut wird, eine sicherheitsbeständige Steuerung eines elektronischen Geräts für eine Fernwartung zu ermöglichen, ohne dass eine Einstellung der entsprechenden Einheiten vor Ort erforderlich ist, sieht der Senat einen Entwicklungsingenieur für vernetzte Rechnersysteme mit Hochschul- oder Fachhochschul-Ausbildung und mehrjähriger Berufserfahrung an.

2. Das Verfahren zur eingriffbeständigen Steuerung gemäß dem geltenden Patentanspruch 1 ergab sich für den Fachmann vor dem Prioritätszeitpunkt in naheliegender Weise aus dem Stand der Technik. Deshalb kann dahinstehen, inwieweit die beanspruchte Lehre ursprünglich offenbart ist.

2.1 Merkmal (B) bedarf einer Auslegung.

Nach der geltenden Formulierung soll ein „Provisioning-Aktiv/Inaktiv“-Flag (50) ausgewertet werden. Das Flag wird mit der zweiten Hälfte des Merkmals (B) dahingehend bestimmt, dass in seinem aktiven Zustand „ein für das Provisioning aktivierter Verwaltungsprozessor (26) des elektronischen Geräts (122, 123) mit einem entfernten Server (121, 16) kommuniziert“, während bei inaktivem Zustand der „für das Provisioning aktivierte Verwaltungsprozessor (26) daran gehindert ist“. Hier besteht ein Widerspruch, weil Flag (50) von seiner Bezeichnung her, und wie es auch aus der Beschreibung Absatz [0009] entnehmbar ist, das Provisioning (Bereitstellen) aktiviert oder freigibt: wenn das Flag inaktiv ist, ist der Verwaltungsprozessor nicht für das Provisioning aktiviert, es gibt also in diesem Fall den „für das Provisioning aktivierten Verwaltungsprozessor“ gar nicht.

Außerdem wird die Funktion, die das Merkmal (B) dem Flag (50) zuweist - wenn aktiv, soll eine Kommunikation mit dem entfernten Server ermöglicht werden; wenn inaktiv, soll diese Kommunikation verhindert werden - in der Beschreibung im Absatz [0007] als Funktion des Aktivieren/Deaktivieren Flags (44) angegeben, und dieselbe Formulierung ist in Absatz [0008] für die Bedeutung des Kein/AMTFlags (46) verwendet. Demgegenüber dient Flag (50) laut der Beschreibung, Absatz [0009], einem anderen Zweck (nämlich, wie zuvor dargelegt, der Zulassung oder Blockierung des Provisioning für den Verwaltungsprozessor).

Wenn man von der Funktionsbestimmung des/der beanspruchten Flags in Merkmal (B) ausgeht, muss das Merkmal demnach folgendermaßen verstanden werden (Unterschiede hervorgehoben):

(B‘) Lesen (202-208) zumindest eines Flag (44, 46) des elektronischen Geräts (122, 123) mit Firmware (24), wobei das Flag (44, 46) einen Provisioning-Aktiv/Inaktiv-Zustand anzeigt, der einen aktiven Zustand, in dem ein für das Provisioning aktivierter Verwaltungsprozessor (26) des elektronischen Geräts (122, 123) mit einem entfernten Server (121, 16) kommuniziert, oder einen inaktiven Zustand, in dem der für das Provisioning aktivierte Verwaltungsprozessor (26) daran gehindert ist, mit dem entfernten Server (121, 16) zu kommunizieren, anzeigt; und Dabei wird die Frage zunächst offen gelassen, ob die geltende Anspruchsfassung nicht schon wegen fehlender Offenbarung zurückzuweisen wäre.

2.2 Der Gegenstand des so auf Basis der ursprünglichen Offenbarung ausgelegten Patentanspruchs 1 beruht nicht auf einer erfinderischen Tätigkeit.

Von besonderer Bedeutung hierfür sind die Druckschriften D3 WINDECK, Christof: Wartungsschacht - Fernwartungstechnik für Bürocomputer. In: c't - Magazin für Computertechnik, Hannover: Heise-Verlag, 2007, Heft 16 (23.7.2007), Seiten 134 bis 139,

D4 Intel Active Management Technology Deployment and Reference Guide, Version 1.0, Oktober 2006 (recherchiert im Juni 2015). Im Internet: https://web.archive.org/web/2006 1207054519/http://download.intel.com/business/vpro/pdfs/ deployment_guide.pdf.

D3 bezieht sich auf das (auch in der Anmeldung genannte) Fernwartungs-System der Fa. Intel auf Basis der „Active Management Technology“ (AMT). Der Seite 135 sind verschiedene Maßnahmen zum Schutz vor unautorisierter Nutzung des Fernwartungszugangs (wie Passwörter, Verschlüsselung der Kommunikation) entnehmbar, es handelt sich also um ein „Verfahren zur eingriffbeständigen Steuerung“ eines PCs gemäß Merkmal (A).

Gemäß S. 135 linke Spalte oben sitzt „der eigentliche Management Controller … in der Northbridge“, er ist als separater Verwaltungsprozessor (Management Engine ME) im Sinne der Anmeldung zu verstehen. Der Abschnitt „Enterprise Mode“ (Seite 135, Kasten rechts oben) beschreibt die notwendigen Maßnahmen, wenn der Fernzugriff in bestimmter Weise verschlüsselt erfolgen soll. Dazu ist im Fernwartungsnetz ein „Provisioning Server“ vorgesehen, der beim Eintreffen eines

„Hello“-Paketes von einem AMT-Rechner auf dem TCP-Port 9971 den sendenden AMT-Rechner erkennt und diesen daraufhin initialisiert. Dies entspricht dem Merkmal (F), dass ein Provisioning des Verwaltungsprozessors durchgeführt wird basierend auf einer Kommunikation zwischen dem Verwaltungsprozessor (Management Engine des AMT-Rechners) und dem entfernten Server, und schlussendlich ein Fernzugriff über den Verwaltungsprozessor freigeschaltet wird.

Gemäß S. 135 Spalte 2, Abschnitt „Einschalten“, sind Setup-Menüs im BIOS vorgesehen, die u. a. „Zugriff auf ME BIOS Extensions bieten“; bzw. erfolgt „die AMTKonfiguration … im BIOS-Setup“. D. h. nach geeigneter Einstellung des BIOS-Menüs ist der Verwaltungsprozessor auch „für das Provisioning aktiviert“ (Bezug in Merkmal (F)). Weil eine Konfiguration „im BIOS“ erforderlich ist, wird der Fachmann davon ausgehen, dass generell irgendein Flag im BIOS gelesen wird, und nur bei entsprechender „Aktiv“-Stellung der Fernzugang und das Provisioning zugelassen sind (Merkmal (C), Teil von Merkmal (B) bzw. (B‘)); Details über bestimmte Flags und ihre Auswirkung sind der D3 jedoch nicht entnehmbar.

Wie zu Beginn des Abschnitts „Enterprise Mode“ dargestellt, benötigt die Management Engine kryptografische Schlüsselpaare und digitale Zertifikate, die nicht von vorneherein vorhanden sind. Gemäß dem letzten Satz des Abschnitts „Enterprise Mode“ können die erforderlichen Vorab-Schlüssel auch auf einem USB-Stick gespeichert sein, von wo sie der AMT-PC lesen und an den Provisioning-Server übertragen kann (Merkmale (D) und (E)).

Weitere Details zu den Einstell-Möglichkeiten bzw. -Erfordernissen im BIOS sind in der Druckschrift D4 zu finden, welche den „Reference Guide“ der Fa. Intel für die „Active Management Technology“ darstellt. Beispielsweise der Tabelle 1-2 „BIOS and MBEx setting“ auf Seite 4 im Abschnitt „Quick Start“ sind ein „Intel ® Management Engine“-Flag und ein „Intel AMT“-Flag entnehmbar, welche beide aktiv geschaltet („enabled“) sein müssen, damit ein Fernzugriff über AMT erfolgen kann (siehe dazu auch D4 Seite 73). (Die beiden Flags scheinen den Flags (44)

und (46) der Anmeldung zu entsprechen.) Ferner soll ein „Provisioning Mode“-Flag auf „Enterprise Mode“ gesetzt sein. Für den Fachmann ergibt sich, dass hier im Sinne von Merkmal (B‘) zwei Flags des elektronischen Gerätes (des PC) mit Firmware (nämlich beim Hochfahren des PCs) gelesen werden, wobei im aktiven Zustand beider Flags der (durch die Einstellung des „Provisioning Mode“-Flags) für das Provisioning aktivierte Verwaltungsprozessor (ME) mit einem entfernten Fernzugriffs-Server kommunizieren kann, und in einem inaktiven Zustand der Flags der für das Provisioning aktivierte Verwaltungsprozessor (26) daran gehindert ist.

Damit kann der Fachmann sämtliche Merkmale des Patentanspruchs 1 (in der Auslegung entsprechend Abschnitt 2.1) aus den Maßnahmen ableiten, die für die Intel „Active Management Technology“ in den Druckschriften D3 und D4 beschrieben sind.

2.3 Der Argumentation der Anmelderin kann nicht gefolgt werden.

Die Anmelderin hat ausgeführt, beim Stand der Technik sei der Verwaltungsprozessor als Default-Einstellung stets deaktiviert, was den Nachteil habe, dass zunächst eine manuelle Konfiguration an einem Client durchgeführt werden müsse, nämlich Aktivierung des AMT-Modus (im BIOS) und Neustart des Systems, wobei sich die durchführende Person am Ort des Client befinden müsse (siehe Eingabe vom 17. Juli 2015, Seite 4 oben).

Anmeldungsgemäß solle der Nachteil dadurch beseitigt werden, dass der normalerweise deaktivierte Verwaltungsprozessor jetzt als Default-Einstellung für das Provisioning aktiviert sei, und ferner ein zusätzliches Flag (50) vorgesehen sei, welches grundsätzlich anzeige, ob eine Fernwartung / ein Fernzugriff über den Verwaltungsprozessor zulässig sei oder nicht (siehe Eingabe vom 17. Juli 2015, Seite 4 unten / Seite 5 oben). Dadurch sei eine physische Anwesenheit des Systemadministrators vor Ort für die Einstellung des Verwaltungsprozessors für die Fernwartung nicht mehr erforderlich.

Für den Senat ist aber nicht ersichtlich, dass diese Ausführungen Eingang in den geltenden Patentanspruch 1 gefunden hätten. (Zunächst ist auch hier das Bezugszeichen richtigzustellen: nicht Flag (50), sondern Flag (44) oder Flag (46) zeigen grundsätzlich an, ob eine Fernwartung / ein Fernzugriff über den Verwaltungsprozessor zulässig ist oder nicht, siehe oben Abschnitt 2.1). Dass der Verwaltungsprozessor jetzt als Default-Einstellung für das Provisioning aktiviert wäre, ist den beanspruchten Merkmalen nicht zu entnehmen (ein Ausdruck „Default“ oder „Standard-Einstellung“ kommt nicht vor). Merkmal (B) nimmt lediglich auf einen „für das Provisioning aktivierten“ Verwaltungsprozessor Bezug, doch zu welchem Zeitpunkt und wodurch dieser aktiviert wurde, ist nicht beansprucht. Auch eine Vereinfachung der „manuellen Konfiguration“ ist nicht erkennbar – die beanspruchten Flags müssen in jedem Fall eingestellt werden, unverändert gegenüber dem Stand der Technik ist ein Eingriff ins BIOS und ein Neustart des Systems erforderlich. Dass die Flags „zusätzliche Flags“ seien, kann ausgehend von D4 Tabelle 1-2 ebenfalls nicht zugestanden werden.

Selbst wenn Merkmal (B) dahingehend umgedeutet würde, dass ein zusätzliches Flag (50) lediglich das Provisioning erlaubt oder verbietet, ist kein Grund erkennbar, warum dazu erfinderische Tätigkeit erforderlich sein sollte. Eine erstmalige Einstellung des Verwaltungsprozessors für die Fernwartung dürfte in jedem Fall einen geschulten Fachmann (Systemadministrator) erfordern. Wenn dieses jedoch grundsätzlich erfolgreich war, d. h. dass alle Systemadressen, die Netzwerkkonfiguration und die erforderlichen Passworte richtig eingestellt wurden, ist das spätere Provisioning beim Hochfahren des PCs auch im Stand der Technik ein automatischer Vorgang, für den kein besonderer Fachmann mehr gebraucht wird. Hier ein zusätzliches Flag vorzusehen, welches ein Provisioning bereits erlaubt, auch wenn der PC vom Nutzer für eine Fernwartung (durch die weiteren Flags) noch nicht freigegeben ist, mag unter bestimmten Umständen einen gewissen Zeitvorteil bieten, was für den Fachmann aber offensichtlich ist und keine erfinderische Leistung darstellt. Im Übrigen ist ein solcher Zeitablauf nicht offenbart, die Anmeldung ist lediglich auf den Ablauf des (aktivierten) Provisioning gerichtet.

2.4 Nach alledem ist der geltende Patentanspruch 1 jedenfalls schon deswegen nicht gewährbar, weil sein Gegenstand, wie der Fachmann ihn versteht, aus dem Stand der Technik ableitbar war. Weil dafür die geltende Formulierung anhand der ursprünglichen Offenbarung ausgelegt wurde, kann offenbleiben, ob sie in der vorliegenden Art überhaupt zulässig ist.

3. Mit dem nicht gewährbaren Patentanspruch 1 fallen auch die übrigen Ansprüche, weil über einen Antrag nur einheitlich entschieden werden kann.

Rechtsmittelbelehrung Gegen diesen Beschluss steht den am Beschwerdeverfahren Beteiligten das Rechtsmittel der Rechtsbeschwerde zu. Da der Senat die Rechtsbeschwerde nicht zugelassen hat, ist sie nur statthaft, wenn gerügt wird, dass

1. das beschließende Gericht nicht vorschriftsmäßig besetzt war, 2. bei dem Beschluss ein Richter mitgewirkt hat, der von der Ausübung des Richteramtes kraft Gesetzes ausgeschlossen oder wegen Besorgnis der Befangenheit mit Erfolg abgelehnt war, 3. einem Beteiligten das rechtliche Gehör versagt war, 4. ein Beteiligter im Verfahren nicht nach Vorschrift des Gesetzes vertreten war, sofern er nicht der Führung des Verfahrens ausdrücklich oder stillschweigend zugestimmt hat, 5. der Beschluss aufgrund einer mündlichen Verhandlung ergangen ist, bei der die Vorschriften über die Öffentlichkeit des Verfahrens verletzt worden sind, oder 6. der Beschluss nicht mit Gründen versehen ist.

Die Rechtsbeschwerde ist innerhalb eines Monats nach Zustellung des Beschlusses beim Bundesgerichtshof, Herrenstr. 45 a, 76133 Karlsruhe, durch einen beim Bundesgerichtshof zugelassenen Rechtsanwalt als Bevollmächtigten schriftlich einzulegen.

Dr. Morawek Eder Baumgardt Hoffmann Fa