Düsseldorfer Entscheidungen Nr. 3177
Landgericht Düsseldorf
Urteil vom 10. Dezember 2021, Az. 4b O 76/20
- Die Klage wird abgewiesen.
- Die Kosten des Rechtsstreits trägt die Klägerin.
- Das Urteil ist vorläufig vollstreckbar gegen Sicherheitsleistung in Höhe von 110 % des jeweils zu vollstreckenden Betrages.
- Tatbestand
- Die Klägerin macht gegen die Beklagten als im Patentregister eingetragene Inhaberin (vgl. Registerauszug Stand 27. April 2020, Anlage KAP B 5) auf die Verletzung des deutschen Teils des europäischen Patents 2 944 XXX B 1 (im Folgenden Klagepatent, Anlage KAP B 4, in deutscher Übersetzung vorgelegt als Anlage KAP B 4a) gestützte Ansprüche auf Unterlassung, Auskunftserteilung, Rechnungslegung, Rückruf und Vernichtung sowie Feststellung der Schadensersatzpflicht dem Grunde nach geltend.
- Die in englischer Verfahrenssprache verfasste Anmeldung des Klagepatents mit der Bezeichnung „Rule Swapping in a Packet Network“ datiert vom 2. Dezember 2013. Das Klagepatent nimmt eine Priorität vom 11. Januar 2013 (US 201313739XXX) in Anspruch. Die Offenlegung der Anmeldung erfolgte am 18. November 2015, die Veröffentlichung des Hinweises auf die Patenterteilung datiert vom 20. Februar 2019.
- Der Wortlaut der hier maßgeblichen Klagepatentansprüche 1, 14 und 15 lautet wie folgt:
- „1. A method comprising:
at a network protection device (100): - receiving a first rule set;
receiving a second rule set;
preprocessing the first rule set and the second rule set;
configuring a plurality of processors (300, 302, 304) of the network protection device to process packets in accordance with the first rule set;
receiving packets;
processing, by at least two of the plurality of processors, a first portion of the packets in accordance with the first rule set;
signalling each of the at least two of the plurality of processors to process packets in accordance with the second rule set;
responsive to the signalling to process packets in accordance with the second rule set: - ceasing, by each of the at least two of the plurality of processors, processing of the packets;
caching, by each of the at least two of the plurality of processors, unprocessed packets;
reconfiguring each of the at least two of the plurality of processors to process packets in accordance with the second rule set; and signalling, by each of the at least two of the plurality of processors, completion of reconfiguration to process packets in accordance with the second rule set; and - responsive to receiving signalling that each of the at least two of the plurality of processors has completed reconfiguration to process packets in accordance with the second rule set, processing, by the at least two of the plurality of processors, the cached unprocessed packets.
- 14. A network device apparatus (100), comprising:
a plurality of processors (300, 392, 304); and a memory storing instructions that when executed by at least one processor of the plurality of processors cause the apparatus to perform the method of any of claims 1-13. - 15. One or more non-transitory computer-readable media having instructions stored thereon, that when executed by one or more computers, cause the one or more computers to perform the method of any of claims 1-13.”
- und in deutscher Übersetzung:
- „1. Verfahren, aufweisend:
- an einer Netzwerkschutzvorrichtung (100): ein Empfangen einer ersten Regelgruppe; ein Empfangen einer zweiten Regelgruppe;
ein Vorverarbeiten der ersten Regelgruppe und der zweiten Regelgruppe;
ein Konfigurieren einer Mehrzahl von Prozessoren (300, 302, 304) der Netzwerkschutzvorrichtung zum Verarbeiten von Paketen gemäß der ersten Regelgruppe;
ein Empfangen von Paketen;
ein Verarbeiten eines ersten Teils der Pakete gemäß der ersten Regelgruppe durch mindestens zwei aus der Mehrzahl von Prozessoren;
ein Signalisieren an jeden der mindestens zwei aus der Mehrzahl von Prozessoren, Pakete gemäß der zweiten Regelgruppe zu verarbeiten;
in Reaktion auf die Signalisierung, Pakete gemäß der zweiten Regelgruppe zu verarbeiten: - ein Beenden des Verarbeitens der Pakete durch jeden der mindestens zwei aus der Mehrzahl von Prozessoren;
ein Zwischenspeichern von unverarbeiteten Paketen durch jeden der mindestens zwei aus der Mehrzahl von Prozessoren;
ein Neukonfigurieren von jedem der mindestens zwei aus der Mehrzahl von Prozessoren, Pakete gemäß der zweiten Regelgruppe zu verarbeiten; und
ein Signalisieren des Abschlusses der Neukonfiguration zum Verarbeiten von Paketen gemäß der zweiten Regelgruppe durch jeden der mindestens zwei aus der Mehrzahl von Prozessoren; und - in Reaktion auf ein Empfangen der Signalisierung, das jeder der mindestens zwei aus der Mehrzahl von Prozessoren die Neukonfiguration zum Verarbeiten von Paketen gemäß der zweiten Regelgruppe abgeschlossen hat, ein Verarbeiten der zwischengespeicherten unverarbeiteten Pakete durch die mindestens zwei aus der Mehrzahl von Prozessoren.
- 14. Netzwerkschutzvorrichtung (100), aufweisend:
- eine Mehrzahl von Prozessoren (300, 392, 304); und
einen Arbeitsspeicher, der Anweisungen speichert, die, wenn sie von mindestens einem Prozessor aus der Mehrzahl von Prozessoren ausgeführt werden, die Vorrichtung veranlassen, das Verfahren nach einem der Ansprüche 1 bis 13 auszuführen. - 15. Eine oder mehrere nicht flüchtige, von einem Computer lesbare Medien mit darauf gespeicherten Anweisungen, die, wenn sie von einem oder mehreren Computern ausgeführt werden, den einen oder die mehreren Computer veranlassen, das Verfahren nach einem der Ansprüche 1 bis 13 auszuführen.“
- Zur Verdeutlichung der geschützten technischen Lehre werden nachfolgende Abbildungen, die aus der Klagepatentschrift stammen, wiedergegeben. Figur 1 zeigt eine Netzwerkschutzvorrichtung:
- Die Figuren 3A bis 3F zeigen Aspekte einer Netzwerkschutzvorrichtung, die mehrere Prozessoren synchronisiert, die einen schnellen Austausch von Regeln durchführen:
- Das Klagepatent steht in Kraft.
- Gegen das Klagepatent ist beim Bundespatentgericht Nichtigkeitsklage erhoben worden, über die noch nicht entschieden worden ist.
- Die Beklagte zu 1) ist die Muttergesellschaft der Beklagten zu 2) und vertreibt weltweit Hard- und Software auf dem Gebiet der Netzwerksicherheit und des Netzwerkmanagements wie beispielsweise Router, Switches und Firewalls jeweils mit zugehöriger Software. Die Beklagte zu 2) ist die deutsche Tochtergesellschaft der Beklagten zu 1). Der Gesellschaftszweck der Beklagten zu 1) liegt in Vertrieb und Marketing von und dem Handel mit Telekommunikationsgeräten sowie damit zusammenhängender technischer Beratung. Die Beklagte zu 2) ist zudem Betreiberin der deutschsprachigen Internetpräsenz des Konzerns, die in Auszügen als Anlage KAP B 5 vorliegt.
- Mit ihrer Klage wendet sich die Klägerin gegen Angebot und Vertrieb von
- A der X, X, X Serie mit B Betriebssystem ab Version X in Verbindung mit der Software C (C Center Software mit SD-Access) (nachfolgend „angegriffene Ausführungsform I“),
- D („ASR“) der X Serie mit B Betriebssystem ab Version X in Verbindung mit der Software C (C Center Software mit SD-Access) (nachfolgend „angegriffene Ausführungsform III“),
- E („ISR) der 1000er und 4000er Serie mit B Betriebssystem ab Version X in Verbindung mit der Software C (C Center Software mit SD-Access) (nachfolgend „angegriffene Ausführungsform IV“),
- F („ASA“) Firewall der X Serie mit Firepower Service mit ASA Software ab Version X (oder mit Firepower Threat Defence („FTD“) Software ab Version X) in Verbindung mit G und H (FMC) (nachfolgend „angegriffene Ausführungsform V“),
- I der X, X, X, X Serie mit Firepower Threat Defense Software ab Version X in Verbindung mit G und H (FMC) (nachfolgend „angegriffene Ausführungsform VI“).
- Hinsichtlich der angegriffenen Ausführungsformen I, III und IV bildet die sog. J Digital Network Architecture (C) die zentrale Verwaltungseinheit, anhand derer das Betriebssystem der Netzwerkkomponenten (Switches, Router u.a.) zentral gesteuert werden kann. Dabei setzt sich die C zusammen aus dem SDN-Controller und der C Center Software mit SD-Access, die auf dem Controller installiert ist.
- Hinsichtlich der angegriffenen Ausführungsformen V und VI bildet das sog. J Firepower Management Center (J FMC) die zentrale Verwaltungseinheit, über die die Firewalls gesteuert werden können. Das J FMC besteht aus der „Firepower Management Center Software ab Version 6.0 mit Firepower Software“ und „H“ sowie einem Netzwerk-Controller bzw. einer sog. „virtuellen Maschine“, die die Rechnerarchitektur eines real in Hardware existierenden oder eines hypothetischen Rechners nachbildet.
- Diese sog. Software-Defined-Access-Netzwerkarchitektur („Software Defined Networking“ oder „SDN“) bestehend aus C bzw. J FMC und den jeweiligen Hardwarekomponenten ermöglicht es dem Administrator die Netzwerkkomponenten zentral steuern zu können, ohne einzelne Netzwerkkomponenten über das jeweils herstellerspezifische Betriebssystem konfigurieren und überwachen zu müssen. Der Aufbau des SDN ist nachfolgend am Beispiel des C veranschaulicht (der Klageschrift entnommen auf Seite 38):
- Der Administrator richtet über das DNA-Center bzw. über die FMC-Software sog. „policies“ ein, die an die Netzwerkkomponenten verteilt und dort implementiert werden. Anhand dieser „policies“ erfolgt sodann die Paketdatenverarbeitung in den jeweiligen Netzwerkkomponenten. Die Funktionalität der Paketdatenverarbeitung ist in den „Uniform Access Data Plane“-Prozessoren (UADP) der Router und Switches gemäß dem nachfolgenden Schaubild angelegt (der Replik der Klägerin auf Seite 76 entnommen):
- Die zu verarbeitenden Datenpakete erreichen die Switches bzw. Router über die Network Interfaces bzw. Front Panel Ports und werden von dort über die Media Access Control Security („MACSec“) an den Ingress First In First Out („Ingress FIFO“) weitergeleitet, der die Datenpakete ordnet. In einem nächsten Schritt werden die Nutzdaten der Datenpakete an den Packet Buffer Complex („PCB“) gesendet und dort zwischengespeichert. Kopfzeile („header“) und Adresse des Datenpakets werden an den Ingress Forwarding Controller weitergegeben und dort mit einer Vielzahl von Zugriffskontrolllisten („Access Control Lists“, „ACLs“) abgeglichen. Das Datenpaket wird sodann entweder verworfen oder – sofern es nicht verworfen wird – an den Egress Forwarding Controller („EFC“) weitergesendet. Der EFC gleicht den Header des Datenpakets ebenfalls mit einer Vielzahl von ACLs ab und verwirft das Datenpaket oder leitet es über den Egress FIFO an den Egress MACSec weiter. Über das Network Interface bzw. den Front Panel Port gelangt das Datenpaket ins Netzwerk. Diese Datenverarbeitungsschritte erfolgen im UADP-Core Prozessor nach vorgegebenen Zeitintervallen.
- Ein anstehender Wechsel bzw. eine anstehende Aktualisierung der in den Netzwerkkomponenten vorhandenen Access Control Lists, wird über das DNA-Center gesteuert, das das ACL-Wechselverfahren „Hitless (Atomic) ACL Change Flow“ initiiert. Dieses Wechselverfahren weist die folgenden Verfahrensschritte auf (entnommen aus der Replik Seite 73):
- Zunächst wird in einem ersten Schritt ein Zugangskontrolleintrag („Access Control Entry“, „ACE“) in der Access Control List („ACL“) hinzugefügt, entfernt, modifiziert oder resequenziert. Gemäß den Verfahrensschritten 2 bis 6 wird eine neue VMR-Liste erstellt, zusammengesetzt und optimiert. In dem Verfahrensschritt 7 wird verifiziert, ob die jeweilige Netzwerkkomponente Hitless ACL Change unterstützt und – sofern dies der Fall ist – werden über das DNA-Center VCUs an die Netzwerkkomponente übermittelt. Sodann werden gemäß den Schritten 9 und 10 TCAM-Einträge erstellt und alte Einträge aus dem TCAM-Zwischenspeicher der Netzwerkkomponente gelöscht.
- Hinsichtlich der FMC-Software erfolgen Aktualisierungen gemäß der Systematik des oben dargestellten Verfahrensablaufs.
- Die Klägerin ist der Ansicht, bei den von den Beklagten vertriebenen angegriffenen Ausführungsformen handele es sich um klagepatentgemäße Vorrichtungen, die das klagepatentgemäße Verfahren zum Korrelieren von Paketen in Kommunikationsnetzwerken nutzen.
- Hitless (Atomic) ACL Change Flow sei ein ACL-Wechselverfahren. Gemäß Schritt 7 sende die DNA einen neuen Regelsatz an die einzelnen Komponenten – z.B. einen Switch – was ein Signal darstelle, den Regelsatz zu ändern. In den Schritten 9 und 10 würden die neuen TCAM-Einträge – mithin Regelgruppen – erstellt und die alten TCAM-Einträge gelöscht. Somit erfolge der Wechsel der alten Regelgruppe auf die neue Regelgruppe. Der Abschluss der Neukonfiguration erfolge sodann über Schritt 11 „return success“.
- Dieser Regelgruppenwechsel finde in einer Ruhephase der Datenverarbeitung, dem sog. „idle mode“ statt. In Abstimmung auf die programmierten Pausen sende die DNA einen neuen Regelsatz. Zum Zeitpunkt des Regelwechsels nicht verarbeitete Datenpakete würden in dieser Phase – unstreitig – nicht verloren gehen, sondern in einem Speicher gehalten. Ob dieses Zwischenspeichern wegen des Regelwechsels erfolge oder im Datenverarbeitungsprozess immer stattfinde, sei für die Verwirklichung des klagepatentgemäßen Verfahrens nicht entscheidend.
- Die Klägerin beantragt, nachdem sie die Klage hinsichtlich der angegriffenen Ausführungsform II zurückgenommen hat, nunmehr,
- I.
die Beklagten zu verurteilen, - 1.
es bei Meldung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes jeweils bis zu 250.000,00 Euro – ersatzweise Ordnungshaft – oder einer Ordnungshaft bis zu 6 Monaten, im Fall wiederholter Zuwiderhandlung bis zu insgesamt 2 Jahren, wobei die Ordnungshaft hinsichtlich der Beklagten zu 1) an ihrem CEO und hinsichtlich der Beklagten zu 2) an ihrem Geschäftsführer zu vollziehen ist,
zu unterlassen - a) Netzwerkschutzvorrichtungen mit einer Mehrzahl von Prozessoren und einem Speicher, der Anweisungen speichert,
- in der Bundesrepublik Deutschland anzubieten oder in Verkehr zu bringen oder zu den genannten Zwecken einzuführen,
- wobei die gespeicherten Anweisungen, wenn sie von mindestens einem Prozessor aus der Mehrzahl von Prozessoren ausgeführt werden, die Vorrichtung veranlassen, folgende Verfahrensschritte auszuführen:
- Empfangen einer ersten Regelgruppe;
Empfangen einer zweiten Regelgruppe;
Vorverarbeiten der ersten Regelgruppe und der zweiten Regelgruppe;
Konfigurieren einer Mehrzahl von Prozessoren der Netzwerkschutzvorrichtung zum Verarbeiten von Paketen gemäß der ersten Regelgruppe;
Empfangen von Paketen;
Verarbeiten eines ersten Teils der Pakete gemäß der ersten Regelgruppe durch mindestens zwei aus der Mehrzahl von Prozessoren;
Signalisieren an jeden der mindestens zwei aus der Mehrzahl von Prozessoren, Pakete gemäß der zweiten Regelgruppe zu verarbeiten;
in Reaktion auf die Signalisierung, Pakete gemäß der zweiten Regelgruppe zu verarbeiten:
Beenden des Verarbeitens der Pakete durch jeden der mindestens zwei aus der Mehrzahl von Prozessoren;
Zwischenspeichern von unverarbeiteten Paketen durch jeden der mindestens zwei aus der Mehrzahl von Prozessoren;
Neukonfigurieren von jedem der mindestens zwei aus der Mehrzahl von Prozessoren, Pakete gemäß der zweiten Regelgruppe zu verarbeiten; und
Signalisieren des Abschlusses der Neukonfiguration zum Verarbeiten von Paketen gemäß der zweiten Regelgruppe durch jeden der mindestens zwei aus der Mehrzahl von Prozessoren; und
in Reaktion auf das Empfangen der Signalisierung, dass jeder der mindestens zwei aus der Mehrzahl von Prozessoren die Neukonfiguration zum Verarbeiten von Paketen gemäß der zweiten Regelgruppe abgeschlossen hat,
Verarbeiten der zwischengespeicherten unverarbeiteten Pakete durch die mindestens zwei aus der Mehrzahl von Prozessoren; - und/oder
- b) Netzwerkschutzvorrichtungen – insbesondere Switches, Router und Firewalls gemeinsam mit Hard- und/oder Software-Controllern –
- Abnehmern in der Bundesrepublik Deutschland anzubieten und/oder an solche zu liefern,
- die zur Ausführung der folgenden Verfahrensschritte geeignet sind:
- Empfangen einer ersten Regelgruppe;
Empfangen einer zweiten Regelgruppe;
Vorverarbeiten der ersten Regelgruppe und der zweiten Regelgruppe;
Konfigurieren einer Mehrzahl von Prozessoren der Netzwerkschutzvorrichtung zum Verarbeiten von Paketen gemäß der ersten Regelgruppe;
Empfangen von Paketen;
Verarbeiten eines ersten Teils der Pakete gemäß der ersten Regelgruppe durch mindestens zwei aus der Mehrzahl von Prozessoren;
Signalisieren an jeden der mindestens zwei aus der Mehrzahl von Prozessoren, Pakete gemäß der zweiten Regelgruppe zu verarbeiten;
in Reaktion auf die Signalisierung, Pakete gemäß der zweiten Regelgruppe zu verarbeiten:
Beenden des Verarbeitens der Pakete durch jeden der mindestens zwei aus der Mehrzahl von Prozessoren;
Zwischenspeichern von unverarbeiteten Paketen durch jeden der mindestens zwei aus der Mehrzahl von Prozessoren;
Neukonfigurieren von jedem der mindestens zwei aus der Mehrzahl von Prozessoren, Pakete gemäß der zweiten Regelgruppe zu verarbeiten; und
Signalisieren des Abschlusses der Neukonfiguration zum Verarbeiten von Paketen gemäß der zweiten Regelgruppe durch jeden der mindestens zwei aus der Mehrzahl von Prozessoren; und
in Reaktion auf das Empfangen der Signalisierung, dass jeder der mindestens zwei aus der Mehrzahl von Prozessoren die Neukonfiguration zum Verarbeiten von Paketen gemäß der zweiten Regelgruppe abgeschlossen hat,
Verarbeiten der zwischengespeicherten unverarbeiteten Pakete durch die mindestens zwei aus der Mehrzahl von Prozessoren; - und/oder
- c) eine oder mehrere nicht flüchtige, von einem Computer lesbare Medien mit darauf gespeicherten Anweisungen,
- in der Bundesrepublik Deutschland anzubieten oder in Verkehr zu bringen oder zu den genannten Zwecken einzuführen,
- die, wenn sie von einem oder mehreren Computern ausgeführt werden, den einen oder die mehreren Computer veranlassen, folgende Verfahrensschritte auszuführen:
Empfangen einer ersten Regelgruppe;
Empfangen einer zweiten Regelgruppe;
Vorverarbeiten der ersten Regelgruppe und der zweiten Regelgruppe;
Konfigurieren einer Mehrzahl von Prozessoren der Netzwerkschutzvorrichtung zum Verarbeiten von Paketen gemäß der ersten Regelgruppe;
Empfangen von Paketen;
Verarbeiten eines ersten Teils der Pakete gemäß der ersten Regelgruppe durch mindestens zwei aus der Mehrzahl von Prozessoren;
Signalisieren an jeden der mindestens zwei aus der Mehrzahl von Prozessoren, Pakete gemäß der zweiten Regelgruppe zu verarbeiten;
in Reaktion auf die Signalisierung, Pakete gemäß der zweiten Regelgruppe zu verarbeiten:
Beenden des Verarbeitens der Pakete durch jeden der mindestens zwei aus der Mehrzahl von Prozessoren;
Zwischenspeichern von unverarbeiteten Paketen durch jeden der mindestens zwei aus der Mehrzahl von Prozessoren;
Neukonfigurieren von jedem der mindestens zwei aus der Mehrzahl von Prozessoren, Pakete gemäß der zweiten Regelgruppe zu verarbeiten; und
Signalisieren des Abschlusses der Neukonfiguration zum Verarbeiten von Paketen gemäß der zweiten Regelgruppe durch jeden der mindestens zwei aus der Mehrzahl von Prozessoren; und
in Reaktion auf das Empfangen der Signalisierung, dass jeder der mindestens zwei aus der Mehrzahl von Prozessoren die Neukonfiguration zum Verarbeiten von Paketen gemäß der zweiten Regelgruppe abgeschlossen hat,
Verarbeiten der zwischengespeicherten unverarbeiteten Pakete durch die mindestens zwei aus der Mehrzahl von Prozessoren; - 2.
der Klägerin in einer chronologisch geordneten und nach Jahren und Typen gegliederten Aufstellung darüber Auskunft zu erteilen, in welchem Umfang sie (die Beklagten) die zu I.1. bezeichneten Handlungen seit dem 20.02.2019 begangen haben, und zwar unter Angabe - a) der Namen und der Anschriften der Hersteller, Lieferanten und anderer Vorbesitzer,
b) der Namen und Anschriften der gewerblichen Abnehmer und Verkaufsstellen, für welche die Erzeugnisse bestimmt waren,
c) der Menge der ausgelieferten, erhaltenen oder bestellten Erzeugnisse sowie über die Preise, die für die betreffenden Erzeugnisse bezahlt wurden; - wobei
- – zum Nachweis der Angaben die entsprechenden Kaufbelege (nämlich Rechnungen, hilfsweise Lieferscheine) in Kopie vorzulegen sind.
– geheimhaltungsbedürftige Details außerhalb der auskunftspflichtigen Daten geschwärzt werden dürfen,
– die Aufstellung mit den Daten der Auskunft in einer mittels EDV auswertbaren, elektronischen Form zu übermitteln ist; - 3.
der Klägerin in einer chronologisch geordneten und nach Jahren und Typen gegliederten Aufstellung darüber Rechnung zu legen, in welchem Umfang sie (die Beklagten) die zu I.1. bezeichneten Handlungen seit dem 20.03.2019 begangen haben, und zwar unter der Angabe - a) der einzelnen Lieferungen, aufgeschlüsselt nach Liefermengen, -zeiten und -preisen und den jeweiligen Typenbezeichnungen sowie der Namen und Anschriften der Abnehmer, einschließlich der Verkaufsstellen für die die Erzeugnisse bestimmt waren,
b) der einzelnen Angebote, aufgeschlüsselt nach Angebotsmengen, -zeiten und -preisen und den jeweiligen Typenbezeichnungen sowie den Namen und Anschriften der gewerblichen Angebotsempfänger,
c) der betriebenen Werbung, aufgeschlüsselt nach Werbeträgern, deren Auflagenhöhe, Verbreitungszeitraum und Verbreitungsgebiet, im Falle von Internetwerbung der Domain, den Zugriffszahlen und der Schaltungszeiträume, und bei direkter Werbung, wie Rundbriefen, den Namen und Anschriften der Empfänger,
d) der nach den einzelnen Kostenfaktoren aufgeschlüsselten Gestehungskosten und des erzielten Gewinns, - wobei
- – die Aufstellung mit den Daten der Rechnungslegung in einer mittels EDV auswertbaren, elektronischen Form zu übermitteln ist; und
– es den Beklagten vorbehalten bleibt, die Namen und Anschriften der nicht gewerblichen Abnehmer, der Angebotsempfänger und der Empfänger direkter Werbung statt der Klägerin einem von dieser zu bezeichnenden und ihr gegenüber zur Verschwiegenheit verpflichteten, in der Bundesrepublik Deutschland ansässigen, vereidigten Wirtschaftsprüfer mitzuteilen, sofern die Beklagten dessen Kosten tragen und ihn zugleich ermächtigen und verpflichten, der Klägerin auf konkrete Anfrage mitzuteilen, ob ein bestimmter Abnehmer, Angebotsempfänger oder Empfänger direkter Werbung in der Aufstellung enthalten ist; - 4.
die unter I.1.a) und I.1.c) bezeichneten, seit dem 20.02.2019 in Verkehr gebrachten Netzwerkschutzvorrichtungen gegenüber den inländischen gewerblichen Abnehmern unter Hinweis darauf, dass die Kammer mit ihrem Urteil eine Verletzung des Klagepatents ausgesprochen hat, mit der verbindlichen Zusage aus den Vertriebswegen zurückzurufen, etwaige Entgelte zu erstatten sowie notwendige Verpackungs- und Transportkosten sowie mit der Rückgabe der Netzwerkschutzvorrichtungen verbundene Zoll- und Lagerkosten zu übernehmen und die Netzwerkschutzvorrichtungen wieder an sich zu nehmen; - 5.
nur die Beklagten zu 2): die in der Bundesrepublik Deutschland in ihrem unmittelbaren oder mittelbaren Besitz und/oder Eigentum befindlichen, oben unter I.1.a) und I.1.c) bezeichneten Netzwerkschutzvorrichtungen auf eigene Kosten zu vernichten oder nach ihrer Wahl an einen von der Klägerin zu benennenden Gerichtsvollzieher zum Zwecke der Vernichtung auf Ihre – der Beklagten zu 2) – Kosten herauszugeben; - II.
festzustellen, dass die Beklagten verpflichtet sind, der Klägerin allen Schaden zu ersetzen, der ihr durch die unter I.1. bezeichneten, seit dem 20.03.2019 begangenen Handlungen entstanden ist und noch entstehen wird. - Die Beklagten beantragen,
- die Klage abzuweisen,
- hilfsweise
den Rechtsstreit bis zur rechtskräftigen Entscheidung im Nichtigkeitsverfahren (Az. 5 Ni 48/XX (EP)) gegen den deutschen Teil des EP 2 944 XXX B 1 auszusetzen. - Die Beklagten sind der Ansicht, sie brächten das klagepatentgemäß geschützte Verfahren nicht zur Anwendung, auch machten die angegriffenen Ausführungsformen von der Lehre des Klagepatents keinen Gebrauch.
- Bei sämtlichen angegriffenen Ausführungsformen fehle es an einem Signalisieren; insbesondere finde weder ein Zwischenspeichern noch ein Stoppen der Datenverarbeitung anlässlich der Signalisierung, Datenpakete nunmehr nach der zweiten Regelgruppe zu verarbeiten, statt. Erforderlich sei ein Kausalverhältnis im Sinne einer conditio sine qua non.
- Eine Unterbrechung der Datenverarbeitung finde nicht statt. Das Ablegen von Datenpaketen in einem Speicher, damit überhaupt eine Regelgruppe darauf angewendet werden könne, sei notwendiger und integraler Bestandteil einer jeden Datenverarbeitung. Die Pausen bei der Anwendung von Regelgruppen, die nur deshalb auftreten, um die Datenpakete zu speichern, damit überhaupt erst Regelgruppen auf sie angewendet werden könnten, seien Teil der Datenverarbeitung und kein Stoppen im Sinne des Klagepatents.
- Bei keiner der angegriffenen Ausführungsformen werde die Verarbeitung von Datenpaketen gestoppt – insbesondere nicht aufgrund eines Regelwechsels bzw. Updates der Datenverarbeitungsregeln. Die Prozessoren sämtlicher angegriffener Ausführungsformen würden Datenpakete solange nach der alten Regelgruppe verarbeiten bis die neue Regelgruppe einsatzbereit sei. Der Wechsel erfolge – für jeden Prozessor einzeln – zwischen den Paketen und ohne Verlangsamung des normalen Takts der Datenverarbeitung.
- Anlässlich eines Regelgruppenwechsels würden zudem keine Datenpakete in einen Zwischenspeicher verschoben. Es fehle an dem erforderlichen Kausalzusammenhang. Jedes Datenpaket, das anhand einer Regelgruppe verarbeitet werden soll, werde in einem Speicher abgelegt und mit einer Regelgruppe abgeglichen. Dies erfolge bei sämtlichen angegriffenen Ausführungsformen unabhängig von der Signalisierung eines Regelgruppenwechsels und sei zwingende Voraussetzung für eine Datenverarbeitung nach Regelgruppen.
- Wegen der weiteren Einzelheiten des Sach- und Streitstandes wird auf die zwischen den Parteien gewechselten Schriftsätze und auf die zu den Akten gereichten Unterlagen Bezug genommen.
- Entscheidungsgründe
- Die zulässige Klage ist nicht begründet.
Der Klägerin stehen die geltend gemachten Ansprüche auf Unterlassen, Auskunft und Rechnungslegung, Rückruf und Vernichtung sowie Schadensersatz dem Grunde nach gemäß Art. 64 Abs. 1 EPÜ i. V. m. §§ 139 Abs. 1, 2; 140a Abs. 1 und 3; 140b Abs. 1 und 3 PatG, §§ 242, 259 BGB nicht zu (dazu unter Ziffer II). - I.
Die Erfindung des Klagepatents betrifft den Austausch von Regeln in einem Paketnetz. - Zum Hintergrund der Erfindung führt das Klagepatent einleitend aus, dass Netzwerkschutzvorrichtungen (z.B. Firewalls) Regeln hinsichtlich von paketvermitteltem Netzwerkverkehr, der bei den von ihnen geschützten Geräten eingeht bzw. von diesen ausgeht, umsetzen (Abs. [0001] des Klagepatents; nachfolgend sind Abschnitte ohne Bezeichnung solche des Klagepatents). Vorrichtungen dieser Art verglichen die Regel mit dem Verkehr. Könne eine Übereinstimmung gefunden werden, so würden die Vorrichtungen die mit den Regeln verbundenen Handlungen auf den Verkehr anwenden, z.B. dem Verkehr erlauben, die Netzwerkgrenze zu überqueren oder den Verkehr vom Überqueren der Grenze abhalten. Derartige Regeln würden, so das Klagepatent, häufig in Regelgruppen zusammengefasst, die eine oder mehrere Netzwerkrichtlinien bildeten. Allerdings steige mit zunehmender Komplexität des Netzwerks die Anzahl der Regeln in einer Regelgruppe entsprechend an. Die Anzahl der Regeln in einer Regelgruppe könne zudem ansteigen, weil der Administrator wünscht, den Netzwerkverkehr mit einem hohen Grad an Granularität zu steuern.
- Netzwerkschutzvorrichtungen benötigten, so das Klagepatent in Abschnitt [0002], Zeit für das Umschalten zwischen Regelgruppen. Mit zunehmender Komplexität der Regelgruppe werde die für das Umschalten zwischen ihnen benötigte Zeit zu einer Hürde für die effektive Implementierung. Beispielsweise könne es sein, dass eine Netzwerkschutzvorrichtung wegen einer Ressourcenauslastung aufgrund der Implementierung der neuen Regelgruppe nicht in der Lage sei, den Netzwerkverkehr zu verarbeiten, während sie zwischen Regelgruppen umschaltet. Außerdem könne es sein, dass eine Netzwerkschutzvorrichtung während der Implementierung einer neuen Regelgruppe weiterhin gemäß einer veralteten Regelgruppe verarbeite. Unter bestimmten Umständen (z.B. im Falle eines Netzwerkangriffs) könne eine derartige Verarbeitung den Impuls für die Regelgruppenumschaltung (z.B. Auswirkung des Netzwerkangriffs) erschweren anstatt ihn abzuschwächen.
- Die EP1313XXX (Anlage KAP B 6) offenbare eine Computervorrichtung, die zusätzlich zu bzw. anstelle von einer Firewall im internen Netzwerk, die den Computer schütze, während dieser mit einem Heimnetzwerk verbunden sei, über einen lokalen Sicherheitsmechanismus, eine persönliche Firewall, verfüge, um die Computervorrichtung vor Angriffen von einem fremden Netz zu schützen. Die persönliche Firewall aktiviere eine vorgegebene Gruppe von Sicherheitsregeln gemäß dem erkannten, aktuellen Standort der Computervorrichtung, d.h. die persönliche Firewall verwende automatisch Sicherheitsregeln, die für das Netzwerk, mit dem die Computervorrichtung zum jeweiligen Zeitpunkt verbunden ist, vordefiniert seien.
- Weiterhin offenbare die WO2005046XXX (Anlage KAP B 7) eine anpassbare Netzwerkbrücke mit einer Rule Engine, die die Anpassung der Brücke auf sich dynamisch ändernde Bedingungen, beispielsweise im Zusammenhang mit Netzwerkbedingungen und Benutzerkontext, vereinfache. Die Einfachheit werde erreicht, indem vorgegeben werde, wie Datenrahmen im Sinne von Schaltregeln verarbeitet und umgeschaltet werden sollen.
- Das Klagepatent hat es sich vor diesem Hintergrund zur Aufgabe gemacht, ein Verfahren zur Verfügung zu stellen, das die beschriebenen Probleme des Standes der Technik überwindet.
- Dies soll durch die unabhängigen Klagepatentansprüche 1, 14 und 15 erreicht werden, deren Merkmale wie folgt gegliedert werden können:
- 1.1. Verfahren, aufweisend an einer Netzwerkschutzvorrichtung (100):
- 1.2. ein Empfangen einer ersten Regelgruppe;
1.3. ein Empfangen einer zweiten Regelgruppe;
1.4. ein Vorverarbeiten der ersten Regelgruppe und der zweiten Regelgruppe
1.5. ein Konfigurieren einer Mehrzahl von Prozessoren (300, 302, 304) der Netzwerkschutzvorrichtung
1.5.1 zum Verarbeiten von Paketen gemäß der ersten Regelgruppe;
1.6. ein Empfangen von Paketen;
1.7 ein Verarbeiten eines ersten Teils der Pakete gemäß der ersten Regelgruppe
1.7.1 durch mindestens zwei aus einer Mehrzahl von Prozessoren;
1.8. ein Signalisieren an jeden der mindestens zwei aus einer Mehrzahl von Prozessoren,
1.8.1 Pakete gemäß der zweiten Regelgruppe zu verarbeiten;
1.9. in Reaktion auf die Signalisierung Pakete gemäß der zweiten Regelgruppe zu verarbeiten:
1.9.1. ein Beenden des Verarbeitens der Pakete durch jeden der mindestens zwei aus der Mehrzahl von Prozessoren;
1.9.2 ein Zwischenspeichern von unverarbeiteten Paketen durch jeden der mindestens zwei aus einer Mehrzahl von Prozessoren;
1.9.3 ein Neukonfigurieren von jedem der mindestens zwei aus der Mehrzahl von Prozessoren, Pakete gemäß der zweiten Regelgruppe zu verarbeiten; und
1.9.4 ein Signalisieren des Abschlusses der Neukonfiguration zum Verarbeiten von Paketen gemäß der zweiten Regelgruppe
1.9.4.1 durch jeden der mindestens zwei aus der Mehrzahl von Prozessoren; und
1.10. in Reaktion auf ein Empfangen der Signalisierung, das jeder der mindestens zwei aus der Mehrzahl von Prozessoren die Neukonfiguration zum Verarbeiten von Paketen gemäß der zweiten Regelgruppe abgeschlossen hat,
1.10.1 ein Verarbeiten der zwischengespeicherten unverarbeiteten Pakete durch die mindestens zwei aus der Mehrzahl von Prozessoren. -
14.1.
Netzwerkschutzvorrichtung (100), aufweisend:
14.2. eine Mehrzahl von Prozessoren (300, 392, 304); und
14.3. einen Arbeitsspeicher, der Anweisungen speichert, die,
14.3.1. wenn sie von mindestens einem Prozessor aus einer Mehrzahl von Prozessoren ausgeführt werden,
14.3.2. die Vorrichtung veranlassen, das Verfahren nach einem der Ansprüche 1 bis 13 auszuführen. -
15.1. Eine oder mehrere nicht flüchtige, von einem Computer lesbare Medien mit darauf gespeicherten Anweisungen, die
15.1.1 wenn sie von einem oder mehreren Computern ausgeführt werden,
15.1.2. den einen oder die mehreren Computer veranlassen, das Verfahren nach einem der Ansprüche 1 bis 13 auszuführen. - II.
Angebot und Vertrieb der angegriffenen Ausführungsformen begründen keine mittelbare Verletzung, da sie nicht geeignet sind, ein Verfahren mit den Merkmalen 1.2 bis 1.5 in der vorgegebenen Reihenfolge sowie mit den Merkmalsgruppen 1.8, 1.9 und 1.10 anzuwenden. Infolgedessen scheidet auch eine unmittelbare Verletzung aus, weil die angegriffenen Ausführungsformen nicht das Merkmal 14.3.2 bzw. 15.1.2 verwirklichen. All dies ergibt sich bei zutreffender Auslegung der Klagepatentansprüche. Dabei kann für die Auslegung der Ansprüche 14 und 15, die auf den Anspruch 1 rückbezogen sind, ohne Einschränkung auf die Auslegung von Anspruch 1 Bezug genommen werden. - 1.
Mit dem Klagepatentanspruch 1 wird ein Verfahren geschützt, mit dem eine Netzwerkschutzanordnung auf effiziente Art und Weise zwischen verschiedenen Regelgruppen, anhand derer paketvermittelter Netzwerkverkehr überwacht wird, umschalten kann. Zu diesem Zweck soll das Verfahren auf einer oder durch eine Netzwerkschutzvorrichtung durchgeführt werden (Merkmal 1.1). - Eine Netzwerkschutzvorrichtung im Sinne des Klagepatents ist eine Vorrichtung, mit der Regeln in Bezug auf paketvermittelten Netzwerkverkehr, der bei zu schützenden Geräten ein- oder ausgeht, umgesetzt werden (Abs. [0001]). Die wesentlichen Schritte des Verfahrens bestehen aus dem Empfangen einer ersten und einer zweiten Regelgruppe, der Vorverarbeitung dieser Regelgruppen, Konfigurieren von Prozessoren, um im Anschluss daran zu empfangene Pakete gemäß der ersten Regelgruppe verarbeiten zu können, sowie einzelne Schritte zum Neukonfigurieren der Prozessoren, um empfangene Pakete gemäß der zweiten Regelgruppe verarbeiten zu können (Merkmale 1.2 bis 1.10).
- a)
Für dieses Verfahren und die damit verbundenen Funktionen ist es unbeachtlich, ob es sich bei der Netzwerkschutzvorrichtung um ein einzelnes Gerät quasi in einem Gehäuse oder um eine aus mehreren Bestandteilen, etwa aus vernetzten Geräten bestehende Vorrichtung handelt. Weder der Anspruch, noch die Beschreibung des Klagepatents machen ein engeres Verständnis der Netzwerkschutzvorrichtung erforderlich. Etwas anderes ergibt sich auch nicht daraus, dass das Klagepatent die knappen Ressourcen von Netzwerkschutzvorrichtungen als Ursache für das im Stand der Technik bestehende Problem ausmacht, dass bei zunehmender Komplexität der Regelgruppen das Umschalten auf eine neue Regelgruppe zu einer effektiven Hürde für ihre effektive Implementierung durch die Netzwerkschutzvorrichtung wird, weil diese wegen der Ressourcenauslastung während des Umschaltvorgangs nicht in der Lage ist, den Netzwerkverkehr zu verarbeiten oder sogar gemäß einer veralteten Regelgruppe verarbeitet (Abs. [0002]). Zum einen kann sich dieses Problem auch bei einer nicht auf ein Einzelgerät beschränkten Netzwerkschutzvorrichtung stellen. Zum anderen können sich auch vernetzte Geräte funktional als Netzwerkschutzvorrichtung im Sinne des Klagepatents darstellen, die in der Lage sind, das geschützte Verfahren durchzuführen, selbst wenn sie nicht unter Ressourcenknappheit leiden. - b)
Nach der Lehre des Klagepatents müssen die Verfahrensschritte gemäß den Merkmalen 1.2 bis 1.5 in der Reihenfolge, wie sie im Klagepatentanspruch wiedergegeben sind, durchgeführt werden. - Patentansprüche, die ein Verfahren betreffen, sind grundsätzlich dahin auszulegen, dass die Verfahrensschritte in der angegebenen Reihenfolge zu absolvieren sind. Dieser Grundsatz erfährt jedenfalls
dann eine Ausnahme, wenn sich aus dem bei der Auslegung heranzuziehenden
weiteren Inhalt der Patentschrift hinreichende Anhaltspunkte für ein abweichen-
des Verständnis ergeben (BGH, Urt. v. 14. Oktober 2014, X ZR 35/11 (Rn 35) – Zugriffsrechte). Solche Anhaltspunkte bestehen im Streitfall nicht. - aa)
Die Merkmale 1.2 bis 1.4 setzen bereits denklogisch voraus, dass die Regelgruppen von der Netzwerkschutzvorrichtung zunächst empfangen werden müssen, bevor sie vorverarbeitet werden können. Das „Empfangen der Regelgruppe“ im Sinne von Merkmal 1.2 und 1.3 meint den erstmaligen Erhalt der Regelgruppe durch die Netzwerkschutzvorrichtung. Es handelt sich um einen auf der Netzwerkschutzvorrichtung („at a network protection device“) durchzuführenden Verfahrensschritt. Abgesehen von der Existenz mehrerer Prozessoren gibt es keine weiteren Anforderungen an den strukturellen Aufbau der Netzwerkschutzvorrichtung, so dass es keine Anhaltspunkte dafür gibt, dass für ein Empfangen von Regelgruppen auch der Erhalt der Regelgruppe durch ein Bauteil der Netzwerkschutzvorrichtung bei einem innerhalb der Netzwerkschutzvorrichtung vorgenommenen Übertragungsvorgang genügt. Nichts anderes ergibt sich aus der Beschreibung des Klagepatents, die vielmehr zu einem Ausführungsbeispiel ausführt, dass die Netzwerkschutzvorrichtung die Regelgruppen beispielsweise über eine Managementschnittstelle (112), also von außerhalb der Vorrichtung, empfangen kann (Abs. [0022] und Figur 1). - bb)
Auch hinsichtlich der Merkmale 1.4 und 1.5 müssen erst beide Regelgruppen vorverarbeitet werden, bevor die Prozessoren der Netzwerkschutzgruppe zum Verarbeiten von Paketen gemäß der ersten Regelgruppe konfiguriert werden. - Der Klagepatentanspruch sieht das Vorverarbeiten der beiden Regelgruppen schon nach seinem Wortlaut nicht als getrennte Schritte an, sondern beschreibt die „Vorverarbeitung der ersten Regelgruppe und der zweiten Regelgruppe“ in einem Verfahrensschritt. Damit greift der Anspruch genau den Wortlaut der Klagepatentschrift auf, mit dem explizit die Vorverarbeitung beider Regelgruppen vor dem erstmaligen Konfigurieren der Prozessoren als ein Schritt („Im Schritt 204“/„At step 204“) beschrieben wird (Abs. [0022], in der englischen Fassung Sp. 6 Z. 11-15 und Z. 24 f. unter Verweis auf Fig. 2). Denn in der Klagepatentschrift wird ausgeführt, dass ein Vorverarbeiten von Regelgruppen im Stand der Technik bekannt war, um die Implementierung der den Regelgruppen zugrundeliegenden Richtlinien zu erleichtern (Abs. [0020]). Das Klagepatent stellt weiterhin fest, dass das Vorverarbeiten einer Regelgruppe unter Umständen ein ressourcenintensiver Prozess sein kann, der – wenn die Vorverarbeitung für einen Regelgruppenwechsel während der Implementierung der ersten Regelgruppe, also ihrer Anwendung auf Pakete, erfolgt – dazu führen kann, dass die Netzwerkschutzvorrichtung mit der Paketverarbeitung warten muss, bis die weitere Regelgruppe vorverarbeitet ist. Dies sieht die Klagepatentschrift als nachteilig an und schlägt als Lösung („In Übereinstimmung mit Aspekten der Offenbarung“) vor, mehrere Regelgruppen vor ihrer Implementierung vorzuverarbeiten und dadurch einen schnellen Austausch von Regelgruppen zu ermöglichen (Abs. [0022]).
- Dem kann nicht mit Erfolg entgegengehalten werden, bei der zitierten Textstelle handele es sich um ein Ausführungsbeispiel, das aufgrund der Wortwahl („kann“/“may“) lediglich eine weitere Variation des allgemein beschriebenen Verfahrens vorschlägt. Die Wortwahl „kann“/“may“ findet sich in einer Vielzahl von Beschreibungsstellen, insbesondere auch im Zusammenhang mit der allgemeinen Beschreibung einzelner Verfahrensschritte, die unzweifelhaft zwingender Bestandteil der technischen Lehre sind (z.B. Abs. [0007] und [0008]). Dies ist daher kein zwingender Grund, die Textstelle in Absatz [0022] lediglich als bevorzugte Ausführungsform einer allgemeiner gefassten technischen Lehre anzusehen. Stattdessen beschreibt das Klagepatent an dieser Stelle sogar die allgemeine technische Lehre des Klagepatentanspruchs. Denn gerade durch das dem Konfigurieren der Prozessoren vorgelagerte Vorverarbeiten der beiden Regelgruppen wird der aus dem Stand der Technik bekannte Nachteil der Ressourcenknappheit bei einem Regelgruppenwechsel (vgl. Abs. [0002]) gelöst. Das Klagepatent kommt im Rahmen des Ausführungsbeispiels auf die einleitend dargestellte Ressourcenknappheit zurück (vgl. den einleitenden Satz in Abs. [0020]). Es führt danach aus, dass das Vorverarbeiten von Regelgruppen zwar die Implementierung der Regelgruppen erleichtern kann, aber in bestimmten Fällen einen ressourcenintensiven Prozess mit den geschilderten Nachteilen darstellen kann (Abs. [0021]). Das Vorverarbeiten als solches löst also nicht das eingangs der Klagepatentschrift aufgeworfene technische Problem eines Regelgruppenwechsels bei knappen Rechnerressourcen. Zum einen war das Vorverarbeiten von Regelgruppen bekannt (Abs. [0020]), zum anderen optimiert das Vorverarbeiten die Anwendung von Regelgruppen (Abs. [0021]), nicht aber den Regelgruppenwechsel. Vielmehr kann das Vorverarbeiten einer zweiten Regelgruppe während der Implementierung einer ersten Regelgruppe gerade zu dem technischen Problem führen. Dieses wird hingegen allein durch das dem Konfigurieren der Prozessoren vorgelagerte Vorverarbeiten beider Regelgruppen gelöst. Genau diesen Zusammenhang zwischen dem zeitlich dem Beginn der Paketverarbeitung vorgelagerten Vorverarbeiten beider Regelgruppen und dem daraus resultierenden effizienteren Regelgruppenwechsel wird in der Klagepatentschrift im Absatz [0023] noch einmal angesprochen.
- Weder der Anspruch, noch das Klagepatent liefern irgendeinen anderen Ansatz, mit dem die mit dem Stand der Technik verbundenen Nachteile, nämlich die Schwierigkeiten eines Regelgruppenwechsels bei knappen Ressourcen, gelöst und effizientere Regelgruppenwechsel bewerkstelligt werden könnten. Soweit die Klägerin in der mündlichen Verhandlung darauf abgestellt hat, dass das technische Problem durch ein Anhalten der Paketverarbeitung und Zwischenspeichern unverarbeiteter Pakete zwecks Neukonfiguration der Prozessoren gelöst werden soll, vermag die Kammer dem nicht zu folgen. Dem Klagepatent lässt sich nicht entnehmen, dass das Anhalten des Verarbeitungsprozesses und das Zwischenspeichern die Lösung des technischen Problems darstellt. Denn das Anhalten des Verarbeitungsprozesses war im Stand der Technik bekannt, wenn es heißt, dass eine Netzwerkschutzvorrichtung wegen einer Ressourcenauslastung aufgrund der Implementierung einer neuen Regelgruppe nicht in der Lage ist, den Netzwerkverkehr zu verarbeiten (Abs. [0002]). Das Anhalten der Paketverarbeitung und das Zwischenspeichern von unverarbeiteten Paketen wird in der allgemeinen Beschreibung des Klagepatents daher auch nur im Zusammenhang mit der Synchronisation mehrerer Prozessoren bei einem Regelwechsel erwähnt (Abs. [0008]), worauf noch zurückzukommen sein wird. Genau dieser Zusammenhang findet sich auch im Klagepatentanspruch in der Merkmalsgruppe 1.9. Zweck der Unterbrechung des Verarbeitungsprozesses ist also nicht die Lösung mit der Ressourcenknappheit verbundenen Probleme beim Regelgruppenwechsel, sondern die Synchronisation der Prozessoren im Zuge ihrer Neukonfiguration.
- Im Ergebnis bestehen keine Anhaltspunkte dafür, dass nach der Lehre des Klagepatents abweichend von der Reihenfolge der Merkmale 1.4 und 1.5 das Vorverarbeiten der zweiten Regelgruppe nach dem Konfigurieren der Prozessoren gemäß der ersten Regelgruppe erfolgen kann. Auch wenn dies mit dem Ziel eines etwaigen „Updates“ einer Netzwerkschutzvorrichtung sinnvoll erscheinen mag, gibt es keinen Hinweis darauf, dass es dem Klagepatent um die Durchführung eines Updates geht. Vielmehr soll zwischen vorbekannten, d.h. vorab empfangenen verschiedenen Regelgruppen effektiv gewechselt werden können, was das Klagepatent dadurch bewerkstelligt, dass die Vorverarbeitung der beiden Regelgruppen vor ihrer Implementierung erfolgt.
- c)
Sind die Prozessoren konfiguriert, um Pakete gemäß der ersten Regelgruppe zu verarbeiten, und verarbeiten sie nach dem Empfang von Paketen diese auch gemäß der ersten Regelgruppe, erfolgt ein Regelgruppenwechsel nach der Lehre des Klagepatents gemäß den Merkmalen 1.8 bis 1.10. Der Regelgruppenwechsel wird eingeleitet durch einen Signalisierungsschritt gemäß Merkmal 1.8. In einem ersten Schritt wird jedem der mindestens zwei an der Paketverarbeitung beteiligten Prozessoren signalisiert, Pakete gemäß der zweiten Regelgruppe zu verarbeiten (Merkmal 1.8). - Funktion des Signalisierungsschritts ist nicht nur die Mitteilung an die Prozessoren, die Pakete nunmehr gemäß der zweiten Regelgruppe zu verarbeiten, sondern auch die Synchronisierung der Prozessoren. Dies ergibt sich zunächst aus dem Klagepatentanspruch selbst, wonach mindestens zwei Prozessoren an der Paketverarbeitung beteiligt sind (Merkmal 1.7) und genau diesen Prozessoren der Regelgruppenwechsel signalisiert werden soll (Merkmal 1.8). Dem Signalisierungsschritt folgen mit der Merkmalsgruppe 1.9 sodann konkrete Vorgaben, wie sich diese Prozessoren in Reaktion auf das Signalisieren zu verhalten haben: die Paketverarbeitung soll beendet werden, unverarbeitete Pakete sind zwischenzuspeichern und die Prozessoren werden neukonfiguriert. Vor allem aber muss jeder der Prozessoren gemäß Merkmal 1.9.4 den Abschluss der Neukonfiguration signalisieren. Dieser Signalisierungsschritt dient dazu, dass jeder Prozessor trotz abgeschlossener Neukonfiguration die Verarbeitung nach der zweiten Regelgruppe erst dann wieder aufnimmt, wenn auch alle anderen an der Verarbeitung beteiligten Prozessoren die Neukonfiguration abgeschlossen haben. Dies ergibt sich aus der Merkmalsgruppe 1.10 und bewirkt die Synchronisation der beteiligten Prozessoren bei der Paketverarbeitung nach bestimmten Regelgruppen, die auch in der Klagepatentschrift angesprochen wird (Abs. [0008] und [0026]). Genau dieser Ablauf ist zudem in dem Ausführungsbeispiel erläutert (Abs. [0030] ff.)
- Die Synchronisierung der Prozessoren, die Verarbeitung der Pakete nach der ersten Regelgruppe gleichzeitig zu beenden und gemäß der implementierten zweiten Regelgruppe gleichzeitig wieder aufzunehmen, trägt zum durch die Erfindung angestrebten Erfolg bei. Das Klagepatent sieht es als nachteilig an, dass es im Stand der Technik bei einem aufgrund knapper Ressourcen zeitlich aufwändigen Regelwechsel dazu kommen konnte, dass während der Implementierung einer neuen Regelgruppe Pakete noch nach einer veralteten Regelgruppe verarbeitet wurden. Dieser Nachteil wird auch im Ausführungsbeispiel noch einmal angesprochen (Abs. [0029]), wenn bei der Verwendung mehrerer Prozessoren der eine Prozessor bereits neukonfiguriert ist und gemäß der neuen Regelgruppe Pakete verarbeitet, während der andere Prozessor noch nach der alten Regelgruppe arbeitet. Durch die Synchronisierung der Implementierung der neuen Regelgruppe wird dieser Nachteil beseitigt, weil die Pakete nunmehr eine einheitliche Behandlung erfahren (Abs. [0033]). Dieser Erfolg wird in Abschnitt [0002] dahingehend beschrieben, dass eine effektive Implementierung erreicht wird, die andernfalls dadurch, dass eine Netzwerkschutzvorrichtung während der Implementierung der neuen Regelgruppe Pakete weiterhin gemäß einer veralteten Regelgruppe verarbeitet, nicht bestünde.
- In Ansehung dieser technischen Zusammenhänge wird deutlich, dass für ein Signalisieren im Sinne von Merkmal 1.8 nicht jede in der Software programmierte automatische Arbeitsanweisung an den Prozessor genügt, nunmehr einen neuen Regelsatz zu implementieren. Vielmehr muss das Signalisieren kausal sein für die dann folgenden weiteren Verfahrensschritte der Merkmalsgruppen 1.9 und 1.10, da nur so die Synchronisation des Regelgruppenwechsels bei der Verwendung mehrerer Prozessoren hergestellt werden kann. Vor allem genügt eine Arbeitsanweisung an den Prozessor nicht, den neuen Regelsatz während der laufenden Datenverarbeitung zu implementieren und dann anzuwenden mit der Folge, dass der Prozessor nach der Neukonfiguration die Paketverarbeitung automatisch wieder aufnimmt. Denn für den Beginn der Paketverarbeitung gemäß der neuen Regelgruppe bedarf es eines weiteren, in Merkmal 1.9.4 verlangten Signalisierungsschrittes.
- d)
Die Kausalität des Signalisierungsschrittes gemäß Merkmal 1.8 für die weiteren Verfahrensschritte gemäß Merkmalsgruppe 1.9 wird bereits aus dem Wortlaut des Anspruchs deutlich, wonach diese weiteren Schritte „in Reaktion auf ein Empfangen der Signalisierung“ erfolgen. Das Signalisieren gemäß Merkmal 1.8 muss also eine Reaktion der Prozessoren bewirken, die über das Beenden der Paketverarbeitung, dem Zwischenspeichern und der Neukonfiguration jedes Prozessors vor allem erfordert, dass jeder Prozessor nach der Neukonfiguration zunächst den Abschluss der Neukonfiguration signalisiert, bevor er nach dem Empfang der Signalisierung aller beteiligten Prozessoren die Paketverarbeitung – nunmehr nach der neuen Regelgruppe – wieder aufnimmt. - aa)
Zunächst soll in Reaktion auf das Signalisieren gemäß Merkmal 1.9 jeder, der an der Paketverarbeitung mitwirkenden Prozessoren, die Verarbeitung beenden. Damit wird sichergestellt, dass kein Prozessor weiter nach der ersten Regelgruppe Pakete verarbeitet, obwohl bereits die zweite Regelgruppe implementiert wird. Der aus dem Stand der Technik bekannte Nachteil (vgl. Abs. [0002]) wird dadurch beseitigt. - Wie bereits ausgeführt, macht der Wortlaut „in Reaktion auf“ deutlich, dass das Signalisieren kausal für die weiteren Verfahrensschritte der Merkmalsgruppe 1.9 sein muss. Daran fehlt es, wenn die bisherige Arbeitsroutine schlicht fortgesetzt wird, selbst wenn die Prozessoren nun nicht mehr die erste, sondern die zweite Regelgruppe anwenden. Daher genügt eine Anweisung an den Prozessor dahingehend, nunmehr eine neue Regelgruppe zu implementieren, nicht, wenn der Prozessor ohne Unterbrechung der bisherigen Verarbeitungsroutine einfach die neue Regelgruppe anwendet. Denn dann fehlt es an den weiteren Schritten der Merkmalsgruppe 1.9, die gerade in Reaktion auf das Signalisieren erfolgen müssen.
- Für den Begriff „Beenden“ kann zwischen zwei Situationen unterschieden werden: Der Zeitpunkt des Empfangs der Signalisierung nach Merkmal 1.9 kann genau zwischen der Verarbeitung zweier Pakete durch den Prozessor liegen oder der Prozessor ist in dem Zeitpunkt gerade mit der Verarbeitung eines Pakets beschäftigt, die üblicherweise eine gewisse Zeit in Anspruch nimmt. Im ersten Fall beendet der Prozessor die Paketverarbeitung, indem er die Verarbeitung keines weiteren Pakets aufnimmt. Im zweiten Fall kann das Verarbeiten beendet werden, indem der Prozessor die Verarbeitung des aktuell behandelten Pakets noch abschließt und dann kein weiteres Paket mehr verarbeitet oder indem er die Verarbeitung des Pakets unmittelbar abbricht und jede weitere Verarbeitung beendet. Dies ist auch in einem Ausführungsbeispiel des Klagepatents beschrieben (Abs. [0031]).
- bb)
Wenn die Prozessoren die Paketverarbeitung beenden, sollen sie gemäß Merkmal 1.9.2 unverarbeitete Pakete zwischenspeichern. Ein Paket ist unverarbeitet, wenn seine Verarbeitung nach der bis dahin geltenden Regelgruppe nicht abgeschlossen oder gar nicht erst begonnen wurde. Dies ergibt sich zum einen aus einer Zusammenschau mit dem Merkmal 1.9.1, wonach das Beenden des Bearbeitungsvorgangs dazu führt, dass die Verarbeitung eines Pakets, mit dessen Verarbeitung der Prozessor gerade beschäftigt war, nicht abgeschlossen werden konnte, oder die Verarbeitung neu empfangener Pakete gar nicht erst begonnen werden kann. - Nicht gefolgt werden kann der Auffassung der Klägerin, wonach auch Pakete, die bereits nach der ersten Regelgruppe vollständig verarbeitet wurden, aufgrund des Signals, die Pakete nunmehr gemäß der zweiten Regelgruppe zu verarbeiten, wieder als unverarbeitet anzusehen sein sollen. Das gilt auch für Pakete, deren Verarbeitung im Zeitpunkt der Signalisierung gemäß Merkmal 1.8 begonnen, aber noch abgeschlossen wurde. Dem Klagepatent lässt sich entnehmen (Abs. [0031]), dass es solche Pakete, wenn ihre Verarbeitung noch abgeschlossen wird, als verarbeitete Pakete ansieht. Alles andere widerspricht dem Begriff der Verarbeitung der Pakete. Denn die Verarbeitung in Form der Überprüfung eines Pakets anhand einer Regelgruppe umfasst auch die Entscheidung, ob das Paket weitergeleitet oder verworfen wird, ob eine Meldung ausgegeben wird oder andere Folgen eintreten, die die Regelgruppe an bestimmte Voraussetzungen knüpft, die ein Paket erfüllt. Die Verarbeitung von Paketen anhand von Regelgruppen ist kein Selbstzweck, sondern führt auch technisch zu einem Ergebnis, dem eine Bewertung als unverarbeitet mit der Folge, ein Paket nunmehr zwischenzuspeichern und der Verarbeitungsroutine erneut zuzuführen, widersprechen würde.
- Zu berücksichtigen ist, dass auch das Zwischenspeichern von unverarbeiteten Paketen „in Reaktion auf das Empfangen der Signalisierung“ gemäß Merkmal 1.9 erfolgen muss. Wie bei Merkmal 1.9.1 genügt es also nicht, wenn unverarbeitete Pakete auch nach der gewöhnlichen Verarbeitungsroutine der Prozessoren in einem Cache oder Pufferspeicher zwischengespeichert werden, bevor sie der Verarbeitung der Prozessoren zugeführt werden. Denn ein solches Zwischenspeichern wird nicht durch die Signalisierung gemäß Merkmal 1.9 bewirkt.
- d)
Infolge der Beendigung der Paketverarbeitung stehen nunmehr der Netzwerkschutzvorrichtung die Ressourcen zur Neukonfiguration der Prozessoren zur Verfügung. Es sollen alle Prozessoren, die an der Paketverarbeitung beteiligt waren, neu konfiguriert werden, so dass sie nunmehr Pakete gemäß der zweiten Regelgruppe verarbeiten können. - Wesentlich ist, dass die Prozessoren nach dem Abschluss der Neukonfiguration nicht unmittelbar die Paketverarbeitung wieder aufnehmen. Stattdessen soll gemäß Merkmal 1.9.4 zunächst jeder Prozessor, der an der Verarbeitung von Paketen nach der ersten Regelgruppe beteiligt war, signalisieren, dass die Neukonfiguration abgeschlossen ist. Erst wenn alle Prozessoren dieses Signal gegeben haben, dürfen sie gemäß Merkmalsgruppe 1.10 die Paketverarbeitung – nunmehr nach der zweiten Regelgruppe – aufnehmen. Auch diese von den Merkmalen 1.9.4 und 1.10 aufgestellten Anforderungen dienen ausweislich der Beschreibung des Klagepatents der Synchronisation der Prozessoren (Abs. [0008], [0033] und [0034]). Es wird sichergestellt, dass die von der Netzwerkschutzvorrichtung zu jeder beliebigen Zeit zu verarbeitenden Pakete eine einheitliche Behandlung erfahren, unabhängig vom jeweils verwendeten Prozessor (Abs. [0033]).
- Letztlich begründet die Merkmalsgruppe 1.9 eine Art „Zwischenverfahren“, das abläuft, wenn ein Regelgruppenwechsel durchgeführt werden soll. Das „Zwischenverfahren“ wird eingeleitet durch den Signalisierungsschritt gemäß Merkmal 1.8, der kausal für die Verfahrensschritte zum synchronen Regelgruppenwechsel aller an der Verarbeitung beteiligten Prozessoren ist. Abgeschlossen wird der Regelgruppenwechsel durch die Signalisierung durch die Prozessoren und die Aufnahme der Paketverarbeitung gemäß der zweiten Regelgruppe gemäß Merkmal 1.9.4 und 1.10. Maßgebend ist, dass auch bei der Beendigung des „Zwischenverfahrens“ ein Signalisierungsschritt steht, der den Beginn der Paketverarbeitung durch alle an der Paketverarbeitung beteiligten Prozessoren bewirkt. Dies wird durch den Wortlaut „in Reaktion auf ein Empfangen der Signalisierung“ in Merkmal 1.10 deutlich, so dass für die Qualität des Signalisierens und die Aufnahme der Paketverarbeitung nichts anderes als für das Signalisieren im Fall von Merkmal 1.8 und die dadurch bewirkte Beendigung der Paketverarbeitung gemäß Merkmal 1.9.1 gilt.
- 2.
Vor dem Hintergrund dieser Auslegung sind die angegriffenen Ausführungsformen I, III und IV nicht geeignet, ein Verfahren mit den Merkmalen 1.2 bis 1.5 in der vorgegebenen Reihenfolge sowie mit den Merkmalsgruppen 1.8, 1.9 und 1.10 anzuwenden. Daher ist auch eine unmittelbare Verletzung mangels Verwirklichung von Merkmal 14.3.2 bzw. 15.1.2 zu verneinen. - a)
Es lässt sich nicht feststellen, dass die angegriffenen Ausführungsformen I, III und IV geeignet sind, die Verfahrensschritte gemäß Merkmal 1.2 bis 1.5 in der vorgegebenen Reihenfolge durchzuführen. - Im Hinblick auf die angegriffene Ausführungsformen I, III und IV knüpft die Klägerin für das Empfangen der ersten und zweiten Regelgruppen gemäß Merkmal 1.2 und 1.3 zunächst an die Zugangskontrolllisten (Access Control Lists – ACL) an, die vom DNA-Center an die Router und Switches übertragen werden. Dabei handelt es sich, weil das DNA-Center und die Router bzw. Switches zusammen mit dem SDN-Controller jeweils die angegriffene Ausführungsform bilden, um eine interne Übertragung von Regelgruppen innerhalb der angegriffenen Ausführungsform. Die Netzwerkschutzvorrichtung – hier verstanden als die aus mehreren Komponenten bestehenden angegriffenen Ausführungsformen – als solche empfängt keine Regelgruppen in Form von ACL. Dies behauptet auch die Klägerin nicht. Ungeachtet der Frage, ob es sich bei der internen Übertragung der ACL um den Empfang von Regelgruppen durch Router bzw. Switches der angegriffenen Ausführungsformen im Sinne von Merkmal 1.2 und 1.3 handelt, woran durchgreifende Zweifel bestehen, findet jedenfalls ein Vorverarbeiten dieser Regelgruppen im Sinne von Merkmal 1.4 nicht mehr nach dem Erhalt der ACL durch die Router bzw. Switches statt. Auch dies ist zwischen den Parteien unstreitig. Es kann dahinstehen, ob und in welcher Form Regelgruppen durch das DNA-Center oder den SDN-Controller vorverarbeitet werden. Jedenfalls stellt die Klägerin für das Merkmal 1.4 auf die Bestimmung neuer Regeln („policy discovery“) durch das DNA-Center ab. Das gilt insbesondere für den Regelgruppenwechsel nach dem „Hitless (Atomic) ACL Change Flow“, den die angegriffenen Ausführungsform I, III und IV praktizieren und dessen Ablauf nachstehend noch einmal wiedergegeben ist:
- Demnach soll – so der Klägervortrag – das Vorverarbeiten durch das in Schritt 1 genannte Hinzufügen, Entfernen, Modifizieren und Umsortieren der Einträge (ACE) in den als Regelgruppen zu verstehenden Zugangskontrolllisten (Access Control List – ACL) erfolgen. Bei einer Vorverarbeitung im DNA-Center erfolgt die Vorverarbeitung aber in jedem Fall vor dem vermeintlichen Empfangen der Regelgruppen durch die Switches und Router (vgl. Schritt 9), was bei zutreffender Auslegung nicht mehr erfindungsgemäß ist.
- Soweit die Klägerin für die Merkmale 1.2 und 1.3 darauf abstellt, dass das DNA-Center von Dritten Informationen über Bedrohungen in Form eines externen Bedrohungsfeeds, erhält, fehlt es an einem Empfangen von Regelgruppen im Sinne der genannten Merkmale. Entsprechende anhand von Ausführungen im parallelen US-Verfahren (Aussage X auf S. 576 Z. 13 ff. und S. 580 Z. 6 ff. in Anlage KAP 39) dargestellte Zusammenhänge sind von der Beklagten bestritten; Beweis ist von der Klägerin nicht angetreten. Ein Empfangen von Regelgruppen im Sinne der Merkmale 1.2 und 1.3 kann auf dieser Grundlage nicht festgestellt werden. Zunächst können die vom DNA-Center erhaltenen Informationen mangels näherer Darlegung ihres Inhalts und ihres Formats nicht als Regelgruppen im Sinne des Klagepatents angesehen werden. Die Beklagten haben zudem in Abrede gestellt, dass anhand der erhaltenen Informationen Regelgruppen automatisch erstellt werden könnten. Die Regelgruppen werden nach den Behauptungen der Beklagten vielmehr händisch erstellt, um unerwünschte Effekte einer automatischen Generierung zu vermeiden. Das manuelle Erstellen von Regelgruppen auf der Grundlage von Informationen über bestehende Bedrohungen stellt jedoch kein Empfang von Regelgruppen dar. Schließlich kann nach dem Bestreiten durch die Beklagten auch nicht davon ausgegangen werden, dass die genannten „observables“ irgendetwas mit den angegriffenen Ausführungsformen I, III und IV zu tun haben.
- Ungeachtet all dessen erfolgt ein Vorverarbeiten beider Regelgruppen nicht vor dem ersten Konfigurieren der Prozessoren im Sinne von Merkmal 1.4. Dies ist in tatsächlicher Hinsicht zwischen den Parteien unstreitig. Die angegriffenen Ausführungsformen I, III und IV implementieren eine erste Regelgruppe, gemäß der die Prozessoren konfiguriert werden. Die Prozessoren beginnen mit dieser ersten Regelgruppe auch die Paketverarbeitung. Soll eine neue, zweite Regelgruppe implementiert werden, wird diese erst während der bereits laufenden Paketverarbeitung vorverarbeitet. Damit fehlt es an der erfindungsgemäß erforderlichen Reihenfolge der Vorverarbeitung von erster und zweiter Regelgruppe und anschließender Konfiguration der Prozessoren gemäß der ersten Regelgruppe.
- b)
Für den eigentlichen Regelgruppenwechsel im Sinne der Merkmalsgruppen 1.8 und 1.9 stützt sich die Klägerin im Wesentlichen auf den von den angegriffenen Ausführungsformen I, III und IV angewendeten „Hitless (Atomic) ACL Change Flow“, mit dem die angegriffenen Ausführungsformen I, III und IV einen Wechsel der von den Prozessoren anzuwendenden ACL vollziehen. Nach dem Vortrag der Klägerin in der mündlichen Verhandlung wird die Verletzung nicht mehr mit der Funktionsweise des UADP Asic begründet. Ungeachtet dessen ergibt sich eine Verwirklichung der Merkmalsgruppe 1.9 unter keinem der genannten Gesichtspunkte. - Für das Signalisieren gemäß Merkmal 1.8 stützt sich die Klägerin auf Schritt 7 des „Hitless (Atomic) ACL Change Flow“, wonach geprüft wird, ob der Switch bzw. Router den „Hitless ACL Change“ unterstützt („verify if feature supports hitless ACL change“). Es ist bereits fraglich, ob dies ein Signalisieren im Sinne von Merkmal 1.8 darstellt, weil der Schritt lediglich eine Abfrageroutine zur Prüfung der Kompatibilität mit dem „hitless ACL change“ darstellt, nicht aber den anstehenden Regelgruppenwechsel signalisiert. Insofern kommt auch Schritt 2 als Signalisierungsschritt in Betracht, weil hier ein „ACL Class Group (CG) change event“ an den im Switch zu verortenden „Forward Engine Driver“ (FED) gesendet wird.
- Ungeachtet der Frage, ob und welcher Schritt ein Signalisieren im Sinne von Merkmal 1.8 darstellt, fehlt es aber in jedem Fall an einem Beenden der Paketverarbeitung und einem Zwischenspeichern von unverarbeiteten Paketen in Reaktion auf einen der oben genannten Schritte.
- aa)
Es ist unstreitig, dass die Neukonfiguration der Prozessoren innerhalb der laufenden Paketverarbeitung in dem Zeitintervall zwischen der Verarbeitung zweier Pakete erfolgt. Die Paketverarbeitung findet ununterbrochen nach dem normalen Takt der Datenverarbeitung statt. Der Regelgruppenwechsel findet in dem vorhandenen Zeitintervall zwischen der Verarbeitung zweier Pakete statt. Dieses von der Klägerin als „idle mode“ bezeichnete Zeitintervall ist Teil des laufenden Paketverarbeitungsprozesses; die angegriffenen Ausführungsformen I, III und IV verknüpfen diesen „idle mode“ mit den Schritten 8, 9 und 10. Ein im Rahmen der üblichen Paketverarbeitung nach der Verarbeitung eines Pakets fest vorgesehenes Zeitintervall, in dem kein Paket verarbeitet wird, kann nicht als Beenden des Verarbeitens der Pakete in Reaktion auf das Empfangen eines Signals im Sinne von Merkmal 1.9 und 1.9.1 angesehen werden. Schritt 7 des „hitless ACL change flow“ hat überhaupt gar keine Auswirkungen auf den bis dahin abgelaufenen und danach weiter laufenden Verarbeitungsprozess. Das Zeitintervall zwischen der Verarbeitung zweier Pakete existiert unabhängig von Schritt 7 und allen anderen Signalen. - bb)
Gleiches gilt für das Zwischenspeichern unverarbeiteter Pakete gemäß Merkmal 1.9.2. Auch dies muss – wie alle Verfahrensschritte der Merkmalsgruppe 1.9 – durch das Empfangen der Signalisierung gemäß Merkmal 1.9 bewirkt werden. Die Klägerin hat dafür auf das Zwischenspeichern (noch) unverarbeiteter Pakete im PBC („Packet Buffer Complex“) abgestellt, der Teil der UADP-Architektur ist (vgl. S. 76 der Replik). Die Beklagten haben dem entgegengehalten, dass bis auf die angegriffene Ausführungsform I die anderen Ausführungsformen keinen PBC aufweisen. Sie bestreiten infolgedessen ein Zwischenspeichern im Sinne von Merkmal 1.9.2. Dem ist die Klägerin nicht weiter entgegengetreten. Ungeachtet dessen erfolgt nach dem Vortrag der Beklagten zum UADP-Asic eine Zwischenspeicherung (noch) unverarbeiteter Pakete standardmäßig während der laufenden Paketverarbeitung unabhängig von einem Regelgruppenwechsel im PBC („Packet Buffer Complex“). Jedes eingehende, zu verarbeitende Paket werde standardmäßig im PBC gespeichert, damit es mit der geltenden Regelgruppe abgeglichen werden könne. Ein Zwischenspeichern anlässlich eines Regelgruppenwechsels finde nicht statt. Dem ist auch die Klägerin nicht weiter entgegengetreten. Sie ist lediglich der Ansicht, dass auch ein Zwischenspeichern im zeitlichen Zusammenhang mit einem Regelgruppenwechsel, der nachfolgend zur Anwendung einer neuen Regelgruppe führt, patentgemäß ist. Dem kann aus den Gründen für die Auslegung des Klagepatentanspruchs jedoch nicht gefolgt werden. Daher überzeugen auch nicht die Ausführungen des Gerichts in dem amerikanischen Parallelverfahren. Es ist nicht ersichtlich, welche Auslegung das US-Gericht dem dort geltend gemachten Patent zugrunde legt. Stattdessen wird im Ergebnis eine Patentverletzung festgestellt, ohne dass diese im Einzelnen nachvollziehbar begründet wird. Dieser Bewertung des US-Gerichts vermag die Kammer auf der Grundlage des insoweit unstreitigen Tatsachenvortrags aus den vorgenannten Gründen nicht zu folgen. - cc)
Zu Recht hat die Klägerin ihre auf die Architektur des UADP-Asics gestützte Auffassung nicht mehr weiter verfolgt, dass gemäß der ersten Regelgruppe verarbeitete Pakete nach einem Regelgruppenwechsel im „Egress Forwarding Controller“ (EFC) erneut verarbeitet werden und daher als unverarbeitete Pakete anzusehen sind, die im PBC zwischengespeichert werden. Abgesehen davon, dass ein gemäß der ersten Regelgruppe verarbeitetes Paket bei zutreffender Auslegung nicht als unverarbeitet im Sinne von Merkmal 1.9.2 angesehen werden kann, haben die Beklagten unwidersprochen dargelegt, dass es sich bei dem „Ingress Forwarding Controller“ und „Egress Forwarding Controller“ um zwei getrennte Controller handelt, die unterschiedliche Regelgruppen verwenden. Ein Regelgruppenwechsel bei dem einen Controller führt nicht zu einer Aktualisierung des anderen Controllers. Zudem werde ein Paket, das nach einer Regelgruppe des Ingress-Controllers verarbeitet wurde, nicht noch einmal mit einer aktualisierten Regelgruppe des Ingress-Controllers verarbeitet. - Die Klägerin kann sich auch nicht mit Erfolg darauf stützen, dass der Speicher „TCAM“ der angegriffenen Ausführungsformen im Zuge des Regelgruppenwechsels jedenfalls zeitweise die alte und die neue Regelgruppe enthält (vgl. Schritt 9 und 10 des „Hitless (Atomic) ACL Change Flow“ und die Erläuterung „a new policy will be created and attached to the interface before deleting the existing policy“). Denn dieser Umstand sagt nichts darüber aus, ob die Prozessoren die laufende Paketverarbeitung beenden und unverarbeitete Pakete zwischenspeichern im Sinne von Merkmal 1.9.1 und 1.9.2. Die Beklagten haben vielmehr dargelegt, dass die neue Regelgruppe zunächst in dem Speicher installiert, aber nicht direkt angewendet werde. Erst wenn die neue Regelgruppe in ihrer Gesamtheit, also vollständig einsatzbereit sei, werde diese – ohne Unterbrechung des normalen Datenverarbeitungstaktes – angewendet. Nach diesem Vortrag, dem die Klägerin nicht substantiiert entgegen getreten ist, fehlt es nicht nur an einem Beenden der Paketverarbeitung und einem Zwischenspeichern unverarbeiteter Pakete in Reaktion auf ein Signalisieren im Sinne von Merkmal 1.9, sondern die Implementierung der neuen Regelgruppe findet sogar – wie im Stand der Technik – während der laufenden Datenverarbeitung statt, bis die Konfiguration abgeschlossen ist und die an der Paketverarbeitung beteiligten Prozessoren in der Zeitspanne zwischen der Verarbeitung zweier Pakete zur Anwendung der neuen Regelgruppe wechseln.
- Soweit die Klägerin darauf abstellt, dass bei den angegriffenen Ausführungsformen kein Paket verloren geht, ist auch dies kein Beleg dafür, dass die Prozessoren der angegriffenen Ausführungsformen in Reaktion auf ein Signalisieren eines Regelgruppenwechsels die Paketverarbeitung beenden und bis zur Neukonfiguration unverarbeitete Pakete zwischenspeichern. Nach den vorstehenden Ausführungen wird vielmehr deutlich, dass sich der durch einen Regelgruppenwechsel bedingte Verlust von Paketen auch durch andere Mittel vermeiden lässt.
- c)
Es kann dahinstehen, ob in dem letzten Schritt des „Hitless ACL Change Flow“ mit dem „Return SUCCESS“ ein Signalisieren des Abschlusses der Neukonfiguration durch jeden Prozessor im Sinne von Merkmal 1.9.4 stattfindet. Auch wenn dies bejaht wird, lässt sich eine Verwirklichung der Merkmalsgruppe 1.10 nicht feststellen. Es ist nicht ersichtlich, dass die Paketverarbeitung gemäß der neuen Regelgruppe von allen beteiligten Prozessoren erst dann aufgenommen wird, wenn alle Prozessoren ein entsprechendes Signal empfangen haben. Dagegen spricht, dass jeder Prozessor mit Abschluss der Konfiguration den Wechsel zur neuen Regelgruppe innerhalb der vom Takt der Paketverarbeitung vorgesehenen Zeitspanne zwischen der Verarbeitung zweier Pakete vollzieht. Es ist nicht erkennbar, dass dies erst aufgrund einer Signalisierung erfolgt, wonach alle beteiligten Prozessoren die Neukonfiguration abgeschlossen haben. Ungeachtet dessen fehlt es auch an unverarbeiteten zwischengespeicherten Paketen, deren Verarbeitung nunmehr aufgenommen werden könnte.3.
Die Feststellungen hinsichtlich der angegriffenen Ausführungsformen I, III und IV gelten in ähnlicher Weise auch für die angegriffenen Ausführungsformen V und VI. Dies gilt unabhängig von der Frage, ob und wie weit das „Transaction Commit Model“ im Rahmen der angegriffenen Ausführungsformen V und IV umgesetzt wird, was zwischen den Parteien streitig ist. - a)
Es fehlt jedenfalls an einer Eignung der angegriffenen Ausführungsformen V und VI, die Merkmale 1.4 und 1.5 in der vorgegebenen Reihenfolge anzuwenden. Insofern kann auf die Ausführungen zu den angegriffenen Ausführungsformen I, III und IV Bezug genommen werden. Wie bei diesen Ausführungsformen erfolgt eine Vorverarbeitung von Regelgruppen allenfalls im FMC, wobei allerdings unstreitig von einer Vorverarbeitung der zweiten Regelgruppe erst ausgegangen werden kann, wenn die Firewalls bereits gemäß der ersten Regelgruppe konfiguriert sind und Pakete verarbeiten. Damit fehlt es an einer Vorverarbeitung beider Regelgruppen gemäß Merkmal 1.4 vor der Konfiguration gemäß Merkmal 1.5. - b)
Auch die Merkmalsgruppe 1.9 wird von den angegriffenen Ausführungsformen V und VI nicht verwirklicht. - Die Klägerin hat im Hinblick auf das „transactional commit model“ dargelegt, dass die neue Regelgruppe zunächst vollständig kompiliert werde, bis sie „ready to use“ ist. Erst im Anschluss daran werde die Paketverarbeitung auf die neue Regel umgestellt, was selbstverständlich nur auf Basis eines Signals erfolgen könne. Selbst wenn man dies als Signalisieren im Sinne von Merkmal 1.8 ansieht, findet nach dem unbestrittenen Vortrag der Beklagten die Paketverarbeitung ununterbrochen nach dem normalen Takt der Datenverarbeitung statt. Ein Regelgruppenwechsel erfolge „zwischen den Paketen“ ohne Unterbrechung der Datenverarbeitung. Damit fehlt es aber an einem Beenden der Paketverarbeitung in Reaktion auf das Signalisieren gemäß Merkmal 1.9 und 1.9.1. Auch ein Zwischenspeichern in Reaktion auf die Signalisierung gemäß Merkmal 1.9 und 1.9.2 lässt sich nicht feststellen. Zwar ist nicht bestritten, dass Pakete von den angegriffenen Ausführungsformen V und VI in einem „buffer“ gespeichert werden. Die Beklagten haben aber in Abrede gestellt, dass dies außerhalb der gewöhnlichen Paketverarbeitung anlässlich eines Regelwechsels erfolgt. Insofern kann auf die Ausführungen zu den Ausführungsformen I, III und IV verwiesen werden.
- Etwas anderes ergibt sich auch nicht aus der Befragung von Herrn X im parallelen US-Verfahren (KAP 39 S. 706 Z. 23 ff. bis S. 707 Z. 12 und S. 708 Z. 4-18). Aus dem Umstand, dass Pakete nicht verloren gehen, kann nicht zwangsläufig gefolgert werden, dass die Paketverarbeitung in Reaktion auf ein entsprechendes Signal beendet wird. Ebenso wenig rechtfertigt die Existenz eines jedem Prozessorstapel zugeordneten RAM bzw. eines Empfangsrings (RxRing) zwangsläufig eine durch die Signalisierung des Regelgruppenwechsels bewirkte Zwischenspeicherung von unverarbeiteten Paketen. Vielmehr haben die Beklagten wiederholt darauf verwiesen, dass in den angegriffenen Ausführungsformen eine Zwischenspeicherung anlässlich einer Signalisierung nicht stattfindet, sondern typischerweise im Rahmen der gewöhnlichen Paketverarbeitung erfolgt.
- c)
Schließlich lässt sich auch eine Verwirklichung von Merkmal 1.9.4 und der Merkmalsgruppe 1.10 nicht feststellen. Aus dem Vorbringen der Klägerin, dass zwischen den Zeitpunkten vor, während und nach Kompilierung der neuen Regelgruppen differenziert wird, lässt sich weder schließen, dass alle Prozessoren das Ende der Neukonfiguration signalisieren, noch dass sie die Paketverarbeitung erst in Reaktion auf den Empfang einer entsprechenden Signalisierung aufnehmen. - C
Die Kostenentscheidung folgt aus § 91 Abs. 1 S. 1 ZPO.
Die Entscheidung über die vorläufige Vollstreckbarkeit ergibt sich aus § 709 S. 1 und 2 ZPO.
Der Streitwert wird gemäß §§ 51 Abs. 1 GKG auf 500.000,00 Euro festgesetzt.