{"id":8944,"date":"2022-04-04T17:00:19","date_gmt":"2022-04-04T17:00:19","guid":{"rendered":"https:\/\/www3.hhu.de\/duesseldorfer-archiv\/?p=8944"},"modified":"2022-04-04T10:47:45","modified_gmt":"2022-04-04T10:47:45","slug":"4b-o-33-20-rechensystem-verfahren","status":"publish","type":"post","link":"https:\/\/d-prax.de\/?p=8944","title":{"rendered":"4b O 33\/20 – Rechensystem-Verfahren"},"content":{"rendered":"

D\u00fcsseldorfer Entscheidungen Nr. 3175
\n<\/strong><\/p>\n

Landgericht D\u00fcsseldorf<\/p>\n

Urteil vom 10. Dezember 2021, Az. 4b O 33\/20<\/p>\n

    \n
  1. <\/li>\n
  2. Die Klage wird abgewiesen.<\/li>\n
  3. Die Kosten des Rechtsstreits tr\u00e4gt die Kl\u00e4gerin.<\/li>\n
  4. Das Urteil ist vorl\u00e4ufig vollstreckbar gegen Sicherheitsleistung in H\u00f6he von 110 % des jeweils zu vollstreckenden Betrages.<\/li>\n
  5. Tatbestand<\/strong><\/li>\n
  6. Die Kl\u00e4gerin macht gegen die Beklagten als im Patentregister eingetragene Inhaberin (vgl. Registerauszug Stand 29. April 2020, Anlage A 4) auf die Verletzung des deutschen Teils des europ\u00e4ischen Patents 3 257 XXX B 1 (im Folgenden Klagepatent, Anlage A 2, in deutscher \u00dcbersetzung vorgelegt als Anlage A 3) gest\u00fctzte Anspr\u00fcche auf Unterlassung, Auskunftserteilung, Rechnungslegung, R\u00fcckruf und Vernichtung sowie Feststellung der Schadensersatzpflicht dem Grunde nach geltend.<\/li>\n
  7. Die in englischer Verfahrenssprache verfasste Anmeldung des Klagepatents mit der Bezeichnung \u201eCorrelating packets in communications networks\u201c datiert vom 25. November 2015. Das Klagepatent nimmt eine Priorit\u00e4t vom 10. Februar 2015 (US 201514618XXX) in Anspruch. Die Offenlegung der Anmeldung erfolgte am 20. Dezember 2017, die Ver\u00f6ffentlichung des Hinweises auf die Patenterteilung datiert vom 13. M\u00e4rz 2019.<\/li>\n
  8. Der Wortlaut der hier ma\u00dfgeblichen Klagepatentanspr\u00fcche 1 und 15 lautet wie folgt:<\/li>\n
  9. \u201e1. A method comprising:
    \nidentifying (5, 402), by a computing system, a plurality of packets (P1, P2, P3) received by a network device (122) from a host (114) located in a first network (104);
    \ngenerating (6, 404), by a computing system, a plurality of log entries (306, 308, 310) corresponding to the plurality of packets received by a network device;
    \nidentifying (8, 406), by the computing system, a plurality of packets (P1\u2019, P2\u2019, P3\u2019) transmitted by the network decide to a host (108) located in a second network (102);
    \ngenerating (9, 408), by the computing system, a plurality of log entries (312, 314, 316) corresponding to the plurality of packets transmitted by the network device;
    \ncorrelating (16, 410), by the computing system and based on the plurality of log entries corresponding to the plurality of packets received by the network device and the plurality of log entries corresponding to the plurality of packets transmitted by the network device, the plurality of packets transmitted by the network device with the plurality of packets received by the network device; and
    \nresponsive to correlating the plurality of packets transmitted by the network device with the plurality of packets received by the network device:<\/li>\n
  10. generating (30), by the computing system, one or more rules (140) configured to identify packets received from the host located in the first network; and
    \nprovisioning (31, 32) a packet-filtering device (124, 126) with the one or more rules configured to identify packets received from the host located in the first network.\u201d<\/li>\n
  11. \u201c15.An apparatus configured to perform each step of the method of any one claims 1-14.\u201d<\/li>\n
  12. und in deutscher \u00dcbersetzung:<\/li>\n
  13. \n\u201e1. Verfahren, umfassend:
    \nIdentifizieren (5, 402), durch ein Rechensystem, einer Vielzahl von Paketen (P1, P2, P3), die durch eine Netzwerkvorrichtung (122) von einem Host (114) empfangen werden, der sich in einem ersten Netzwerk (104) befindet;
    \nErzeugen (6, 404), durch das Rechensystem, einer Vielzahl von Log-Eintr\u00e4gen (306, 308, 310), die der Vielzahl von Paketen entsprechen, die durch die Netzwerkvorrichtung empfangen werden;
    \nIdentifizieren (8, 406), durch das Rechensystem, einer Vielzahl von Paketen (P1\u2018, P2\u2018, P3\u2018), die durch die Netzwerkvorrichtung an einen Host (108) \u00fcbertragen werden, der sich in einem zweiten Netzwerk (102) befindet;
    \nErzeugen (9, 408), durch das Rechensystem, einer Vielzahl von Log-Eintr\u00e4gen (312, 314, 316), die der Vielzahl von Paketen entsprechen, die durch die Netzwerkvorrichtung \u00fcbertragen werden;
    \nKorrelieren (16, 410), durch das Rechensystem und auf Grundlage der Vielzahl von Log-Eintr\u00e4gen, die der Vielzahl von Paketen entsprechen, die durch die Netzwerkvorrichtung empfangen werden, und der Vielzahl von Log-Eintr\u00e4gen, die der Vielzahl von Paketen entsprechen, die durch die Netzwerkvorrichtung \u00fcbertragen werden, der Vielzahl von Paketen, die durch die Netzwerkvorrichtung \u00fcbertragen werden, mit der Vielzahl von Paketen, die durch die Netzwerkvorrichtung empfangen werden; und als Reaktion auf das Korrelieren der Vielzahl von Paketen, die durch die Netzwerkvorrichtung \u00fcbertragen werden, mit der Vielzahl von Paketen, die durch die Netzwerkvorrichtung empfangen werden:<\/li>\n
  14. Erzeugen (30), durch das Rechensystem, von einer oder mehreren Regeln (140), die konfiguriert sind, um Pakete zu identifizieren, die von dem Host empfangen werden, der sich in dem ersten Netzwerk befindet;
    \nund
    \nBereitstellen (31, 32) einer Paketfiltervorrichtung (124, 126) mit der einen oder den mehreren Regeln, die konfiguriert sind, um Pakete zu identifizieren, die von dem Host empfangen werden, der sich in dem ersten Netzwerk befindet.\u201c<\/li>\n
  15. \u201e15. Vorrichtung, die konfiguriert ist, um jeden Schritt des Verfahrens nach einem der Anspr\u00fcche 1-14 durchzuf\u00fchren.\u201c<\/li>\n
  16. Die nachfolgenden Abbildungen veranschaulichen einige Merkmale der Erfindung beispielhaft. Figur 1 zeigt eine veranschaulichte Umgebung zum Korrelieren von Paketen in Kommunikationsnetzen:<\/li>\n
  17. <\/li>\n
  18. Die Figuren 2A bis 2D zeigen eine veranschaulichte Ereignissequenz zum Korrelieren von Paketen in Kommunikationsnetzen:<\/li>\n
  19. <\/li>\n
  20. <\/li>\n
  21. <\/li>\n
  22. <\/li>\n
  23. \nDas Klagepatent steht in Kraft.<\/li>\n
  24. Gegen das Klagepatent ist beim Bundespatentgericht Nichtigkeitsklage erhoben worden, \u00fcber die noch nicht entschieden worden ist.<\/li>\n
  25. Die Beklagte zu 1) ist die Muttergesellschaft der Beklagten zu 2) und vertreibt weltweit Hard- und Software auf dem Gebiet der Netzwerksicherheit und des Netzwerkmanagements wie beispielsweise Router, Switches und Firewalls jeweils mit zugeh\u00f6riger Software. Die Beklagte zu 2) ist die deutsche Tochtergesellschaft der Beklagten zu 1) und ist Betreiberin der deutschsprachigen Internetpr\u00e4senz des Konzerns, die in Ausz\u00fcgen als Anlagen A 19, A 20 und A 25 vorliegt.<\/li>\n
  26. Mit ihrer Klage wendet sich die Kl\u00e4gerin gegen Angebot und Vertrieb von Kombinationen einzelner Hardware- und Software-Komponenten bestehend aus A der Serien B, C und D, der auf dem E installierten Software F sowie der \u00fcber die Amazon Webservices (AWS) betriebenen cloud-basierten Anwendung G, die zusammen mit mindestens einem der folgenden Netzwerkger\u00e4te angeboten und vertrieben werden:<\/li>\n
  27. H der Serien X, X und X, jeweils mit dem Betriebssystem I Version X oder h\u00f6her,<\/li>\n
  28. J der Serie X, mit dem Betriebssystem I Version X oder h\u00f6her,<\/li>\n
  29. K der Serie 1000 mit dem Betriebssystem I X oder h\u00f6her,<\/li>\n
  30. L der Serien 1000 und 4000 mit dem Betriebssystem I X oder h\u00f6her<\/li>\n
  31. (nachfolgend gemeinsam \u201eangegriffene Ausf\u00fchrungsform\u201c)<\/li>\n
  32. sowie hilfsweise gegen Angebot und Vertrieb einzelner Komponenten dieser Kombination, n\u00e4mlich die Switches, Controller, Router und Flow Collektoren.<\/li>\n
  33. Die r\u00e4umlich-funktionale Anordnung der angegriffenen Ausf\u00fchrungsform kann nachfolgender Abbildung entnommen werden (Anlage A 10, S. 10):<\/li>\n
  34. <\/li>\n
  35. \nDer M wird vom Administrator \u00fcber die Benutzeroberfl\u00e4che einer N gesteuert. Die N steuert ihrerseits mehrere physische Ebenen, die mit den angegriffenen Routern, Switches und Wireless Controllern kommunizieren.
    \nDie Betriebssoftware dieser Router, Switches und Wireless Controller verf\u00fcgt \u00fcber die \u201eNetFlow\u201c-Funktionalit\u00e4t. Die angegriffenen Router, Switches und Wireless Controller sammeln Informationen \u00fcber die Datenpakete, die durch den betreffenden Router, Switch oder Wireless Controller flie\u00dfen. Typischerweise werden dabei folgende Informationen gesammelt (Anlage A 11, Seite 3, Spalte \u201eInspect Packet\u201c):<\/li>\n
  36. <\/li>\n
  37. Auf Basis dieser Informationen erstellen die angegriffenen Router, Switches und Wireless Controller sogenannte \u201eNetFlow Records\u201c bzw. \u201eFlexible NetFlow Records (FNF)\u201c. Ein solcher NetFlow Record kann beispielsweise wie folgt graphisch dargestellt werden (Anlage S 12, Figur 2, Anlage A 11, Seiten 3 und 4):<\/li>\n
  38. \nDer als Anlage A 13 vorgelegte Flexible Netflow Configuration Guide, O gibt verschiedene vordefinierte Aufzeichnungsformate f\u00fcr FNFs an wie folgt (Seite 46, 47):<\/li>\n
  39. <\/li>\n
  40. \nDie NetFlow Records werden von dem betreffenden Router, Switch bzw. Wireless Controller an den \u201eE\u201c (auch bezeichnet als \u201eE\u201c) typischerweise geb\u00fcndelt gesendet. Der E erzeugt aus den NetFlowRecords sogenannte \u201eP\u201c und sendet diese an die G. Dort werden die empfangenen und gesendeten Datenpakete einer Kommunikationsverbindung (\u201eFlow\u201c) zugeordnet, wobei diese Zuordnung wie folgt veranschaulicht werden kann (Anlage A 13, Seite 3):<\/li>\n
  41. <\/li>\n
  42. Die betreffende Kommunikation kann weiterhin als Bedrohung (\u201eThreat\u201c) f\u00fcr das Netzwerk eingeordnet werden. Die hierzu in der G verf\u00fcgbaren Informationen werden durch Auswertung zahlreicher Datenquellen unter Einsatz von \u201eMachine Learning\u201c generiert. Anhand der ausgewerteten Daten erzeugt die G eine sogenannte \u201eThreat Response\u201c. Anhand verschiedener Bedrohungserkennungskriterien k\u00f6nnen Signale, bspw. Alarme und Warnungen ausgel\u00f6st werden.<\/li>\n
  43. Die Kl\u00e4gerin ist der Ansicht, bei der von den Beklagten vertriebenen angegriffenen Ausf\u00fchrungsform handele es sich um klagepatentgem\u00e4\u00dfe Vorrichtungen, die das klagepatentgem\u00e4\u00dfe Verfahren zum Korrelieren von Paketen in Kommunikationsnetzwerken nutzen.<\/li>\n
  44. Das Rechensystem sei funktional in den Prozessoren der angegriffenen Router, Switches und Wireless Controller, den Prozessoren des Es und der G verwirklicht.<\/li>\n
  45. Die von den angegriffenen Router, Switches und Wireless Controller erzeugten \u201eOriginal NetFlow Records\u201c und \u201eFlexible NetFlow Records (FNF)\u201c umfassten insbesondere die Felder \u201eInterface Input\u201c und \u201eInterface Output\u201c. Das Feld \u201eInterface Input\u201c enthalte Informationen aus der Schnittstelle des Netzwerkes, durch die Datenpakete empfangen werden, also Informationen zu den diese passierenden eingehenden Datenpaketen. Das Feld \u201eInterface Output\u201c enthalte dagegen Informationen aus der Schnittstelle des Netzwerkger\u00e4ts, durch die Datenpakete vom Netzwerkger\u00e4t weitergesendet werden, also Informationen zu den diese passierenden ausgehenden Datenpaketen. Das Feld \u201eInput Interface\u201c bez\u00fcglich des eingehenden Datenpakets werde in dem Log-Eintrag \u201eInput Interface\u201c des FNF gespeichert. Das Feld \u201eOutput Interface\u201c bez\u00fcglich des ausgehenden Datenpakets werde in dem Log-Eintrag \u201eOutput Interface\u201c des FNF gespeichert. Durch das gemeinsame Speichern der beiden Log-Eintr\u00e4ge in einem FNF w\u00fcrden die entsprechenden Paketfl\u00fcsse auf Grundlage der Log-Eintr\u00e4ge miteinander in Bezug gebracht, mithin korreliert.<\/li>\n
  46. Diese Log-Eintr\u00e4ge w\u00fcrden dann von der G ausgewertet. Durch die Korrelation der Pakete zu einem Flow k\u00f6nne die G erkennen, wer mit wem kommuniziere, beispielsweise einen externen Kommunikationspartner als b\u00f6sartigen Host erkennen und diese Kommunikation als Bedrohung f\u00fcr das Netzwerk einordnen. \u00dcber die Q und die mit dieser verbundenen R Systeme w\u00fcrden sodann in Reaktion automatisierte sicherheitsrelevante Entscheidungen getroffen. Dies sei den als Anlage A 14 bis A 18 in Kopie vorgelegten Dokumenten der Beklagten zu entnehmen. So k\u00f6nne die G in Reaktion auf die Ermittlung eines Flows mit einem b\u00f6sartigen Host die Regel erstellen, diese Pakete nicht weiterzuleiten. Das Betriebssystem k\u00f6nne dann diejenigen Pakete identifizieren, die nicht weitergeleitet werden sollen und stelle somit eine Paketfilterfunktion bereit. Beispielsweise k\u00f6nne der Adminstrator \u00fcber den \u201eIncident Manager\u201c der angegriffenen Software auf eine erkannte und gemeldete Bedrohung einen \u201eIncident\u201c erstellen. Dieser \u201eIncident\u201c k\u00f6nne im Rahmen der \u201eSecureX Threat Response and S Secure Firewall\u201c dem Betriebssystem der Firewall oder im Rahmen der \u201eSecureX Threat Response and S Secure Endpoint\u201c unmittelbar an die Paketfiltervorrichtung bereitgestellt werden. Firewall bzw. Netzwerkvorrichtung setzten dann bestimmungsgem\u00e4\u00df Regeln zur Paketfilterung ein und f\u00fchrten zum Beispiel eine Isolation des Hosts oder das Blockieren bestimmter Domains durch. Basierend auf den Alarmen aus der S Secure Firewall und S Secure Network Analytics k\u00f6nnten Vorg\u00e4nge im System der Beklagten sogar automatisch ausgef\u00fchrt werden.<\/li>\n
  47. Das System der Beklagten k\u00f6nne sogar ganze Regels\u00e4tze, sogenannte \u201eAccess Control Lists, ACL, wie der \u201eGACL\u201c, \u201eVACL, \u201ePACL\u201c, \u201eSACL und \u201eRBACL\u201c bereitstellen, anhand welcher die Endger\u00e4te insbesondere Pakete beim Ein- und Austritt aus Routern und Switches auf der Grundlage der jeweiligen Kennzeichnung blockierten oder zulie\u00dfen.<\/li>\n
  48. Die Kl\u00e4gerin beantragt,<\/li>\n
  49. I.
    \ndie Beklagten zu verurteilen<\/li>\n
  50. 1.
    \nes bei Meldung eines f\u00fcr jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu 500.000 EUR – ersatzweise Ordnungshaft – oder einer Ordnungshaft bis zu sechs Monaten, im Falle wiederholter Zuwiderhandlung bis zu insgesamt zwei Jahren, wobei die Ordnungshaft an dem Chairman & Chief Executive Officer der Beklagten zu 1) bzw. an dem Gesch\u00e4ftsf\u00fchrer der Beklagten zu 2) zu vollziehen ist, zu unterlassen,<\/li>\n
  51. a)
    \nVorrichtungen<\/li>\n
  52. in der Bundesrepublik Deutschland anzubieten, in Verkehr zu bringen und\/oder zu gebrauchen, oder zu den genannten Zwecken einzuf\u00fchren und\/oder zu besitzen,<\/li>\n
  53. die konfiguriert sind, jeden Schritt eines Verfahrens durchzuf\u00fchren, umfassend:<\/li>\n
  54. Identifizieren, durch ein Rechensystem, einer Vielzahl von Paketen, die durch eine Netzwerkvorrichtung von einem Host empfangen werden, der sich in einem ersten Netzwerk befindet;<\/li>\n
  55. Erzeugen, durch das Rechensystem, einer Vielzahl von Log-Eintr\u00e4gen, die der Vielzahl von Paketen entsprechen, die durch die Netzwerkvorrichtung empfangen werden;<\/li>\n
  56. Identifizieren, durch das Rechensystem, einer Vielzahl von Paketen, die durch die Netzwerkvorrichtung an einen Host \u00fcbertragen werden, der sich in einem zweiten Netzwerk befindet;<\/li>\n
  57. Erzeugen, durch das Rechensystem, einer Vielzahl von Log-Eintr\u00e4gen, die der Vielzahl von Paketen entsprechen, die durch die Netzwerkvorrichtung \u00fcbertragen werden;<\/li>\n
  58. Korrelieren, durch das Rechensystem und auf Grundlage der Vielzahl von Log- Eintr\u00e4gen, die der Vielzahl von Paketen entsprechen, die durch die Netzwerkvorrichtung empfangen werden und der Vielzahl von Log-Eintr\u00e4gen, die der Vielzahl von Paketen entsprechen, die durch die Netzwerkvorrichtung \u00fcbertragen werden, der Vielzahl von Paketen, die durch die Netzwerkvorrichtung \u00fcbertragen werden mit der Vielzahl von Paketen, die durch die Netzwerkvorrichtung empfangen werden; und<\/li>\n
  59. als Reaktion auf das Korrelieren der Vielzahl von Paketen, die durch die Netzwerkvorrichtung \u00fcbertragen werden, mit der Vielzahl von Paketen, die durch die Netzwerkvorrichtung empfangen werden:<\/li>\n
  60. Erzeugen, durch das Rechensystem, von einer oder mehreren Regeln, die konfiguriert sind, um Pakete zu identifizieren, die von dem Host empfangen werden, der sich in dem ersten Netzwerk befindet; und<\/li>\n
  61. Bereitstellung der einen oder den mehreren Regeln an eine Paketfiltervorrichtung, die konfiguriert sind, um Pakete zu identifizieren, die von dem Host empfangen werden, der sich in dem ersten Netzwerk befindet;<\/li>\n
  62. hilfsweise:<\/li>\n
  63. Switches, Router oder Controller, die geeignet sind, in Verbindung mit einem E und einer virtuellen Maschine und der dazugeh\u00f6rigen Software eine Vorrichtung darzustellen, die konfiguriert ist, jeden Schritt eines Verfahrens durchzuf\u00fchren bzw. Flow-Collectoren, die geeignet sind, in Verbindung mit Switches, Routern oder Controllern und einer virtuellen Maschine und der dazugeh\u00f6rigen Software eine Vorrichtung darzustellen, die konfiguriert ist, jeden Schritt eines Verfahrens durchzuf\u00fchren,<\/li>\n
  64. umfassend:<\/li>\n
  65. Identifizieren, durch ein Rechensystem, einer Vielzahl von Paketen, die durch eine Netzwerkvorrichtung von einem Host empfangen werden, der sich in einem ersten Netzwerk befindet;<\/li>\n
  66. Erzeugen, durch das Rechensystem, einer Vielzahl von Log-Eintr\u00e4gen, die der Vielzahl von Paketen entsprechen, die durch die Netzwerkvorrichtung empfangen werden;<\/li>\n
  67. Identifizieren, durch das Rechensystem, einer Vielzahl von Paketen, die durch die Netzwerkvorrichtung an einen Host \u00fcbertragen werden, der sich in einem zweiten Netzwerk befindet;<\/li>\n
  68. Erzeugen, durch das Rechensystem, einer Vielzahl von Log-Eintr\u00e4gen, die der Vielzahl von Paketen entsprechen, die durch die Netzwerkvorrichtung \u00fcbertragen werden;<\/li>\n
  69. Korrelieren, durch das Rechensystem und auf Grundlage der Vielzahl von Log- Eintr\u00e4gen, die der Vielzahl von Paketen entsprechen, die durch die Netzwerkvorrichtung empfangen werden und der Vielzahl von Log-Eintr\u00e4gen, die der Vielzahl von Paketen entsprechen, die durch die Netzwerkvorrichtung \u00fcbertragen werden, der Vielzahl von Paketen, die durch die Netzwerkvorrichtung \u00fcbertragen werden mit der Vielzahl von Paketen, die durch die Netzwerkvorrichtung empfangen werden; und<\/li>\n
  70. als Reaktion auf das Korrelieren der Vielzahl von Paketen, die durch die Netzwerkvorrichtung \u00fcbertragen werden, mit der Vielzahl von Paketen, die durch die Netzwerkvorrichtung empfangen werden:<\/li>\n
  71. Erzeugen, durch das Rechensystem, von einer oder mehreren Regeln, die konfiguriert sind, um Pakete zu identifizieren, die von dem Host empfangen werden, der sich in dem ersten Netzwerk befindet; und<\/li>\n
  72. Bereitstellung der einen oder den mehreren Regeln an eine Paketfiltervorrichtung, die konfiguriert sind, um Pakete zu identifizieren, die von dem Host empfangen werden, der sich in dem ersten Netzwerk befindet,<\/li>\n
  73. Abnehmern im Gebiet der Bundesrepublik Deutschland anzubieten und\/oder an solche zu liefern, ohne<\/li>\n
  74. – im Falle des Anbietens im Angebot ausdr\u00fccklich und un\u00fcbersehbar darauf hinzuweisen, dass die Switches, Router, Controller, Een, virtuelle Maschinen und Software nicht ohne Zustimmung des Kl\u00e4gers als Inhaber des deutschen Teil des Europ\u00e4ischen Patents EP 3 257 XXX mit einer Vorrichtung verwendet werden d\u00fcrfen, welche konfiguriert ist, um das oben genannte Verfahren auszuf\u00fchren;<\/li>\n
  75. – im Falle der Lieferung den Abnehmern unter Auferlegung einer an den Patentinhaber zu zahlenden Vertragsstrafe von 100.000,00 Euro pro Ger\u00e4t, mindestens jedoch 500.000,00 Euro f\u00fcr jeden Fall der Zuwiderhandlung, die schriftliche Verpflichtung aufzuerlegen, die Ger\u00e4te und\/oder Software nicht ohne Zustimmung des Patentinhabers f\u00fcr Vorrichtungen zu verwenden, welche konfiguriert sind, um das oben genannte Verfahren auszuf\u00fchren;<\/li>\n
  76. \nb)
    \nSwitches, Router oder Controller jeweils gemeinsam mit Een und virtuellen Maschinen und der jeweiligen Software<\/li>\n
  77. welche geeignet sind, ein Verfahren auszuf\u00fchren, umfassend:<\/li>\n
  78. Identifizieren, durch ein Rechensystem, einer Vielzahl von Paketen, die durch eine Netzwerkvorrichtung von einem Host empfangen werden, der sich in einem ersten Netzwerk befindet;<\/li>\n
  79. Erzeugen, durch das Rechensystem, einer Vielzahl von Log-Eintr\u00e4gen, die der Vielzahl von Paketen entsprechen, die durch die Netzwerkvorrichtung empfangen werden;<\/li>\n
  80. Identifizieren, durch das Rechensystem, einer Vielzahl von Paketen, die durch die Netzwerkvorrichtung an einen Host \u00fcbertragen werden, der sich in einem zweiten Netzwerk befindet;<\/li>\n
  81. Erzeugen, durch das Rechensystem, einer Vielzahl von Log-Eintr\u00e4gen, die der Vielzahl von Paketen entsprechen, die durch die Netzwerkvorrichtung \u00fcbertragen werden;<\/li>\n
  82. Korrelieren, durch das Rechensystem und auf Grundlage der Vielzahl von Log- Eintr\u00e4gen, die der Vielzahl von Paketen entsprechen, die durch die Netzwerkvorrichtung empfangen werden und der Vielzahl von Log-Eintr\u00e4gen, die der Vielzahl von Paketen entsprechen, die durch die Netzwerkvorrichtung \u00fcbertragen werden, der Vielzahl von Paketen, die durch die Netzwerkvorrichtung \u00fcbertragen werden mit der Vielzahl von Paketen, die durch die Netzwerkvorrichtung empfangen werden; und<\/li>\n
  83. als Reaktion auf das Korrelieren der Vielzahl von Paketen, die durch die Netzwerkvorrichtung \u00fcbertragen werden, mit der Vielzahl von Paketen, die durch die Netzwerkvorrichtung empfangen werden:<\/li>\n
  84. Erzeugen, durch das Rechensystem, von einer oder mehreren Regeln, die konfiguriert sind, um Pakete zu identifizieren, die von dem Host empfangen werden, der sich in dem ersten Netzwerk befindet; und<\/li>\n
  85. Bereitstellung der einen oder den mehreren Regeln an eine Paketfiltervorrichtung, die konfiguriert sind, um Pakete zu identifizieren, die von dem Host empfangen werden, der sich in dem ersten Netzwerk befindet,<\/li>\n
  86. Abnehmern im Gebiet der Bundesrepublik Deutschland anzubieten und\/oder an solche zu liefern, ohne<\/li>\n
  87. – im Falle des Anbietens im Angebot ausdr\u00fccklich und un\u00fcbersehbar darauf hinzuweisen, dass die Switches, Router, Controller, Een, virtuelle Maschinen und Software nicht ohne Zustimmung des Kl\u00e4gers als Inhaber des deutschen Teil des Europ\u00e4ischen Patents EP 3 257 XXX mit einer Vorrichtung verwendet werden d\u00fcrfen, welche konfiguriert ist, um das oben genannte Verfahren auszuf\u00fchren;<\/li>\n
  88. – im Falle der Lieferung den Abnehmern unter Auferlegung einer an den Patentinhaber zu zahlenden Vertragsstrafe von 100.000,00 Euro pro Ger\u00e4t oder Softwarelizenz, mindestens jedoch 500.000,00 Euro f\u00fcr jeden Fall der Zuwiderhandlung, die schriftliche Verpflichtung aufzuerlegen, die Ger\u00e4te und\/oder Software nicht ohne Zustimmung des Patentinhabers f\u00fcr Vorrichtungen zu verwenden, welche konfiguriert sind, um das oben genannte Verfahren auszuf\u00fchren;<\/li>\n
  89. 2.
    \nder Kl\u00e4gerin dar\u00fcber Auskunft zu erteilen, in welchem Umfang sie seit dem 13.04.2019 die unter Ziffer I.1. bezeichneten Handlungen begangen haben und zwar unter Angabe<\/li>\n
  90. a) der Namen und Anschriften der Hersteller, Lieferanten und anderer Vorbesitzer,
    \nb) der Namen und Anschriften der gewerblichen Abnehmer sowie der Verkaufsstellen, f\u00fcr die die Erzeugnisse bestimmt waren,
    \nc) der Menge ausgelieferten, erhaltenen oder bestellten Erzeugnisse sowie der Preise, die f\u00fcr die betreffenden Erzeugnisse bezahlt wurden,<\/li>\n
  91. wobei zum Nachweis der Angaben die entsprechenden Kaufbelege (n\u00e4mlich Rechnungen, hilfsweise Lieferscheine) in Kopie vorzulegen sind, wobei geheimhaltungsbed\u00fcrftige Details au\u00dferhalb der auskunftspflichtigen Daten geschw\u00e4rzt werden d\u00fcrfen;<\/li>\n
  92. 3.
    \nder Kl\u00e4gerin dar\u00fcber Rechnung zu legen, in welchem Umfang sie die unter Ziffer I.1. bezeichneten Handlungen seit dem 13.04.2019 begangen haben, und zwar unter Angabe:<\/li>\n
  93. a) der einzelnen Lieferungen, aufgeschl\u00fcsselt nach Liefermengen, -zeiten, -preisen und Typenbezeichnungen sowie den Namen und Anschriften der Abnehmer,
    \nb) der einzelnen Angebote, aufgeschl\u00fcsselt nach Angebotsmengen, -zeiten, -preisen und Typenbezeichnungen sowie den Namen und Adressen der gewerblichen Angebotsempf\u00e4nger,
    \nc) der betriebenen Werbung, aufgeschl\u00fcsselt nach Werbetr\u00e4gern, deren Auflagenh\u00f6he, Verbreitungszeitraum und Verbreitungsgebiet,
    \nd) der nach den einzelnen Kostenfaktoren aufgeschl\u00fcsselten Gestehungskosten und des erzielten Gewinns,<\/li>\n
  94. wobei es der Beklagten vorbehalten bleibt, die Namen und Anschriften der nichtgewerblichen Abnehmer und der Angebotsempf\u00e4nger statt der Kl\u00e4gerin einem von der Kl\u00e4gerin bezeichneten, ihr zur Verschwiegenheit verpflichtetet, in der Bundesrepublik Deutschland ans\u00e4ssigen, vereidigten Wirtschaftspr\u00fcfer mitzuteilen, sofern die Beklagten dessen Kosten tragen und ihn erm\u00e4chtigen und verpflichten, der Kl\u00e4gerin auf konkrete Anfrage mitzuteilen, ob ein bestimmter Abnehmer oder Angebotsempf\u00e4nger in der Aufstellung enthalten ist;<\/li>\n
  95. 4.
    \nnur gerichtet gegen die Beklagte zu 2): die in ihrem unmittelbaren oder mittelbaren Besitz oder in ihrem Eigentum befindlichen unter Ziffer l.1.a) bezeichneten Erzeugnisse nach ihrer Wahl zu vernichten oder an einen von der Kl\u00e4gerin zu benennenden Gerichtsvollzieher zum Zwecke der Vernichtung auf Kosten der Beklagten zu 2) herauszugeben;<\/li>\n
  96. 5.
    \ndie unter Ziffer l.1.a) bezeichneten in Verkehr gebrachten Erzeugnisse gegen\u00fcber gewerblichen Abnehmern unter Hinweis auf den gerichtlich festgestellten patentverletzenden Zustand der Sache und mit der verbindlichen Zusage zur\u00fcckzurufen, etwaige Entgelte zu erstatten sowie notwendige Zoll- und Lagerkosten zu \u00fcbernehmen und die Erzeugnisse wieder an sich zu nehmen;<\/li>\n
  97. II.
    \nfestzustellen, dass die Beklagten verpflichtet sind, der Kl\u00e4gerin allen Schaden zu ersetzen, der ihr durch die unter Ziffer l.1. bezeichneten, seit dem 13.04.2019 begangenen Handlungen entstanden ist und noch entstehen wird.<\/li>\n
  98. <\/li>\n
  99. Die Beklagten beantragen,<\/li>\n
  100. die Klage abzuweisen,<\/li>\n
  101. hilfsweise
    \nden Rechtsstreit bis zur rechtskr\u00e4ftigen Entscheidung im Nichtigkeitsverfahren (Az. 5 Ni 50\/XX (EP)) gegen den deutschen Teil des EP 3 257 XXX auszusetzen.<\/li>\n
  102. \nDie Beklagten sind der Ansicht, sie w\u00fcrden das klagepatentgem\u00e4\u00df gesch\u00fctzte Verfahren nicht zur Anwendung bringen, auch machten die angegriffenen Ausf\u00fchrungsformen von der Lehre des Klagepatents keinen Gebrauch.<\/li>\n
  103. Das Klagepatent verlange, dass von der Netzwerkvorrichtung in undirektionaler Richtung empfangene und \u00fcbertragene Datenpakete identifiziert w\u00fcrden und die erzeugten Log-Eintr\u00e4ge den Datenpaketen entsprechen m\u00fcssten. Die von der angegriffenen Ausf\u00fchrungsform genutzten Flexible Netflow Records erm\u00f6glichten hingegen keine Eins-zu-Eins-Zuordnung von identifiziertem Datenpaket und erzeugtem Log-Eintrag. Ein Flexible Netflow Record stelle nur einen Log-Eintrag f\u00fcr einen ganzen Datenfluss, mithin eine Vielzahl von Datenpaketen dar. Dazu w\u00fcrden mehrere Datenpakete mit identischen Headerinformationen geb\u00fcndelt erfasst und ein Record f\u00fcr einen Fluss erstellt. Dies erfolge nur dann, wenn bestimmt werde, dass ein neuer Fluss im Cache erstellt werden m\u00fcsse.<\/li>\n
  104. Weiterhin finde bei der angegriffenen Ausf\u00fchrungsform ein Korrelieren im Sinne des Klagepatents nicht statt. An die T w\u00fcrden keine NetFlow Records sondern lediglich aggregierte P gesendet. Diese P seien nicht detailliert genug, dass G anhand dieser feststellen k\u00f6nne, dass ein von den angegriffenen Hardwarekomponenten empfangenes Paket dasselbe sei, das von den angegriffenen Hardwarekomponenten \u00fcbertragen werde. Vielmehr enthielten die P nur aggregierte Informationen \u00fcber den Datenfluss zwischen zwei Hosts als Ganzes und keine differenzierten Informationen \u00fcber Pakete auf einzelnen Segmenten von einem oder mehreren angegriffenen Hardwarekomponenten.<\/li>\n
  105. Bei der Erstellung der Flexible NetFlow Records finde ebenfalls kein Korrelieren im Sinne des Klagepatents statt. Durch das blo\u00dfe Abspeichern von Informationen wie input interface und output interface w\u00fcrden Datenpakete nicht in Bezug gebracht.<\/li>\n
  106. Bei der angegriffenen Ausf\u00fchrungsform erfolge kein Erstellen einer Regel in Reaktion auf das Korrelieren der Vielzahl von empfangenen Datenpaketen mit der Vielzahl von \u00fcbertragenen Datenpaketen im Sinne des Klagepatents. Vielmehr sende G ein Alarmsignal zur blo\u00dfen Anzeige an den Administrator (Q), aufgrund des Ermittelns einer Bedrohung. Hierbei handele es sich nicht um eine erzeugte Regel, sondern um bereits vor der Korrelation feststehende Bedrohungserkennungskriterien.<\/li>\n
  107. Schlie\u00dflich w\u00fcrden keine Regeln an die Hardwarekomponenten gesendet. Denn es bestehe keine R\u00fcckverbindung zwischen der cloud-basierten G an die Hardwarekomponenten. Vielmehr sende G ein Alarmsignal zur blo\u00dfen Anzeige an den Administrator (Q), wenn eine Bedrohung erkannt werde.<\/li>\n
  108. Der E, der mit dem R Management Center verbunden sei, stelle keine Paketfiltervorrichtung im Sinne des Klagepatents dar. Denn dieser k\u00f6nne nicht auf Datenpakete einwirken und diese somit auch nicht identifizieren und bei Bedarf filtern.<\/li>\n
  109. Wegen der weiteren Einzelheiten des Sach- und Streitstandes wird auf die zwischen den Parteien gewechselten Schrifts\u00e4tze und auf die zu den Akten gereichten Unterlagen Bezug genommen.<\/li>\n
  110. Entscheidungsgr\u00fcnde<\/strong><\/li>\n
  111. Die zul\u00e4ssige Klage ist nicht begr\u00fcndet.
    \nDer Kl\u00e4gerin stehen die geltend gemachten Anspr\u00fcche auf Unterlassen, Auskunft und Rechnungslegung, R\u00fcckruf und Vernichtung sowie Feststellung einer Schadensersatzpflicht dem Grunde nach gem\u00e4\u00df Art. 64 Abs. 1 EP\u00dc i. V. m. \u00a7 139 Abs. 1 und 2, \u00a7 140a Abs. 1 und 3, \u00a7 140b Abs. 1 und 3 PatG, \u00a7\u00a7 242, 259 BGB nicht zu (dazu unter Ziffer II).<\/li>\n
  112. I.
    \nDie Erfindung des Klagepatents betrifft das Korrelieren von Paketen in Kommunikationsnetzen.<\/li>\n
  113. Zum Hintergrund der Erfindung f\u00fchrt das Klagepatent einleitend aus, dass Kommunikationen zwischen Endpunkten von paketvermittelten Netzwerken als Fl\u00fcsse von zugeh\u00f6rigen Paketen charakterisiert werden k\u00f6nnten (Abs. [0002] des Klagepatents; nachfolgend sind Abschnitte ohne Bezeichnung solche des Klagepatents). Ein bestimmter Fluss k\u00f6nne Pakete beinhalten, die Informationen enthielten (z.B. innerhalb von Headern der Pakete), die Pakete von Paketen unterschieden, die anderen Fl\u00fcssen zugeordnet seien. Zwischen Endpunkten angeordnete Netzwerkvorrichtungen k\u00f6nnten Pakete \u00e4ndern, die einem Fluss zugeordnet sind, und dadurch m\u00f6glicherweise den Fluss verschleiern, dem ein bestimmtes Paket von anderen Netzwerkvorrichtungen zugeordnet ist. Dementsprechend bestehe Bedarf an der Korrelation von Paketen in Kommunikationsnetzen.<\/li>\n
  114. Aus der US 2014\/281XXX sei eine Ende-zu-Ende-\u00dcberwachung des virtuellen Netzwerkflusses in einem virtuellen Rechenzentrum bekannt, bei der den Benutzern basierend auf der Benutzerrolle unterschiedliche Ansichten bereitgestellt werden. Ein Zielflussmuster, das Datenpakete, die von Interesse sind, beschreibt, werde an eine Vielzahl von Anwendungen verteilt, die VMs in dem virtuellen Datenzentrum verwalten, wie etwa Hosts, virtuelle Gateways und andere virtuelle Netzwerkanwendungen. Jede der Anwendungen \u00fcberwache Datenpakete, die von der Anwendung geroutet werden, indem sie die Datenpakete mit dem Flussmuster vergleicht und selektiv Kontextdaten sammelt, die die Datenpakete beschreiben. Die von den Anwendungen gesammelten Kontextdaten w\u00fcrden auf einem Remote-Server zur Analyse und Berichterstattung aggregiert.<\/li>\n
  115. Weiter offenbare die US 2004\/073XXX ein Netzwerk\u00fcberwachungssystem mit einer Speicherschaltung zum Speichern von Netzwerkpaketinformationen, wobei die Netzwerkpaketinformation einen vorhergesagten Identifikator enthalte. Das Netzwerk\u00fcberwachungssystem umfasse auch mindestens eine \u00dcberwachungsschaltung, die mit einem Netzwerk verbunden sei und entlang dem Netzwerkverkehr in Form von Paketen flie\u00dfe. Die mindestens eine \u00dcberwachungsschaltung sei, so das Klagepatent, programmiert, um die Schritte des Empfangens eines \u00fcber das Netzwerk \u00fcbertragenen Pakets und des Bestimmens, ob das empfangene Pakte zwischen einer Quelle und einem Ziel in einem ersten Satz von Netzwerkknoten kommuniziert werde, durchzuf\u00fchren. Dabei enthalte jedes Paket in einer Sequenz von Kommunikationen zwischen der Quelle und dem Ziel einen Paket-Identifikator, der das Paket eindeutig von allen anderen Kommunikationen in einem Fluss zwischen der Quelle und dem Ziel identifiziere. Die mindestens eine \u00dcberwachungsschaltung sei so programmiert, das sie als Reaktion auf das Bestimmen, dass das empfangene Paket zwischen einer Quelle und einem Ziel in der ersten Gruppe der Netzwerkknoten kommuniziert werde, den Schritt des Vergleiches des Paket-Identifikators des empfangenen Pakets mit dem vorhergesagten Identifikator durchf\u00fchrt, um eine Identifikationsabweichung zwischen dem Paket-Identifikator und dem vorhergesagten Identifikator zu bestimmen zur Identifikation einer Unregelm\u00e4\u00dfigkeit im Netzwerkverkehr.<\/li>\n
  116. Das Klagepatent hat es sich vor diesem Hintergrund zur Aufgabe gemacht, ein Verfahren und eine Vorrichtung zur Verf\u00fcgung zu stellen, um Pakete, deren Zuordnung zu einem Datenfluss verschleiert ist, zu identifizieren.<\/li>\n
  117. Dies soll durch die unabh\u00e4ngigen Klagepatentanspr\u00fcche 1 und 15 erreicht werden, deren Merkmale wie folgt gegliedert werden k\u00f6nnen:<\/li>\n
  118. 1. Verfahren, umfassend:
    \n2. Identifizieren (5, 402) einer Vielzahl von Paketen (P1, P2, P3) durch ein Rechensystem,
    \n2.1 die Pakete werden durch eine Netzwerkvorrichtung (122) von einem Host empfangen,
    \n2.2 der sich in einem ersten Netzwerk (104) befindet;
    \n3. Erzeugen (6, 404) einer Vielzahl von Log-Eintr\u00e4gen (306, 308, 310) durch das Rechensystem,
    \n3.1 die Log-Eintr\u00e4ge entsprechen der Vielzahl von Paketen, die durch die Netzwerkvorrichtung empfangen werden;
    \n4. Identifizieren (8, 406) einer Vielzahl von Paketen (P1\u2018, P2\u2018, P3\u2018) durch das Rechensystem,
    \n4.1 die Pakete werden durch die Netzwerkvorrichtung an einen Host (108) \u00fcbertragen,
    \n4.2 der sich in einem zweiten Netzwerk (102) befindet;
    \n5. Erzeugen (9, 408) einer Vielzahl von Log-Eintr\u00e4gen (312, 314, 316) durch das Rechensystem,
    \n5.1 die Log-Eintr\u00e4ge entsprechen der Vielzahl von Paketen
    \n5.2 die durch die Netzwerkvorrichtung \u00fcbertragen werden;
    \n6. Korrelieren (16, 410)
    \n6.1 der Vielzahl von Paketen, die durch die Netzwerkvorrichtung \u00fcbertragen werden, mit der Vielzahl von Paketen, die durch die Netzwerkvorrichtung empfangen werden,
    \n6.2 durch das Rechensystem,
    \n6.3 auf der Grundlage
    \n6.3.1 der Vielzahl von Log-Eintr\u00e4gen, die der Vielzahl von Paketen entsprechen, die durch die Netzwerkvorrichtung empfangen werden, und
    \n6.3.2 der Vielzahl von Log-Eintr\u00e4gen, die der Vielzahl von Paketen entsprechen, die durch die Netzwerkvorrichtung \u00fcbertragen werden, und
    \n7. Erzeugen (30) von einer oder mehreren Regeln (140) durch das Rechensystem,
    \n7.1 die Regeln sind konfiguriert, um Pakete zu identifizieren, die von dem Host empfangen werden, der sich im ersten Netzwerk befindet; und
    \n8. Bereitstellen (31, 32) einer Paketfiltervorrichtung (124, 126) mit der einen oder den mehreren Regeln,
    \n8.1 die Regeln sind konfiguriert, um Pakete zu identifizieren, die von dem Host empfangen werden, der sich in dem ersten Netzwerk befindet;
    \n9. das Erzeugen und Bereitstellen [erfolgt] als Reaktion auf das Korrelieren einer Vielzahl von Paketen, die durch die Netzwerkvorrichtung \u00fcbertragen werden, mit der Vielzahl von Paketen, die durch die Netzwerkvorrichtung empfangen werden.<\/li>\n
  119. Das Klagepatent sieht in dem unabh\u00e4ngigen Vorrichtungsanspruch 15 weiter eine Vorrichtung vor, die konfiguriert ist, um jeden Schritt des Verfahrens mit den Merkmalen des Anspruchs 1 durchzuf\u00fchren.<\/li>\n
  120. Nach der Erfindung kann ein Rechensystem von einer Netzwerkvorrichtung empfangene Pakete von einem Host, der sich in einem ersten Netzwerk befindet, identifizieren (Abs. [0006]). Das Rechensystem kann sodann Log-Eintr\u00e4ge erzeugen, die den von der Netzwerkvorrichtung empfangenen Paketen entsprechen. Zudem kann das Rechensystem Pakete identifizieren, die von der Netzwerkvorrichtung an einen Host \u00fcbertragen werden, der sich in einem zweiten Netzwerk befindet. Das Rechensystem kann wiederum Log-Eintr\u00e4ge erzeugen, die den von der Netzwerkvorrichtung \u00fcbertragenen Paketen entsprechen. Unter Verwendung der Log-Eintr\u00e4ge, die den von der Netzwerkvorrichtung empfangenen Paketen entsprechen, und der Log-Eintr\u00e4ge, die den von der Netzwerkvorrichtung \u00fcbertragenen Paketen entsprechen, kann das Rechensystem die von der Netzwerkvorrichtung gesendeten Pakete mit den von der Netzwerkvorrichtung empfangenen Paketen korrelieren. Durch das Korrelieren der von der Netzwerkvorrichtung gesendeten Pakete mit den von der Netzwerkvorrichtung empfangenen Pakete kann das Rechensystem bestimmen, ob die von der Netzwerkvorrichtung gesendeten Pakete einem Datenfluss zugeordnet sind, auch wenn die Netzwerkvorrichtung die Pakete in einer Weise \u00e4ndert, die ihre Zuordnung zu einem Datenfluss vom Rechensystem verschleiert (Abs. [0007]).<\/li>\n
  121. II.
    \nVor dem Hintergrund des Streites der Parteien bedarf es einer Auslegung der Merkmalsgruppen 2 bis 5 sowie der Merkmale 6 und 9.<\/li>\n
  122. 1.
    \nDas Identifizieren von Paketen und das Erzeugen von Log-Eintr\u00e4gen erfolgen nach den Merkmalsgruppen 2 bis 5 sowohl in Bezug auf Datenpakete, die von einer Netzwerkvorrichtung empfangen werden (eingehende Datenpakete) als auch in Bezug auf Datenpakete, die von der Netzwerkvorrichtung gesendet werden (ausgehende Datenpakete). Damit geben diese Merkmale vor, dass es f\u00fcr empfangene und gesendete Datenpakete unterscheidbare Log-Eintr\u00e4ge geben muss, die Grundlage f\u00fcr das Korrelieren sind (Merkmal 6, siehe hierzu nachfolgend Ziffer 2.).<\/li>\n
  123. a)
    \nNach dem gem\u00e4\u00df Artikel 69 Abs. 1 Satz 1 EP\u00dc f\u00fcr die Anspruchsauslegung ma\u00dfgeblichen Wortlaut der Merkmale 2.1. und 4.1. empf\u00e4ngt bzw. \u00fcbertr\u00e4gt die Netzwerkvorrichtung die Datenpakete und ist mithin entlang der Flussrichtung des Paketdatenstroms zu verorten. Aus dem so in Bezug genommenen Anspruchswortlaut \u201edie Netzwerkvorrichtung\u201c folgt noch nicht zwingend, dass die Vorrichtung auch mehrere Ger\u00e4te umfassen kann. Allerdings legt der Wortlaut durch die Verwendung der Artikel \u201eeine\u201c in Merkmal 2.1. und \u2013 darauf bezogen \u2013 \u201edie\u201c in Merkmal 4.1. nicht fest, dass die klagepatentgem\u00e4\u00dfe Netzwerkvorrichtung zwingend nur ein Einzelger\u00e4t umfassen darf.<\/li>\n
  124. Ziel der Auslegung ist nicht ein blo\u00df philologisches Verst\u00e4ndnis. Zu ermitteln ist vielmehr der technische Sinngehalt des Patentanspruchs. Aus der Beschreibung und den Zeichnungen, die gem\u00e4\u00df Artikel 69 Abs. 1 Satz 2 EP\u00dc zur Auslegung heranzuziehen sind, kann sich ergeben, dass die Patentschrift Begriffe eigenst\u00e4ndig definiert und insoweit ein patenteigenes Lexikon darstellt (BGH GRUR 2021, 942 Rn. 22 \u2013 Anh\u00e4ngerkupplung II; BGH GRUR 1999, 909 \u2013 Spannschraube; BGH, GRUR 2015, 875 Rn. 16 \u2013 Rotorelemente).<\/li>\n
  125. Nach diesen Grunds\u00e4tzen ist der Begriff \u201eeine\u201c bzw. \u201edie\u201c im Sinne des Merkmals 2.1. bzw. 4.1. nicht als zahlenm\u00e4\u00dfige Angabe zu verstehen, sondern als unbestimmter bzw. bestimmter Artikel. Dieses Verst\u00e4ndnis wird gest\u00fctzt durch die f\u00fcr die Auslegung heranzuziehende Beschreibung des Klagepatents in Abschnitt [0041], wonach
    \n\u201eNetzwerkvorrichtung(en) 122 jedoch ein oder mehrere Ger\u00e4te enthalten [\u2026]\u201c<\/li>\n
  126. b)
    \nNach den Merkmalen 3.1. und 5.1. ist zwischen Log-Eintr\u00e4gen zu unterscheiden, die die von der Netzwerkvorrichtung empfangenen Datenpakete und solche, die die von der Netzwerkvorrichtung \u00fcbertragenen Datenpakete betreffen. Der jeweilige Log-Eintrag wird dabei f\u00fcr ein oder mehrere empfangene oder gesendete Datenpakete erzeugt.<\/li>\n
  127. Dem Teilmerkmal<\/li>\n
  128. \u201edie Log-Eintr\u00e4ge entsprechen der Vielzahl von Paketen\u201c<\/li>\n
  129. ist ein Verst\u00e4ndnis dahingehend zu entnehmen, dass eine Zuordnung der Log-Eintr\u00e4ge zu den Paketen erfolgt, wobei diese Zuordnung nicht zwingend dadurch gegeben sein muss, dass f\u00fcr jedes einzelne Paket ein Log-Eintrag tats\u00e4chlich erzeugt wird und dadurch eine Eins-zu-Eins-Zuordnung besteht. Die Erstellung von kumulierten oder aggregierten Log-Eintr\u00e4gen f\u00fcr mehrere Pakete ist aufgrund des Wortlauts \u201eentsprechen\u201c ebenfalls umfasst.<\/li>\n
  130. Dieses Verst\u00e4ndnis wird weiter gest\u00e4rkt, wenn die Funktion der Log-Eintr\u00e4ge im Rahmen des klagepatentgem\u00e4\u00dfen Verfahrens in den Blick genommen wird. Die Log-Eintr\u00e4ge bilden die Grundlage f\u00fcr den in Merkmal 6 beschriebenen Verfahrensschritt der Korrelation der empfangenen und gesendeten Datenpakete, die eine Eins-zu-Eins-Zuordnung von Log-Eintrag und Datenpaket nicht zwingend erfordert. Die Patentschrift formuliert den technischen Erfolg der Erfindung zun\u00e4chst in Abschnitt [0007] vielmehr dahin, dass<\/li>\n
  131. \u201eDas Korrelieren der von der Netzwerkvorrichtung gesendeten Pakete mit den von der Netzwerkvorrichtung empfangenen Pakete [\u2026] es dem Rechensystem erm\u00f6glichen [kann], zu bestimmen, ob die von der Netzwerkvorrichtung gesendeten Pakete dem\/den Flow(s) zugeordnet sind.\u201c<\/li>\n
  132. Einer Eins-zu-Eins- Zuordnung bedarf es daf\u00fcr nicht; es gen\u00fcgen unterscheidbar vorliegende Log-Eintr\u00e4ge. So w\u00e4re es auch denkbar, eine Vielzahl von Paketen mit bestimmten identischen Headerdaten zu einem Log-Eintrag zusammenzufassen und im Wege der Korrelation mit anderen, \u00e4hnlich aggregierten Log-Eintr\u00e4gen einem bestimmten Flow zuzuordnen.<\/li>\n
  133. Dabei ist zu ber\u00fccksichtigen, dass der Zweck, mittels einer Korrelation von Datenpaketen auf Grundlage der Log-Eintr\u00e4ge die Zuordnung von Datenpaketen zu bestimmten Flows zu erm\u00f6glichen, in keinem der Klagepatentanspr\u00fcche angesprochen ist, sondern erst Gegenstand der Unteranspr\u00fcche 10 und 11 bzw. bevorzugter Ausf\u00fchrungsformen in den Abschnitten [0041] ff. und [0052] ist. Damit gen\u00fcgt aber jedes Korrelieren von Datenpaketen, selbst wenn es kein Zuordnung von Datenpaketen zu einem bestimmten Flow erm\u00f6glicht. F\u00fcr die Log-Eintr\u00e4ge ergibt sich daraus noch weniger, dass ihnen einen Eins-zu-Eins-Zuordnung zu einzelnen Paketen zugrunde liegen muss.<\/li>\n
  134. 2.
    \nNach Merkmal 6 erfolgt das Korrelieren der \u00fcbertragenen mit den empfangenen Datenpaketen auf Grundlage der Log-Eintr\u00e4ge. Unter dem Korrelieren von Datenpaketen ist ein Vergleich zu verstehen mit dem Ziel, aus dem Zusammenhang oder dem Verh\u00e4ltnis der empfangenen und \u00fcbertragenen Datenpakete eine \u2013 wenn auch nur statistische \u2013 Aussage \u00fcber die Datenpakete ableiten zu k\u00f6nnen. Dabei werden die Datenpakete nicht unmittelbar selbst miteinander verglichen, sondern der Vergleich erfolgt auf der Grundlage der zuvor erzeugten Log-Eintr\u00e4ge, also bestimmter Daten aus den oder \u00fcber die empfangenen und \u00fcbertragenen Datenpakete. Da der Anspruch ein Korrelieren von \u00fcbertragenen Paketen mit empfangenen Paketen vorgibt, muss sich infolgedessen auch der Vergleich und insbesondere die daraus gewonnene Erkenntnis auf das Verh\u00e4ltnis von \u00fcbertragenen zu empfangenen Paketen beziehen.<\/li>\n
  135. Ausschlaggebend f\u00fcr dieses Verst\u00e4ndnis sind der Wortlaut des Anspruchs und der Begriff des Korrelierens in seiner allgemeinen Form. Insofern ist zu ber\u00fccksichtigen, dass der Wortlaut des Merkmals weder eine Zweckrichtung f\u00fcr das Korrelieren noch eine Eignung vorgibt. Insbesondere stellt der Wortlaut nicht darauf ab, eine Zuordnung zu einem Datenfluss zu erm\u00f6glichen oder eine Verschleierung von Datenpaketen zu erkennen (siehe oben unter Ziffer 1.).<\/li>\n
  136. Auch aus der Beschreibung des Klagepatents folgt ein solches Verst\u00e4ndnis nicht- Insoweit sind besondere Ausf\u00fchrungsformen nur beispielhaft beschrieben und haben keinen Eingang in den hier streitgegenst\u00e4ndlichen Anspruchswortlaut gefunden: Aus den Abschnitten [0019] bis [0021] folgt, wie die Zuordnung eines Datenpakets zu einem Flow verschleiert werden kann. Eine M\u00f6glichkeit, wie die empfangenen und \u00fcbertragenen Datenpakete verglichen werden k\u00f6nnen, wird in den Abschnitten [0034] bis [0036] beschrieben. Wie der Vorgang des Korrelierens durchgef\u00fchrt werden kann, erl\u00e4utert Abschnitt [0046]<\/li>\n
  137. \u201eindem bestimmt wird, dass die Daten der Anfrage(n) in den Paket(en) enthalten sind, die von den Netzwerkvorrichtung(en) 122 \u00fcbertragen werden, den Daten der Anfragen entsprechen, die in den Paket(en) enthalten sind, die von den Netzwerkvorrichtung(en) 122 empfangen werden (z.B. wenn die Netzwerkvorrichtung(en) 122 einen Proxy beinhalten).<\/li>\n
  138. \n3.
    \nNach Merkmal 9 werden in Reaktion auf das Korrelieren Regeln erzeugt, die an die Paketfiltervorrichtung bereitgestellt werden und konfiguriert sind, um von einem Host empfangene Pakete zu identifizieren.<\/li>\n
  139. a)
    \nDer Begriff der \u201eRegel\u201c (\u201erule\u201c) im Sinne des Merkmals 9 beschreibt eine allgemeine Programmanweisung, die an die Paketfiltervorrichtung gerichtet ist und von dieser verarbeitet wird (vgl. Merkmal 8). Von dieser Regel unterscheidet das Klagepatent die Nachricht (\u201emessage\u201c), die das Rechensystem erzeugen kann und bei der es sich allgemein um Mitteilungen an andere Einheiten im Netzwerk handelt, beispielsweise betreffend einen Host oder eine Kommunikationsverbindung.<\/li>\n
  140. Die Regel muss \u2013 da sie an eine Paketfiltervorrichtung bereitgestellt wird \u2013 geeignet sein, von einer Paketfiltervorrichtung dahingehend umgesetzt zu werden, dass mit dieser Regel Datenpakete identifiziert werden k\u00f6nnen. Dieses Verst\u00e4ndnis folgt aus dem Begriff der \u201ePaketfiltervorrichtung\u201c. Denn mithilfe einer Paketfiltervorrichtung kann aus einer Menge an Paketen eine Teilmenge herausgenommen werden. Die Kriterien, nach denen diese Teilmenge bestimmt wird, legt die Regel fest, die der Paketfiltervorrichtung bereitgestellt wird. Die Regel enth\u00e4lt mithin Kriterien, nach denen einzelne der empfangenen Dateien von anderen empfangenen Dateien unterschieden und mithin identifiziert werden k\u00f6nnen.<\/li>\n
  141. Dieses Verst\u00e4ndnis wird gest\u00fctzt durch die Beschreibung des Klagepatents in Abschnitt [0049]. Anhand der bereitgestellten Regel kann die Paketfiltervorrichtung im Ausf\u00fchrungsbeispiel Datenpakete identifizieren, verwerfen oder fallen lassen, wobei sich das Identifizieren nicht auf den Fall der Verschleierung von Datenpaketen beschr\u00e4nkt, sondern die Identifizierung empfangener Datenpakete allgemein in Bezug nimmt.<\/li>\n
  142. b)
    \nDas Erstellen der Regel folgt nach Merkmal 9 in Reaktion auf das Korrelieren. Aus dem Korrelationsergebnis wird die Regel abgeleitet. Es besteht somit ein Kausalzusammenhang zwischen dem Korrelieren und dem Erstellen der Regel.<\/li>\n
  143. Diesen Kausalzusammenhang beschreibt das Klagepatent anhand eines Ausf\u00fchrungsbeispiels in Abschnitt [0048] und [0049] genauer. Als Reaktion auf das Korrelieren der gesendeten und empfangenen Datenpakete kann der Paketkorrelator basierend auf einem oder mehreren Eintr\u00e4gen in den Logs beispielsweise Nachrichten generieren, die einen Host identifizieren, oder mitteilen, dass ein Host mit einer b\u00f6sartigen Entit\u00e4t kommuniziert. Der Paketkorrelator kann beispielsweise auch Nachrichten generieren, um den Administrator \u00fcber die Kommunikation des Hosts mit der b\u00f6swilligen Entit\u00e4t zu benachrichtigen. W\u00e4hrend hier allerdings nur Nachrichten in Reaktion auf das Korrelieren erzeugt werden, verlangen die Klagepatentanspr\u00fcche das Erzeugen von ein oder mehreren Regeln.<\/li>\n
  144. III.
    \nEs l\u00e4sst sich nicht feststellen, dass die angegriffene Ausf\u00fchrungsform von der Lehre des Klagepatentanspruchs 15 Gebrauch macht. Ebenso wenig l\u00e4sst sich feststellen, dass sie geeignet ist, ein Verfahren im Sinne des Klagepatentanspruchs 1 durchzuf\u00fchren. Schlie\u00dflich ist auch nicht erkennbar, dass die mit dem Hilfsantrag angegriffenen Komponenten der angegriffenen Ausf\u00fchrungsform geeignet sind, zusammen mit weiteren Komponenten und entsprechender Software eine Vorrichtung im Sinne des Klagepatentanspruchs 1 zu bilden. In allen F\u00e4llen fehlt es an der Verwirklichung der Merkmalsgruppen 2 bis 5 sowie der Merkmale 6 und 9<\/li>\n
  145. 1.
    \nDie von den Routern, Switches oder Wireless Controllern erzeugten Original NetFlow Records bzw. Flexible NetFlow Records enthalten keine Log-Eintr\u00e4ge in Form von unterscheidbaren Informationen zu an der Netzwerkvorrichtung empfangenen und gesendeten Datenpaketen im Sinne der Merkmale 3.1. und 5.1.<\/li>\n
  146. a)
    \nDie Router, Switches und Wireless Controller der angegriffenen Ausf\u00fchrungsform leiten die im Netzwerk ankommenden Datenpakete durch- bzw. weiter. Sie sind nach dem hier vertretenen Verst\u00e4ndnis Netzwerkvorrichtungen im Sinne des Klagepatents.<\/li>\n
  147. Mittels der \u201eNetflow\u201c-Funktionalit\u00e4t erzeugen die Netzwerkvorrichtungen der angegriffenen Ausf\u00fchrungsform verschiedene \u201eRecords\u201c – (Original) NetFlow Records bzw. Flexible NetFlow Records. Diese \u201eRecords\u201c enthalten verschiedene Informationen betreffend die durchgeleiteten Datenpakete wie beispielsweise \u201esource IP address\u201c, \u201edestination IP address\u201c, \u201einput interface\u201c, \u201eoutput interface\u201c und stellen somit Log-Eintr\u00e4ge im Sinne der Merkmale 3 und 5 dar. Soweit es sich bei diesen \u201eNetFlow Records\u201c oder bei den auf Ebene des R Collectors erzeugten \u201eP\u201c um aggregierte Informationen \u00fcber den Datenfluss zwischen zwei Hosts als Ganzes und nicht um differenzierte Informationen \u00fcber Datenpakete auf einzelnen Segmenten der betreffenden Netzwerkvorrichtung handelt, stellen auch diese aggregierten Informationen Log-Eintr\u00e4ge dar, da es nach dem hier ma\u00dfgeblichen Verst\u00e4ndnis auf die Form der Aufbereitung der Daten nicht ankommt.<\/li>\n
  148. b)
    \nDie NetFlow Records bzw. die P erm\u00f6glichen keine Unterscheidung zwischen Log-Eintr\u00e4gen, die die von der Netzwerkvorrichtung empfangenen Datenpakete und solche, die die von der Netzwerkvorrichtung \u00fcbertragenen Datenpakete betreffen und verwirklichen damit nicht die Merkmale 3.1. und 5.1. F\u00fcr diese Unterscheidung ist nach dem hier ma\u00dfgeblichen Verst\u00e4ndnis zwar nicht zu fordern, dass eine Eins-zu-Eins-Zuordnung von identifiziertem Datenpaket und erzeugtem Log-Eintrag erfolgt. Die Log-Eintr\u00e4ge, die die von der Netzwerkvorrichtung empfangenen Datenpakete betreffen, m\u00fcssen jedoch von den Log-Eintr\u00e4gen, die die von der Netzwerkvorrichtung \u00fcbertragenen Datenpakete betreffen, unterscheidbar vorliegen.<\/li>\n
  149. Soweit die Kl\u00e4gerin eine solche Unterscheidung darin sieht, dass die Log-Eintr\u00e4ge \u201eInterface Input\u201c und \u201eInterface Output\u201c generiert werden, enthalten diese Eintr\u00e4ge Informationen aus der Schnittstelle des Netzwerkger\u00e4ts, durch die Datenpakete vom Netzwerkger\u00e4t empfangen bzw. weitergesendet werden. Damit ist nicht aufgezeigt, dass unterscheidbare Log-Eintr\u00e4ge f\u00fcr empfangene und f\u00fcr gesendete Datenpakete erzeugt werden, denn eine Zuordnung der Datenpakete zu einem Datenfluss (\u201eFlow\u201c) ist auch m\u00f6glich, indem Datenpakete mit identischen Headerinformationen f\u00fcr einen Datenfluss geb\u00fcndelt erfasst werden, ohne nach Eingang und Ausgang unterscheidbare Log-Eintr\u00e4ge zu generieren.<\/li>\n
  150. Auch f\u00fcr die Analyse des eingehenden Datenverkehrs (\u201eIngress\u201c) sowie des ausgehenden Datenverkehrs (\u201eEgress\u201c) durch die angegriffene Ausf\u00fchrungsform ist nicht dargetan, dass unterscheidbare Log-Eintr\u00e4ge in Bezug auf eingehende und weitergesendete Datenpakete vorliegen. Die Kl\u00e4gerin hat hierzu in der m\u00fcndlichen Verhandlung auf die als Anlage A 29a (in deutscher \u00dcbersetzung als A 29b) vorgelegten Ausz\u00fcge aus Unterlagen der Beklagten und dem Zitat aus einer Stellungnahme des Herrn X im US-Verfahren verwiesen und erkl\u00e4rt, dass jedes der angegriffenen Ger\u00e4te \u201eingress\u201c- und \u201eegress\u201c-Daten erzeugen kann, die angegriffene Ausf\u00fchrungsform mithin zwischen dem Eingang und dem Ausgang der Datenpakete unterscheide. Beschrieben werde diese Unterscheidung in der vorlegten Anlage A 29a auf Seite 1 in Bezug auf den Flow Monitor, der f\u00fcr die Datenanalyse allein den Eingangsverkehr (\u201eIngress\u201c) oder allein den Ausgangsverkehr (\u201eEgress\u201c) nutzt. Die Netzwerkvorrichtung identifiziere mithin die ein- und ausgehenden Datenpakete und kennt \u2013 da die Datenpakete lediglich durchgeleitet werden \u2013 die Zuordnung des jeweiligen eingehenden zu dem jeweiligen ausgehenden Datenpakets.<\/li>\n
  151. Allerdings sind die eingehenden und ausgehenden Datenpakete \u2013 dies haben die Beklagten in der m\u00fcndlichen Verhandlung ausgef\u00fchrt \u2013 identisch und somit ist lediglich die Zuordnung der Datenpakete zu einem Datenfluss von Interesse sowie ggf. die Schnittstelle, \u00fcber die das betreffende Datenpaket an die Netzwerkvorrichtung gelangt oder aus ihr weitergeleitet wird. Eine Aussage \u00fcber das Verh\u00e4ltnis von eingehenden und ausgehenden Datenpaketen, was die Erzeugung unterscheidbarer Log-Eintr\u00e4ge f\u00fcr eingehende und f\u00fcr weitergeleitete Datenpakete voraussetzt, trifft die angegriffene Ausf\u00fchrungsform damit nicht.<\/li>\n
  152. Darin kommt die grunds\u00e4tzlich im Verh\u00e4ltnis zur Lehre des Klagepatents andere Funktionsweise der angegriffenen Ausf\u00fchrungsform zum Ausdruck. Nach dem patentgem\u00e4\u00dfen Verfahren ist zwischen eingehenden und ausgehenden Paketen zu unterscheiden. Das Klagepatent geht davon aus, dass \u2013 etwa aufgrund ver\u00e4nderter Headerinformationen \u2013 nicht sicher bekannt ist, ob eingehende und ausgehende Pakete identisch sind. Daher identifiziert das Rechensystem, das von der Netzwerkvorrichtung zu unterscheiden ist, die bei der Netzwerkvorrichtung eingehenden und ausgehenden Pakete und erzeugt paketbezogen Log-Eintr\u00e4ge. Bei der angegriffenen Ausf\u00fchrungsform werden hingegen die Log-Eintr\u00e4ge \u2013 jedenfalls wenn man von den Original oder Flexible Netflow Records ausgeht und nicht von den aggregierten Netflows \u2013 durch die Netzwerkvorrichtung selbst, also durch die Router, Controller und Switches erzeugt. Diesen ist aber bekannt, welches Paket eingeht und welches ausgeht. Daher sind die Netflow Records nicht Paket- sondern Flow-bezogen. Das hei\u00dft, die Netzwerkvorrichtung unterscheidet grunds\u00e4tzlich nicht zwischen ein- und ausgehenden Paketen, sondern kennt nur das eine Paket, das es beispielsweise aufgrund bestimmter Headerdaten einem konkreten Flow zuordnet. Und erst im Rahmen dieser Zuordnung werden zum Beispiel Schnittstellenangaben und dergleichen als Log-Eintr\u00e4ge in den jeweiligen Flow aufgenommen. Das sind jedoch keine Log-Eintr\u00e4ge im Sinne der Merkmale 3.1 und 5.1.<\/li>\n
  153. 2.
    \nDas Rechensystem der angegriffenen Ausf\u00fchrungsform f\u00fchrt den Verfahrensschritt des Korrelierens nach Merkmal 6 nicht durch.<\/li>\n
  154. Das Rechensystem der angegriffenen Ausf\u00fchrungsform wird durch den E bzw. R Collector sowie die Q und die G gebildet und f\u00fchrt die Erstellung der \u201eP\u201c und deren Auswertung durch. Dass aus dieser Auswertung eine statistische Aussage \u00fcber die eingehenden und weitergeleiteten Datenpakete abgeleitet wird, l\u00e4sst sich nicht feststellen.<\/li>\n
  155. Nach dem insoweit bestrittenen Vortrag der Kl\u00e4gerin in der m\u00fcndlichen Verhandlung soll das eigentliche Korrelieren auf der Ebene der T stattfinden, die die gesammelten P empfange, in Bezug zueinander setze und sodann Wahrscheinlichkeiten hinsichtlich der Vorg\u00e4nge in den Datenfl\u00fcssen des Netzwerks ermittle. Dieser Vortrag l\u00e4sst nicht erkennen, was in welcher Form korreliert wird. Selbst wenn man dem Verst\u00e4ndnis der Kl\u00e4gerin folgt, ist nicht dargetan, wie hier ein Vergleich von aus- und eingehenden Paketen stattfinden kann, zumal es insoweit an unterscheidbaren Log-Eintr\u00e4gen in Bezug auf eingehende und auf ausgehende Datenpakete fehlt.<\/li>\n
  156. Stattdessen haben die Beklagten in der m\u00fcndlichen Verhandlung hinsichtlich der Funktionsweise der angegriffenen Ausf\u00fchrungsform klargestellt, dass auf der Ebene der T die aus den Netflows gewonnenen Datenflussmuster mit Bedrohungsmustern in Bezug gesetzt werden. Der mit der in der m\u00fcndlichen Verhandlung als Anlage A 29a vorgelegte Passus (Seite 3 der Anlage A 29a):<\/li>\n
  157. \u201eR will then correlate the received syslog and relates it to the flows collected from network devices before and after the proxy, providing deeper visibility into customers web traffic.\u201c<\/li>\n
  158. betreffe somit den Abgleich bestimmter Flow-Muster, die auf Grundlage der weiterverarbeiteten NetFlow Records erstellt werden mit vorerkannten Mustern von Bedrohungen und nicht \u2013 wie die Kl\u00e4gerin meint \u2013 ein Korrelieren im Sinne des Merkmals 6. Ein Korrelieren von \u00fcbertragenen Paketen mit empfangenen Paketen auf Grundlage von Log-Eintr\u00e4gen ist das nicht und l\u00e4sst sich anhand des Kl\u00e4gervortrags auch nicht feststellen.<\/li>\n
  159. 3.
    \nSchlie\u00dflich verwirklicht die angegriffene Ausf\u00fchrungsform Merkmal 9 nicht. Folgt man dem Verst\u00e4ndnis der Kl\u00e4gerin, wonach die angegriffene Ausf\u00fchrungsform Log-Eintr\u00e4ge hinsichtlich eingehender und ausgehender Datenpakete korreliert, fehlt es an dem Erzeugen und Bereitstellen einer Regel in Reaktion auf das Korrelieren.<\/li>\n
  160. Die angegriffene Ausf\u00fchrungsform sieht verschiedene Reaktionen auf das Feststellen einer Bedrohung vor \u2013 neben Alarmen auch sogenannte \u201eIncidents\u201c, die in der Folge unterschiedliche Aktionen des Systems ausl\u00f6sen k\u00f6nnen, beispielsweise die Isolation eines Hosts oder das Blockieren bestimmter Domains (siehe hierzu das in Ausz\u00fcgen als Anlage A 26 vorgelegte Dokument \u201eS SecureX threat response Data Sheet\u201c). Damit ist jedoch nicht aufgezeigt, dass der betreffende \u201eIncident\u201c auch tats\u00e4chlich aus dem Korrelationsergebnis abgeleitet wird. Ein solches Verst\u00e4ndnis folgt auch nicht aus dem als Anlagenkonvolut A 30a (in deutscher \u00dcbersetzung als Anlage A 30b) vorgelegten Dokument \u201eRapid Threat Containment\u201c. Aus dem von der Kl\u00e4gerin in Bezug genommenen Absatz<\/li>\n
  161. \u201eUpon detecting a flagrant threat in an endpoint, a pxGrid eco-system partner can instruct ISE to contain the infected endpoint either manually or automatically\u201c<\/li>\n
  162. folgt, dass die auf eine Bedrohung folgenden Handlungsanweisungen von einem Administrator gesetzt (\u201emanually\u201c) oder zumindest vorab gew\u00e4hlt (\u201eISE Partner can instruct \u2026 automatically\u201c) werden. Die Beklagten haben hierzu in der m\u00fcndlichen Verhandlung dargelegt, dass der System-Administrator bei der angegriffenen Ausf\u00fchrungsform entscheidet, welche Regel auf eine festgestellte Bedrohung hin ins Werk gesetzt werden soll. Dies gelte auch im Hinblick auf Alarme, die nicht den Automatismus einer bestimmten Handlung ausl\u00f6sen. Es fehlt somit nach dem hier ma\u00dfgeblichen Verst\u00e4ndnis an der Erzeugung eines Incidents in Reaktion auf die detektierte Bedrohung.<\/li>\n
  163. C
    \nDie Kostenentscheidung folgt aus \u00a7 91 Abs. 1 S. 1 ZPO.
    \nDie Entscheidung \u00fcber die vorl\u00e4ufige Vollstreckbarkeit ergibt sich aus \u00a7 709 S. 1 und 2 ZPO.
    \nDer Streitwert wird gem\u00e4\u00df \u00a7\u00a7 51 Abs. 1 GKG auf 500.000,00 Euro festgesetzt.<\/li>\n<\/ol>\n","protected":false},"excerpt":{"rendered":"

    D\u00fcsseldorfer Entscheidungen Nr. 3175 Landgericht D\u00fcsseldorf Urteil vom 10. Dezember 2021, Az. 4b O 33\/20<\/p>\n","protected":false},"author":23,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[95,2],"tags":[],"class_list":["post-8944","post","type-post","status-publish","format-standard","hentry","category-95","category-lg-duesseldorf"],"acf":[],"_links":{"self":[{"href":"https:\/\/d-prax.de\/index.php?rest_route=\/wp\/v2\/posts\/8944","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/d-prax.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/d-prax.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/d-prax.de\/index.php?rest_route=\/wp\/v2\/users\/23"}],"replies":[{"embeddable":true,"href":"https:\/\/d-prax.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=8944"}],"version-history":[{"count":1,"href":"https:\/\/d-prax.de\/index.php?rest_route=\/wp\/v2\/posts\/8944\/revisions"}],"predecessor-version":[{"id":8945,"href":"https:\/\/d-prax.de\/index.php?rest_route=\/wp\/v2\/posts\/8944\/revisions\/8945"}],"wp:attachment":[{"href":"https:\/\/d-prax.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=8944"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/d-prax.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=8944"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/d-prax.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=8944"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}