T 1850/19 (Sicherheitsmodul/MAHLTIG) 01-09-2020

1. Zulässigkeit der Beschwerden

Die Beschwerden der Patentinhaberin und der Einsprechenden O2 und O3 erfüllen die Zulässigkeitskriterien nach dem EPÜ, insbesondere Regel 101 EPÜ, und sind somit zulässig.

2. Zulässigkeit des Einspruchs der Einsprechenden O2

2.1 Die Patentinhaberin hat beantragt (vgl. Punkte 106 bis 116 der Beschwerdebegründung vom 21. August 2019), diesen Einspruch "als nicht eingelegt zu verwerfen", weil der Einspruchsschriftsatz, der innerhalb der Frist nach Artikel 99 EPÜ eingereicht wurde, nicht unterschrieben war. Die Patentinhaberin beanstandet die Möglichkeit, die der Einsprechenden O2 gegeben wurde, die Unterschrift innerhalb einer zweimonatigen Nachfrist gemäß den Regeln 76(3) und 50(3) EPÜ nachzuholen, weil sie die neunmonatige Einspruchsfrist nach Artikel 99 EPÜ faktisch verlängert habe und einer zügigen Durchführung des Einspruchsverfahrens entgegen stehe. Bei zutreffender Anwendung des EPÜ hätte die Einspruchsabteilung den Einspruch der Einsprechenden O2 sofort nach Ablauf der Frist nach Artikel 99 EPÜ als nicht eingelegt behandeln müssen, weil diese Frist nicht verlängerbar sei. Bei Setzung einer Nachfrist nach Regel 50(3) EPÜ verlängere sich die Einspruchsfrist in der Praxis um mehr als zwei Monate, im vorliegenden Fall um drei Monate. Die Einspruchschrift sei aber gerade kein "nachgereichtes Dokument" im Sinne der Regel 50(3) EPÜ. Die Anwendung dieser Bestimmung auf das Einspruchsverfahren benachteilige den Patentinhaber in einer Weise, die durch Artikel 99 EPÜ gerade zu vermeiden sei.

2.2 Die Einsprechenden haben dem in der Eingabe vom 7. Januar 2020 widersprochen und auf die Entscheidung T 0960/95 (Punkte 3 bis 5) hingewiesen.

2.3 In der mündlichen Verhandlung wollte keine Partei weitere Ausführungen zu diesem Thema machen.

2.4 Die Kammer bemerkt zunächst, dass ein Einspruchsverfahren durch den Einspruch der Einsprechenden O1 ins Leben gerufen wurde. Dieser wurde erst am 9. November 2017, also nach dem Beitritt von O3 und O4 zurückgenommen (am 13. bzw. 22. März 2017). Die Anhängigkeit des Einspruchsbeschwerdeverfahrens hängt demnach nicht davon ab, ob der Einspruch der Einsprechenden O2 als eingelegt gilt.

2.5 Artikel 99(1) EPÜ legt fest, dass Einspruch nach Maßgabe der Ausführungsordnung einzulegen ist. Regel 76(1) und (2) EPÜ verlangen keine Unterschrift. Regel 76(3) EPÜ sieht vor, dass die Vorschriften des Dritten Teils der Ausführungsordnung auf die Einspruchsschrift entsprechen anzuwenden seien. Das Erfordernis, dass die Einspruchsschrift zu unterzeichnen ist, folgt dementsprechend aus Regel 50(3) EPÜ, erster Satz. Dieselbe Regel sieht im zweiten Satz eine Nachfrist vor, in der eine fehlende Unterschrift nachzuholen ist. Die Kammer ist wie T 0960/95 (in Nr. 3.2) der Meinung, dass sowohl der erste Satz der Regel 50(3) EPÜ als auch der zweite einschlägig sind. Dieses Ergebnis steht auch mit G 3/99 (ABl. EPA 2002, 347, Nr. 20 und Leitsatz II) sowie T 0665/89 (Nr. 1.4) im Einklang. Die Auffassung der Patentinhaberin (in Nr. 114), wonach der Rückgriff auf Regel 50(3) EPÜ über Regel 76(3) EPÜ unangebracht sei, widerspricht dem klaren Wortlaut von Regel 76(3) EPÜ, wonach die Vorschriften des Dritten Teils der Ausführungsordnung, und damit Regel 50(3) EPÜ, entsprechend anzuwenden sind. Dabei ist die Einspruchsschrift als "Schriftstück" im Sinne dessen Satzes 2 anzusehen. Daher wurde nach Auffassung der Kammer der Einsprechenden O2 zu Recht eine Nachfrist für die Leistung der Unterschrift eingeräumt, welche fristgerecht vorgenommen wurde.

2.6 Folglich gilt der Einspruch der Einsprechenden O2 als eingelegt.

3. Zusammenfassung der Erfindung

3.1 Das Patent betrifft ein Sicherheitsmodul (vgl. [25] der Patentschrift und die einzige Figur; 1), das den Datenverkehr zwischen dem zentralen Prozessor oder Mikroprozessor (11) eines Personalcomputers (PCs) (10) und der Festplatte (12) und den Peripherie-Geräten (13), beispielsweise einer Netzwerkkarte (vgl. [29], letzter Satz), "steuert und kontrolliert", um die Datensicherheit zu gewährleisten. Der Begriff "Personalcomputer" soll auch mobile Computer, wie einen Laptop oder PDA (Personal Digital Assistant) umfassen; vgl. [25].

3.2 Softwarefehler, Bedienfehler und Computerviren können die Datensicherheit gefährden, in dem sie unerwünschte Veränderungen von Daten, unerlaubte Zugriffe auf Daten und Datenverlust verursachen; vgl. [3, 4, 15]. Das Sicherheitsmodul (1), das auf dem PC-Motherboard oder als eine PCI-Steckkarte ausgeführt werden kann (vgl. [35]) weist einen programmierbaren Logikbaustein (2), zum Beispiel ein FPGA ("Field Programmable Gate Array"/Feldprogrammierbare Gate-Array), einen Prozessor-Anschluss (3), einen Festplatten-Anschluss (4), mehrere Peripheriegeräte-Anschlüsse (5) und einen Speicherbaustein (6) auf. Dieser enthält Initialisierungsdaten für den Logikbaustein (2); vgl. [12]. Zumindest ein Teil des Speicherbausteins (6) ist als nichtflüchtiger Speicher-Baustein ausgelegt; vgl. [33]. Die Initialisierungsdaten sind sofort nach dem Anlegen einer Betriebsspannung verfügbar, sodass der Logikbaustein auch beim Boot-Vorgang des PCs eingreifen kann; vgl. [15, 33].

3.3 Wenn die "eingehenden Daten" von der Tastatur oder der Netzwerkkarte (vgl. [29]) mit gespeicherten "Kontrolldaten" verglichen werden, ist eines von drei Ergebnissen möglich:

1. Fehlerhafte Daten und/oder ein unerlaubter Austausch von Daten werden/wird von der Vergleichseinheit erkannt, und es werden/wird ein "korrigierender Eingriff" (z.B. das Unterbinden des Austausches ([13], Zeilen 7 bis 13) und/oder die Erzeugung eines Warnhinweises, dass wichtige Daten gelöscht werden sollen (vgl. [38])), durch das Sicherheitsmodul ausgelöst; vgl. Merkmale 3.2 und 3.4 des erteilten Anspruchs 1.

2. Es wird eine "Steuerungsfunktion" des Sicherheitsmoduls ausgelöst, die Kontrolldaten anpasst (vgl. Merkmale 5 u. 5.1 des erteilten Anspruchs 1);

3. In allen anderen Fällen lässt das Sicherheitsmodul die eingehenden Daten passieren und bleibt ansonsten inaktiv.

3.4 Der programmierbare Baustein (2) "steuert und kontrolliert" den Datenverkehr des PCs unabhängig vom zentralen Prozessor (11); vgl. [14]. Der Logikbaustein ist selbstinitialisierend und kann auch beim Boot-Vorgang des PCs eingreifen; vgl. [14].

3.5 Bei der Initialisierung des Logikbausteins werden alle seine Funktionsbauteile in einen definierten Ausgangszustand versetzt, vgl. [37]. Beim Boot-Vorgang des PCs erhält der Logikbaustein Informationen über die Festplatte, wie zum Beispiel ihre Kapazität. Wenn ein Bereich der Festplatte vom Sicherheitsmodul selbst belegt ist, so wird dem zentralen Prozessor eine dementsprechend verminderte Kapazität mitgeteilt; vgl. [39]. Der Logikbaustein (2) ist so programmiert, dass er die Daten, die zwischen dem zentralen Prozessor, der Festplatte und den Peripheriegeräten ausgetauscht werden, mit vorgegebenen gespeicherten Kontrolldaten vergleicht; vgl. [13]. Dabei stellt die Netzwerkkarte eine wichtige Quelle potentiell schädlicher Daten aus externen Kommunikationsnetzen dar; vgl. [30].

3.6 In einer Ausführungsform agieren die Funktionsbauteile des Sicherheitsmoduls transparent, so dass das Sicherheitsmodul durch die auf dem PC laufende Software nicht beeinflusst wird und nicht angepasst werden muss. Folglich würde ein Computervirus in der PC-Software das Vorhandensein des Sicherheitsmoduls nicht erkennen; vgl. [23]. Diese Transparenz erfordert, dass das Sicherheitsmodul dem Prozessor gegenüber Funktionen der Festplatte und Netzwerkkarte vortäuscht; vgl. [27, 41]. Sollte beispielsweise der Prozessor versuchen, auf einen ihm nicht zugänglichen Bereich der Festplatte zuzugreifen, dann leitet das Sicherheitsmodul diese Anweisung nicht an die Festplatte weiter. Stattdessen schickt das Sicherheitsmodul dem Prozessor eine Fehlermeldung, die mit einer Fehlermeldung einer entsprechend kleineren Festplatte identisch ist. Somit operiert das Sicherheitsmodul zwischen dem Prozessor-Anschluss (3) und dem Festplattenanschluss (4) transparent; vgl. [40]. Ähnlich ist der Umgang mit Dateneingaben über die Tastatur. Jede Tastenfolge wird im Sicherheitsmodul decodiert, und der Logikbaustein prüft anhand der Daten im Speicherbaustein (6), ob sie mit einer festen Anweisung assoziiert ist. Wenn eine so assoziierte Anweisung zu einer unerlaubten Handlung führen würde, wird das entsprechende Signal ignoriert oder ein Warnhinweis auf dem PC-Monitor angezeigt. Alternativ kann eine Softwareroutine des Sicherheitsmoduls ausgelöst werden; die Tastenfolge wird jedoch nicht an den Prozessor weitergeleitet; vgl. [41].

3.7 Das Sicherheitsmodul kann als ein gekapseltes, austauschbares System, beispielsweise eine PCI-Steckkarte, ausgeführt werden; vgl. [16, 17]. In einer anderen Ausführungsform, die die PC-Steckplätze frei lässt, befinden sich die Funktionsbauteile des Sicherheitsmoduls auf dem PC-Motherboard; vgl. [18].

3.8 Zumindest ein Teil des Speicherbausteins (6) ist als nichtflüchtiger Speicher, beispielsweise Flash-Speicher oder flüchtiger Speicher mit einer eigenen Energiequelle, ausgelegt, damit die Initialisierungsdaten des Logikbausteins bereitstehen, wenn der PC eingeschaltet wird; vgl. [33]. Optional kann ein Teil des Speicherbausteins auch als flüchtiger Speicher, beispielsweise RAM, ausgeführt werden. Der Speicherbaustein kann als Teil des RAM-Speichers (14) des PCs oder der Festplatte (12) ausgebildet sein, der bei der Initialisierung für das Sicherheitsmodul reserviert wird; vgl. [21, 34].

4. Die Auslegung der Ansprüche

4.1 Die Anschlüsse des Sicherheitsmoduls an den Prozessor, an die Festplatte und die Peripheriegeräte

4.1.1 Die abhängigen Ansprüche aller Anträge der Patentinhaberin sind sowohl auf das Sicherheitsmodul als gekapseltes, eigenständig operierendes System (vgl. Anspruch 2) gerichtet als auch auf die Implementierung von mehreren Funktionsbauteilen auf dem PC-Motherboard; vgl. Ansprüche 3 bis 5. Anspruch 1 wird deshalb so verstanden, dass er alle dieser Ausführungsformen abdeckt.

4.1.2 Der erteilte Anspruch 1 verlangt Anschlüsse zwischen dem programmierbaren Baustein einerseits und dem Prozessor, der Festplatte und den Peripheriegeräten andererseits.

4.1.3 Aus Absatz [27] geht hervor, dass der "Prozessor-Anschluss" des Moduls nicht direkt mit dem Prozessor verbunden sein muss, sondern dass der Anschluss mit dem Festplatten-Controller, und dieser mit dem Prozessor, verbunden sein kann.

4.2 Ein "korrigierender Eingriff" (Merkmal 3.4)

Die Beschreibung offenbart vier Beispiele von korrigierenden Eingriffen.

4.2.1 Im Absatz [13], Zeilen 7 bis 13, wird das Unterbinden eines Austausches fehlerhafter bzw. unerlaubter Daten als ein korrigierender Eingriff beschrieben.

4.2.2 Absätze [14] und [15] stellen fest: "Mittels Überprüfung von beim Datenverkehr zwischen einzelnen Komponenten ausgetauschten Daten des Personalcomputers, beispielsweise zwischen dem zentralen Prozessor, der Festplatte und den Peripheriegeräten, kann der programmierbare Logikbaustein somit jeden unerwünschten Zugriff auf die Daten auf Grund von Softwarefehlern, Bedienfehlern und / oder Computerviren unterbinden. Da der programmierbare Logikbaustein selbstinitialisierend ausgeführt ist, kann er auch bei einem Boot-Vorgang des Personalcomputers steuernd und kontrollierend eingreifen."

4.2.3 Absatz [40] offenbart (siehe auch [27]): "Wenn die Verarbeitungs- und Steuereinrichtung feststellt, dass eine der Anweisung entsprechende Handlung nicht zulässig ist, wenn also der Mikroprozessor 11 versucht, eine unerlaubte Handlung durchzuführen, beispielsweise auf einen ihm nicht zugänglichen Bereich der Festplatte 12 zuzugreifen, dann wird diese Anweisung nicht an die Festplatte 12 weitergeleitet. Stattdessen wird dem Mikroprozessor 11 über den Prozessor-Anschluss 3 eine Fehlermeldung übermittelt, welche mit einer Fehlermeldung der Festplatte 12 identisch ist. Auf diese Weise wird dem Mikroprozessor 11 vorgetäuscht, dass ein direkter Datenaustausch zwischen ihm und der Festplatte 12 stattgefunden hat. Die Fehlermeldung kann beispielsweise eine Nachricht sein, welche darüber informiert, dass der betreffende Bereich der Festplatte 12 nicht vorhanden sei."

4.2.4 Absatz [41] lautet: "Stellt die Verarbeitungs- und Steuereinrichtung des programmierbaren Logikbausteins 2 auf Grund der im Speicherbaustein 6 gespeicherten Daten fest, dass die Ausführung einer mit der Tastenkombination assoziierten Anweisung zu einer unerlaubten Handlung führt, so wird das Signal entweder gänzlich ignoriert und / oder ein entsprechender Warnhinweis wird über ein anderes Peripheriegerät, beispielsweise über einen Monitor, angezeigt."

4.2.5 In Anbetracht dieser Beispiele versteht die Kammer den Ausdruck "korrigierender Eingriff" so, dass er drei alternative Reaktionen auf die Erkennung einer Anweisung, die zu einer unerlaubten Handlung führen würde, abdeckt. Erstens kann die Anweisung bzw. der Datenaustausch nicht weitergegeben (d.h. unterbunden) werden. Zweitens kann eine Fehlermeldung an den Prozessor oder ein Peripheriegerät geschickt werden. Und drittens kann beides geschehen.

4.2.6 Angesichts dieser Auslegung stellt die Kammer fest, dass die Erkennung einer assoziierten Steuerungs­funktion und der folgenden Anpassung der Kontrolldaten (gemäß Merkmalen 5-5.2) weder als die Feststellung eines unerlaubten Datenaustauschs noch als ein korrigierender Eingriff gelten kann (vgl. Merkmal 3.4).

4.3 Die Anpassung der gespeicherten Kontrolldaten in Abhängigkeit von den eingehenden elektronischen Daten (Merkmale 5 bis 5.2)

4.3.1 Die Patentinhaberin hat in der mündlichen Verhandlung argumentiert, dass der Begriff "Kontrolldaten" enger auszulegen ist als die Daten betreffend, die in der Vergleichslogik mit elektronischen Daten verglichen werden, die zwischen Komponenten des PCs ausgetauscht werden; vgl. Merkmale 4 bis 4.2. Diese Auslegung der Patentinhaberin wird von der Kammer bei der nachfolgenden Beurteilung der erfinderischen Tätigkeit verwendet.

4.3.2 Die Patentbeschreibung erwähnt eine Anpassung der gespeicherten Kontrolldaten nur einmal, und zwar am Ende von Absatz [13]: "So kann beispielsweise ein bestimmter Tastendruck oder eine über die Netzwerkverbindung empfangene Datenfolge von der Vergleichseinrichtung erkannt wird [sic] und diese daraufhin eine vordefinierte Steuerungsfunktion auslösen, deren Ergebnis sich in einer Anpassung der Kontrolldaten manifestiert." Weder das Patent noch die Anmeldung offenbart die Art der Anpassung der gespeicherten Kontrolldaten. In den Merkmalen 5 bis 5.2 wird nur angegeben, dass eine Anpassung stattfindet. Die Kammer versteht das Merkmal so, dass die "eingehenden elektronischen Daten" von der Tastatur oder der Netzwerkkarte stammen können.

4.3.3 Merkmal 5 verlangt, dass "die" gespeicherten Kontrolldaten in Abhängigkeit von "den" eingehenden elektronischen Daten angepasst werden können. Die Kammer ist der Ansicht, dass es sich bei den mit bestimmten Artikeln versehenen Begriffen dennoch um generische Formen handelt, die sich nicht - oder nicht zwingend - auf die in Merkmalen 4.1 und 4.2 genannten eingehenden Daten und Kontrolldaten beziehen. Um festzustellen, dass eingehende Daten einer unerlaubten Anweisung entsprechen (vgl. Merkmale 3.4, 4.1 und 4.2, sowie [39]), müssen sie mit Kontrolldaten verglichen werden, die unerlaubte oder erlaubte Anweisungen kennzeichnen. Um festzustellen, ob für eingehende Daten ein Befehl hinterlegt ist, müssen sie mit Daten verglichen werden, die solche Befehle kennzeichnen (vgl. Merkmal 5, sowie [40]). Die Kontrolldaten, die durch einen Steuerbefehl angepasst werden (vgl. [12]), würde der Fachmann nach Ansicht der Kammer i.d.R. nicht als diejenigen verstehen, die ebendiesen Steuerbefehl kennzeichnen. Somit würde nach Ansicht der Kammer der Fachmann mit Blick auf die Beschreibung den Anspruchswortlaut so verstehen, dass "die Kontrolldaten" gemäß den Merkmalen 4.1 und 4.2 nicht dieselben sein müssen, die gemäß Merkmal 5.1 angepasst werden.

4.4 Merkmal 5.2 des Anspruchs 1 wie erteilt

4.4.1 Die Kammer hat im Anhang zur Ladung (Punkt 8.3.2) gemäß Artikel 123(2) EPÜ beanstandet, dass das Merkmal "Datenfolge von der Tastatur" eine nicht unmittelbar und eindeutig offenbarte Verallgemeinerung der offenbarten "Tastenkombination" darstellt; vgl. Seite 11 der Anmeldung, Zeilen 17 bis 19. Die Patentinhaberin ist dem schriftlich und mündlich entgegen getreten. Die Frage kann offen bleiben, da Anspruch 1 neben der Tastatur die Netzwerkkarte als Quelle der Datenfolge benennt.

5. Der wirksame Prioritätstag, Artikel 87(1) EPÜ 1973

5.1 Im Abschnitt 14.6 der Einscheidungsbegründung hat die Einspruchsabteilung festgestellt, dass die erste Prioritätsanmeldung (DE 10 2004 038 040.6) die Merkmalsgruppe 5 bis 5.2 des erteilten Anspruchs 1 nicht offenbart, so dass der wirksame Anmeldetag des Streitpatents der Anmeldetag der zweiten Prioritätsanmeldung ist, d.h. der 30. März 2005.

5.2 Die Kammer kommt zum gleichen Schluss. Die erste Prioritätsanmeldung offenbart weder das Merkmal 3.2 (Eingriff während des Bootvorgangs) noch die Merkmale 5 bis 5.2 (Anpassung der Kontrolldaten), die zweite Prioritätsanmeldung hingegen offenbart alle Merkmale des erteilten Anspruchs 1; vgl. Seite 3, Zeilen 6 bis 8 und 11 bis 29, Seite 4, Zeilen 7 bis 9, und den Absatz zwischen Seiten 5 und 6. Die Patentinhaberin hat die Auffassung der Kammer nicht beanstandet.

5.3 Damit gehört K7 zum Stand der Technik, Artikel 54(2) und 89 EPÜ 1973.

6. Dokument K7

6.1 K7, das keine Figuren enthält, betrifft ein FPGA ("Field Programmable Gate Array"), das auf einer Einsteckkarte für den PCI-Bus eines PCs ausgeführt sein kann; vgl. [25]. Die Karte kontrolliert insbesondere die Kommunikation zwischen dem Festplattenkontroller und der Festplatte des PCs (vgl. [33]) und ist mit RAM-Speicher ausgestattet, der ein Teil des PC-RAM-Speichers sein kann; vgl. [39]. Jedem Anschluss der Einsteckkarte ist eine Vergleichslogik zugeordnet, die die empfangenen Daten mit im RAM-Speicher hinterlegten Daten vergleicht; vgl. [31]. Benutzereingaben können vor Ort mithilfe von Tastatur und Maus oder mittels einer Modem/ISDN/LAN-Verbindung ferngesteuert erfolgen; vgl. [15], Zeilen 26 bis 31. In beiden Fällen werden die Benutzereingaben durch das FPGA geprüft. Das FPGA prüft mittels Filter, ob die Tastatureingabe einem Steuerbefehl entspricht. In diesem Fall wird die Benutzereingabe nicht an die PC-Software weiter geleitet, sondern stattdessen eine entsprechende Funktion ausgelöst, um beispielsweise "einen Schreibzugriff an eine bisher verbotene Stelle [zu] ermöglichen ..."; vgl. [36], Zeilen 10 bis 15.

6.2 Die Patentinhaberin hat argumentiert, dass die Merkmale 5 bis 5.2 des erteilten Anspruchs 1, die es erlaubten, die Wirkung des Logikbausteins im laufenden Betrieb zu ändern, nicht aus K7 bekannt seien. K7 offenbare nämlich keine Erkennung von Befehlen durch einen Vergleich mit Kontrolldaten bei der Netzwerkkarte, weil die Fernsteuerung des PCs durch den Systemadministrator (vgl. [16], Seite 4/7, Zeilen 15 bis 21) über eine eigene Netzwerkkarte unabhängig vom PC erfolge (vgl. [15], Zeilen 26 bis 31), so dass seine Eingaben nicht geprüft würden. K7 offenbare keine Vergleichseinrichtung für die Netzwerkkarte; vgl. Anspruch 2. Vielmehr warnte Absatz [24], Punkt 2, vor einem ungeregelten Zugriff von Programmcode auf die Netzwerk-Verbindung, was gegen eine Vergleichseinrichtung für die Netzwerkkarte spreche, und der letzte Satz von Absatz [40] warnte vor jeder Anpassung der Softwaresteuerung von außen, also insbesondere auch vor der Anpassung von Kontrolldaten. K7 offenbare nicht, wie das Ermöglichen eines Schreibzugriffs an eine bisher verbotene Stelle (vgl. Absatz [36]) zu implementieren sei. Es sei etwa möglich, dieses Ergebnis durch einen Wechsel zwischen "Schutzmodus" und "Adminmodus" zu implementieren, ohne dass dabei Kontrolldaten angepasst werden müssten.

6.3 Die Einsprechenden haben argumentiert, dass alle Merkmale des erteilten Anspruchs 1 mit Ausnahme der Anpassung von Kontrolldaten in den Merkmalen 5 und 5.1 aus K7, insbesondere Absatz [35], 5. Satz, bekannt seien. Das FPGA in K7 habe einen Netzwerkanschluss (vgl. [26]), und die Netzwerkkarte kontrolliere eingehende Daten aus dem Netzwerk; vgl. [15, 16]. Benutzerbefehle stammten entweder von der Maus und der Tastatur direkt am PC oder über die Netzwerkkarte von einem Fernarbeitenden, beispielsweise einem Systemadministrator als "Superuser"; vgl. [15], Zeilen 1 bis 9, und [16], Zeilen 5 bis 10 und 15 bis 21. K7 offenbare nicht, dass das Sicherheitsmodul des PCs die Angaben des Systemadministrators nicht prüfen würde, und es könne auch nicht davon ausgegangen werden, dass Systemadministratoren fehlerfrei arbeiteten. Im Gegenteil, Absatz [2], Zeilen 16 bis 19, räume ein, dass selbst "ein versierter Benutzer [...] nicht ohne Recherche (wenn überhaupt) herausfinden" würde, "welche Dateien von welchem Programm gebraucht werden." K7 rege in Zusammenhang mit einer Remoteverbindung auch an ([16], Zeilen 15 bis 21), dass der Administrator "Entscheidungen [trifft], die der Benutzer nicht treffen kann oder darf." Die Einsprechenden argumentierten, dass solche Entscheidungen u.a. Kontrolldaten betreffen würden. Absatz [40] fordere nicht, die Kontrolldaten in K7 nie zu ändern, sondern weise auf ein Risiko hin und lehre den Fachmann damit, - wie üblich - einen geeigneten Kompromiss ("Trade-Off") zwischen Sicherheit und Flexibilität zu finden. Außerdem offenbare K7 ausdrücklich Fälle, in denen Daten im PC geändert werden sollten; vgl. [12].

6.4 Das Argument der Patentinhaberin, dass der Netzwerkkarte in K7 keine Vergleichseinrichtung zugeordnet sei, konnte die Kammer nicht überzeugen, weil Absatz [31] offenbart, dass "[j]edem Anschluß [...] eine Vergleichslogik zugeordnet" ist, und weil sich dieser Absatz [31] nach Ansicht der Kammer nicht nur auf die Anschlüsse bezieht, die in Absätzen [29] und [30] genannt werden, sondern auch auf die in Absatz [26] genannten, also auch auf eine Netzwerkkarte (vgl. den über den Spaltenwechsel reichenden Text). Außerdem lässt K7 keinen Zweifel daran, dass es sich bei der erwähnten Netzwerkkarte um eine übliche PC-Netzwerkkarte handelt (vgl. Absatz [24], Punkt 1).

6.5 Nach alledem kommt die Kammer zum Schluss, dass die folgenden Merkmale des erteilten Anspruchs 1 aus K7 bekannt sind:

1. Sicherheitsmodul zum Steuern und Kontrollieren eines Datenverkehrs eines Personalcomputers (vgl. [25,26]),

2. mit mehreren Funktionsbauteilen, die jeweils mittels Hardware implementiert sind, die mehreren Funktionsbauteile umfassend:

2.1. einen programmierbaren Logikbaustein (FPGA [26]),

2.1.1 in dem mittels Programmierung

2.1.2 eine Verarbeitungs- und Steuereinrichtung zum Verarbeiten von elektronischen Daten, die zwischen Komponenten des Personalcomputers ausgetauscht werden, implementiert ist;

2.2 einen mit dem programmierbaren Logikbaustein verbundenen Prozessor-Anschluss zum Austauschen von elektronischen Daten mit mindestens einem zentralen Prozessor des Personalcomputers (vgl. [26]);

2.3. einen mit dem programmierbaren Logikbaustein verbundenen Festplatten-Anschluss zum Austauschen von elektronischen Daten mit einer Festplatte des Personalcomputers (vgl. [26]);

2.4. mit dem programmierbaren Logikbaustein verbundene Peripheriegeräte-Anschlüsse zum Austauschen von elektronischen Daten mit an den Personalcomputer gekoppelten Peripheriegeräten (LAN, Maus, Tastatur; vgl. [26]) zur Dateneingabe und / oder Datenausgabe; und

2.5. einen mit dem programmierbaren Logikbaustein verbundenen Speicherbaustein (Flash-Baustein; vgl. [32]), welcher Initialisierungsdaten für den Logikbaustein umfasst,

3. wobei der programmierbare Logikbaustein

3.1. selbstinitialisierend ausgeführt ist (vgl. [32]) und

3.2. auch bei einem Boot-Vorgang des Personalcomputers steuernd und kontrollierend eingreifen kann (vgl. [33]);

3.3. wobei der Logikbaustein den Datenverkehr des Personalcomputers steuert und kontrolliert,

3.4. wobei der programmierbare Logikbaustein so ausgebildet ist, dass er einen unerlaubten Austausch von Daten feststellen und gegebenenfalls korrigierend eingreifen kann (vgl. [35]);

4. wobei in dem programmierbaren Logikbaustein mittels der Programmierung eine von der Verarbeitungs- und Steuereinrichtung umfasste Vergleichseinrichtung implementiert ist (vgl. Vergleichslogik, [31]),

4.1. zum Vergleichen von elektronischen Daten, die zwischen Komponenten des Personalcomputers ausgetauscht werden,

4.2. mit vorgegebenen gespeicherten Kontrolldaten; vgl. [31].

6.6 Die Kammer kommt darüber hinaus zum Schluss, dass der Gegenstand des erteilten Anspruchs 1 sich von der Offenbarung des K7 nur dadurch unterscheidet, dass Kontrolldaten im Sinne des Patents angepasst werden. In Absatz [36], 5. Satz, heißt es: "Der in der Steuerung ausgelöste Befehl jedoch könnte z.B. einen Schreibzugriff an eine bisher verbotene Stelle ermöglichen ..." Die Kammer versteht diese Passage so, dass eine Tastatureingabe durch einen Filter mit einem Steuerbefehl assoziiert wird, was im Falle eines "remote" arbeitenden Benutzers (vgl. Absatz [15], Punkt 3, und [16]) die Erkennung einer empfangenen Datenfolge von der Netzwerkkarte durch die Vergleichseinrichtung nach den Merkmalen "5.1" und "5.2" impliziert. Der Befehl löst in K7 eine vordefinierte Steuerungsfunktion aus, die dazu führt, dass an eine bisher verbotene Stelle geschrieben werden kann.

6.7 Hinsichtlich der Merkmale, die gemäß Hilfsantrag V in Anspruch 1 aufgenommen worden sind, stellt die Kammer fest, dass K7 in Absatz [39] die Nutzung eines Teils des PC-RAM-Speichers durch das Sicherheitsmodul offenbart. K7 offenbart auch, dass Kontrolldaten im RAM abgelegt werden (Absatz [36], Satz 2), und zwar bei Initialisierung, da der programmierbare Logikbaustein (FPGA) im Anschluss einsatzbereit ist (vgl. Absatz [32]). Die aus K7 bekannte Hardwareanordnung weist auch einen nicht-flüchtigen Speicherbaustein auf; vgl. [32], Zeilen 1 bis 4, "Flash-Baustein". Das einzige Unterschiedsmerkmal gegenüber K7, das gemäß Hilfsantrag V hinzugefügt wird, ist folglich, dass der Teil des PC-RAM-Speichers bei der Selbstinitialisierung des programmierbaren Logikbausteins für das Sicherheitsmodul "reserviert" wird.

7. Erfinderische Tätigkeit, Artikel 100(a) und 56 EPÜ 1973

7.1 Hauptantrag

7.1.1 Die Kammer ist der Meinung, dass K7 wegen seiner großen Ähnlichkeit mit dem Patent den besten Ausgangspunkt bildet, um die erfinderische Tätigkeit in Bezug auf den Gegenstand der Ansprüche des Patents zu beurteilen.

7.1.2 Wie oben ausgeführt, unterscheidet sich der Gegenstand des Anspruchs 1 von der Offenbarung aus K7 nur dadurch, dass Kontrolldaten im Sinne des Patents angepasst werden.

7.1.3 Die Patentinhaberin hat vorgeschlagen, es als objektive technische Aufgabe ausgehend von K7 zu betrachten, "im laufendem Betrieb die Einflussmöglichkeiten auf das Sicherheitsmodul zu erweitern". Die Kammer stimmt zu, dass sich diese Aufgabe gestellt hätte. Insbesondere hätte der Fachmann in diesem Rahmen erkannt, dass es wünschenswert wäre, Kontrolldaten im Sicherheitsmodul zu ändern, da sich der Benutzerwille hinsichtlich der Frage, was erlaubt und was verboten ist, im Laufe der Zeit ändern kann. Er hätte auch erkannt, dass eine solche Änderung möglich wäre, da sich die Kontrolldaten im RAM befinden. Nach Ansicht der Kammer wäre es für den Fachmann naheliegend gewesen, einen vorhandenen Mechanismus (vgl. [36]) auch für die Anpassung von Kontrolldaten zu verwenden.

7.1.4 Es hätte sich dem Fachmann auch die Aufgabe gestellt, das konkrete Beispiel aus Absatz [36] zu implementieren. Nach Ansicht der Kammer wäre es für den Fachmann naheliegend gewesen, bei einem Schreibzugriff durch Vergleich mit einer Liste erlaubter oder verbotener "Stellen", also Speicheradressen, festzustellen, ob der Schreibzugriff erlaubt ist. Diese Liste würde dann "Kontrolldaten" im Sinne von Anspruch 1 enthalten. Es wäre weiter naheliegend gewesen, durch Änderung dieser Liste den Schreibzugriff auf eine bisher verbotene Stelle zu erlauben, also durch "Anpassung von Kontrolldaten".

7.1.5 Die Kammer sieht weder in Absatz [3] noch in Absatz [40] ein Verbot der Anpassung von Kontrolldaten. Insbesondere die Aussage in Absatz [40] wertet die Kammer mit den Einsprechenden nur als Warnhinweis, beim Ändern von Kontrolldaten durch Daten von "außen" die notwendige Vorsicht walten zu lassen.

7.1.6 Folglich ist der Gegenstand des Anspruchs 1 durch K7 alleine nahegelegt.

8. Die Hilfsanträge I bis IV

8.1 In der mündlichen Verhandlung blieben die Parteien bei ihrem schriftlichen Vortrag zu diesen Anträgen, den die Kammer in ihrem Ladungszusatz schon diskutiert hatte.

8.2 Gemäß Hilfsantrag I wird Merkmal 5.2 des erteilten Anspruchs 1 so eingeschränkt, dass die Datenfolge von der Netzwerkkarte des PCs empfangen wird. Folglich ist der Gegenstand des Anspruchs 1 aus den gleichen Gründen, die für den Hauptantrag gelten, durch K7 alleine nahegelegt.

8.3 Gemäß Hilfsantrag II wird, verglichen mit Hilfsantrag I, Merkmal 4.2 des Anspruchs 1 so eingeschränkt, dass "der programmierbare Logikbaustein (2) so ausgebildet ist, dass er einen unerlaubten Austausch von Daten feststellen und gegebenenfalls korrigierend eingreifen kann". Dieses Merkmal ist aus K7 bezüglich Festplattenzugriffen bekannt (vgl. [35]), so dass der Gegenstand des Anspruchs 1 aus den gleichen Gründen, die für den Hauptantrag gelten, durch K7 nahegelegt ist.

8.4 Gemäß Hilfsantrag III, verglichen mit Hilfsantrag I, und gemäß Hilfsantrag IV, verglichen mit Hilfsantrag II, wird in den Merkmalen 4.2, 5 und 5.1 einschränkend angegeben, dass die Kontrolldaten im Speicherbaustein (6) gespeichert sind. Dieses Merkmal ist ebenfalls aus K7 bekannt; vgl. Absatz [26]; "externer RAM-Speicher" und Absatz [31]. Folglich ist der Gegenstand des Anspruchs 1 der Hilfsanträge III und IV aus den gleichen Gründen, die für den Hauptantrag gelten, durch K7 nahegelegt.

8.5 Folglich sind die Änderungen gemäß den Hilfsanträgen I bis IV ungeeignet, um dem Gegenstand von Anspruch 1 eine erfinderische Tätigkeit zu verleihen.

9. Hilfsantrag V

9.1 Hilfsantrag V geht von Hilfsantrag III aus, wobei Anspruch 1 durch die folgenden zusätzlichen Merkmale am Ende eingeschränkt worden ist:

"und wobei der Speicherbaustein (6) zusätzlich zu einem nichtflüchtigen Speicherbaustein auch einen flüchtigen Speicherbaustein umfasst, in welchem der programmierbare Logikbaustein (2) während des Betriebs Daten zur späteren Benutzung ablegen kann, wobei für den flüchtigen Speicherbaustein ein Teil eines Speicherbausteins (14) des Personalcomputers (10) herangezogen wird, indem dieser Teil bei der Selbstinitialisierung des programmierbaren Logikbausteins (2) für das Sicherheitsmodul (1) reserviert wird."

9.2 Laut der Entscheidungsbegründung erfüllt das Patent mit den Änderungen gemäß Hilfsantrag V die Erfordernisse des EPÜ. Insbesondere wird in Punkt 14.7.4 festgehalten, dass K7 die zusätzlichen Merkmale nicht offenbart. Die Kammer ist der Auffassung, dass K7 nur das zusätzliche Merkmal (im Folgenden "das Unterschiedsmerkmal") nicht offenbart, dass der Teil des PC-RAM-Speichers bei der Selbstinitialisierung des programmierbaren Logikbausteins für das Sicherheitsmodul "reserviert" wird.

9.3 Das Unterschiedsmerkmal bezieht sich auf Absatz [34] des Patents, der den gleichen Wortlaut hat wie Seite 9, Zeilen 20 bis 28, der Anmeldung. Die Kammer teilt nicht die Ansicht der Einsprechenden (Punkt 79 der Beschwerdebegründung O2, O3), dass es zwingend der PC sein muss, der die Speicherreservierung vornimmt, selbst wenn das zum Prioritätstag üblich gewesen sein mag. Das Sicherheitsmodul könnte, wie bei der Reservierung von Festplattenbereichen durch das Sicherheitsmodul (vgl. Absatz [39]), auch dem PC mitteilen, dass es einen Speicherbereich für sich reserviert hat. Es könnte auch eine Verhandlung zwischen dem PC und dem Sicherheitsmodul geben. In jedem Fall allerdings muss die Speicherreservierung bis zum Ende der Selbstinitialisierung des Sicherheitsmoduls feststehen, denn andernfalls könnte nicht ausgeschlossen werden, dass die in der Initialisierungsphase ins PC-RAM gespeicherten Kontrolldaten vom PC überschrieben werden und damit das Sicherheitsmodul nicht mehr funktionsfähig wäre (im Widerspruch zu K7, [32]).

9.4 Es hat sich auch die Frage gestellt, wie das Unterschiedsmerkmal im Hinblick auf die verschiedenen Ausführungsformen im Patent auszulegen ist, insbesondere, ob eine PC-RAM-Speicherteilung im Falle der PCI-Steckkarte (vgl. [35]) oder des gekapselten Sicherheitsmoduls (vgl. [16]) möglich ist. Falls nicht, hätten sich daraus Einwände nach Artikel 84 EPÜ 1973 und 123(2) EPÜ ergeben können. Diese Frage kann angesichts des folgenden Ergebnisses betreffend die erfinderische Tätigkeit offen bleiben. Die Kammer bemerkt zudem, dass sich die gleiche Frage auch in K7 stellt. Auch in K7 wird nämlich die PC-RAM-Speicherteilung (vgl. [39]) im Zusammenhang mit Ausführungsformen auf dem Motherboard (vgl. [37]) in einer Einheit "gekapselt" (vgl. [24], Seite 5, Zeilen 11 bis 17) und auf einer PCI-Steckkarte (vgl. [25]) offenbart. Eine konsequente Auslegung würde somit das Patent und K7 in dieser Hinsicht gleichermaßen eng oder breit auslegen.

9.5 Die Patentinhaberin hat argumentiert, die beanspruchte "Reservierung" müsse angesichts Absatz [33] des Patents so interpretiert werden, dass der reservierte Speicherbereich exklusiv vom Sicherheitsmodul genutzt wird. Die Einsprechenden haben diese Auslegung nicht bestritten. Weiter hat die Patentinhaberin vorgetragen, dass K7, insbesondere in Absatz [39], keine solche Reservierung von RAM-Speicher zur exklusiven Benutzung offenbare.

9.6 Die Kammer stimmt zu, dass K7 dieses Merkmal nicht ausdrücklich offenbart. Allerdings offenbart K7, dass das Sicherheitsmodul für den PC transparent arbeiten soll (vgl. [24]). Nach Ansicht der Kammer hätte der Fachmann erkannt, dass jeweils exklusiver RAM-Speicher-Zugriff für den PC und das Sicherheitsmodul gewährleistet sein muss, bevor der PC bootet. Ansonsten wären, im Widerspruch zum Transparenzziel, Zugriffskonflikte zwischen dem PC und dem Sicherheitsmodul möglich. Es wäre daher wenigstens naheliegend, die beanspruchte Reservierung eines Teils des PC-RAM-Speichers bei der Selbstinitialisierung des programmierbaren Logikbausteins für das Sicherheitsmodul vorzunehmen.

9.7 Folglich ist der Gegenstand des Anspruchs 1 durch K7 nahegelegt.

9.8 Die Frage der Zulassung von K27 zum Beschwerdeverfahren stellt sich nach alledem nicht.