| European Case Law Identifier: | ECLI:EP:BA:2025:T190823.20250917 | ||||||||
|---|---|---|---|---|---|---|---|---|---|
| Datum der Entscheidung: | 17 September 2025 | ||||||||
| Aktenzeichen: | T 1908/23 | ||||||||
| Anmeldenummer: | 19832603.5 | ||||||||
| IPC-Klasse: | H04L 29/06 G06Q 10/10 |
||||||||
| Verfahrenssprache: | DE | ||||||||
| Verteilung: | D | ||||||||
| Download und weitere Informationen: |
|
||||||||
| Bezeichnung der Anmeldung: | Verfahren zur automatisierten Erstellung eines an eine vorgegebene Person gerichteten Phishing-Dokuments | ||||||||
| Name des Anmelders: | IT-Seal GmbH | ||||||||
| Name des Einsprechenden: | Dr. Schön, Neymeyr & Partner Patentanwälte mbB | ||||||||
| Kammer: | 3.5.05 | ||||||||
| Leitsatz: | - | ||||||||
| Relevante Rechtsnormen: |
|
||||||||
| Schlagwörter: | Erfinderische Tätigkeit - (nein): naheliegende technische Implementierung einer Phishing-Schulungsstrategie | ||||||||
| Orientierungssatz: |
- |
||||||||
| Angeführte Entscheidungen: |
|
||||||||
| Anführungen in anderen Entscheidungen: |
|
||||||||
Sachverhalt und Anträge
I. Gegen die Entscheidung der Einspruchsabteilung, mit der das Patent aufgrund mangelnder erfinderischer Tätigkeit (Artikel 56 EPÜ) widerrufen wurde, legte die Patentinhaberin (Beschwerdeführerin) Beschwerde ein.
II. Im Einspruchsverfahren wurde auf die folgende Druckschrift Bezug genommen:
D1: US 2015/0288717 Al.
III. Eine mündliche Verhandlung vor der Kammer fand am 17. September 2025 statt.
- Die Beschwerdeführerin beantragte, die angefochtene Entscheidung aufzuheben und den Einspruch zurückzuweisen.
- Die Beschwerdegegnerin (Einsprechende) beantragte, die Beschwerde zurückzuweisen.
Am Ende der Verhandlung verkündete der Vorsitzende die Entscheidung der Kammer.
IV. Der erteilte Anspruch 1 lautet wie folgt:
"Verfahren zur automatisierten Erstellung eines an eine vorgegebene Person gerichteten Phishing-Dokuments (5), wobei personenbezogene Daten der Person in einer Personendatenbank (4) gespeichert sind, wobei anonyme und kategorisierbare Personeneigenschaften (2) einer beliebigen Personenanzahl in einer hierarchisch organisierten Eigenschaftsdatenbank (1) hinterlegt sind, wobei jeder Personeneigenschaft (2) ein Relevanzwert (3) zugeordnet ist, wobei mindestens eine in den personenbezogenen Daten enthaltene Eigenschaft der Person eine Entsprechung in der Eigenschaftsdaten-bank (1) hat,
wobei diese Entsprechung jeweils eine Entsprechungs-eigenschaft bildet,
wobei in einem Überprüfungsschritt (6) durch einen automatisierten Abgleich der Entsprechungseigenschaften und der in der Eigenschaftsdatenbank gespeicherten Personeneigenschaften (2) überprüft wird, ob eine der Entsprechungseigenschaften einer phishing-dokument-spezifischen Vorgabepersoneneigenschaft hierarchisch nachgeordnet ist, wobei diese nachgeordnete Entsprechungseigenschaft eine Erstellungseigenschaft bildet,
wobei das Phishing-Dokument (5) in einem nachfolgenden Erstellungsschritt (7) auf Grundlage der Erstellungs-eigenschaft erstellt wird, wenn diese Anforderung erfüllt ist,
wobei in dem Erstellungsschritt überprüft wird, ob der Relevanzwert (3) der Erstellungseigenschaft einem vorgegebenen Sollrelevanzwert entspricht, wobei die Erstellungseigenschaft als Vorbereitungseigenschaft ausgewählt wird und zur Vorbereitung des
Phishing-Dokuments (5) verwendet wird, wenn der zugeordnete Relevanzwert (3) dem Sollrelevanzwert entspricht,
wobei eine hierarchisch über der Erstellungseigenschaft angeordnete Personeneigenschaft (2), deren Relevanzwert (3) dem Sollrelevanzwert entspricht, als Vorbereitungseigenschaft ausgewählt wird und zur Vorbereitung des Phishing-Dokuments (5) verwendet wird, wenn der der Erstellungseigenschaft zugeordnete Relevanzwert (3) dem Sollrelevanzwert nicht entspricht und wobei nach der Bestimmung der Vorbereitungs-eigenschaft das Phishing-Dokument (5) auf Grundlage eines vorgegebenen Vorlagedokuments unter Verwendung der Vorbereitungseigenschaft erstellt wird."
Entscheidungsgründe
1. PATENT WIE ERTEILT
Der erteilte Anspruch 1 beinhaltet die folgenden einschränkenden Merkmale:
M1 Verfahren zur automatisierten Erstellung eines an eine vorgegebene Person gerichteten
Phishing-Dokuments,
M2 wobei personenbezogene Daten der Person in einer Personendatenbank gespeichert sind,
M3 wobei anonyme und kategorisierbare Personen-eigenschaften einer beliebigen Personenanzahl in einer hierarchisch organisierten Eigenschaftsdatenbank hinterlegt sind,
M4 wobei jeder Personeneigenschaft ein Relevanzwert zugeordnet ist,
M5 wobei mindestens eine in den personenbezogenen Daten enthaltene Eigenschaft der Person eine Entsprechung in der Eigenschaftsdatenbank hat,
M6 wobei diese Entsprechung jeweils eine Entsprechungseigenschaft bildet,
M7 wobei in einem Überprüfungsschritt durch einen automatisierten Abgleich der Entsprechungseigen-schaften und der in der Eigenschaftsdatenbank gespeicherten Personeneigenschaften überprüft wird, ob eine der Entsprechungseigenschaften einer phishing-dokumentspezifischen Vorgabe-personeneigenschaft hierarchisch nachgeordnet ist,
M8 wobei diese nachgeordnete Entsprechungseigen-schaft eine Erstellungseigenschaft bildet,
M9 wobei das Phishing-Dokument in einem nachfolgenden Erstellungsschritt auf Grundlage der Erstellungseigenschaft erstellt wird, wenn diese Anforderung erfüllt ist,
M10 wobei in dem Erstellungsschritt überprüft wird, ob der Relevanzwert der Erstellungseigenschaft einem vorgegebenen Sollrelevanzwert entspricht,
M11 wobei die Erstellungseigenschaft als Vorbereitungseigenschaft ausgewählt wird und zur Vorbereitung des Phishing-Dokuments verwendet wird, wenn der zugeordnete Relevanzwert dem Sollrelevanzwert entspricht,
M12 wobei eine hierarchisch über der Erstellungs-eigenschaft angeordnete Personeneigenschaft, deren Relevanzwert dem Sollrelevanzwert entspricht, als Vorbereitungseigenschaft ausgewählt wird und zur Vorbereitung des Phishing-Dokuments verwendet wird, wenn der der Erstellungseigenschaft zugeordnete Relevanzwert dem Sollrelevanzwert nicht entspricht
M13 wobei nach der Bestimmung der Vorbereitungs-eigenschaft das Phishing-Dokument auf Grundlage eines vorgegebenen Vorlagedokuments unter Verwendung der Vorbereitungseigenschaft erstellt wird.
1.1 Anspruch 1 - erfinderische Tätigkeit (Artikel 56 EPÜ)
1.1.1 Dokument D1 offenbart ein Verfahren zur automatisierten Erstellung eines an eine vorgegebene Person gerichteten
Phishing-Dokuments (vgl. z. B. Absatz [0011]), wie von Merkmal M1 vorgegeben.
1.1.2 Strittig ist zwischen den Parteien, ob das Merkmal M2 tatsächlich ein Unterscheidungsmerkmal darstellt und ob - wie von der Beschwerdegegnerin ausgeführt und durch die Einspruchsabteilung bestätigt - die Merkmale M3 bis M13 lediglich eine Veränderung der dem System von D1 zugrunde liegenden "Geschäftsmethode" darstellen.
1.1.3 Hierzu bringt die Beschwerdeführerin vor, dass Merkmal M2 nicht isoliert von Merkmal M3 betrachtet werden dürfe, da die Verwendung zweier Datenbanken erfindungsgemäß vorgesehen sei. Die Verwendung einer hierarchischen Organisation bei der beanspruchten "Eigenschaftsdatenbank" folge also technischen Überlegungen, nämlich zum Zwecke einer "einfachen und effizienten Bestimmung der Erstellungseigenschaften". Um aber ein personalisiertes "Phishing-Dokument" erstellen zu können, müssten auch personenbezogene Daten vorliegen (z. B. "Name: Anna Müller", "berufliche Zugehörigkeit: TU Darmstadt", "Freizeitaktivität: Marathon"), die sich nicht hierarchisch organisieren lassen. Hierfür sei wiederum die sog. "Personen-datenbank" vorgesehen. Die Verwendung zweier Datenbanken unterschiedlicher Struktur sei also primär das Ergebnis von technischen Überlegungen darüber, wie das entsprechende Dokumenterstellungsverfahren besonders effizient automatisiert durchgeführt werden könne, da die den Personen zuordenbaren Eigenschaften aus nicht-technischen Überlegungen heraus ohne weiteres auch in der "Personendatenbank" gespeichert werden könnten. Aus allein nicht-technischen Überlegungen heraus ergäbe sich jedoch kein Vorteil bei der Verwendung zweier Datenbanken - vielmehr lediglich ein Mehraufwand. Aus Sicht der Beschwerdeführerin werde demnach mit der beanspruchten Aufteilung der Datenbanken und mit der Benutzung einer baumartig hierarchisch organisierten Eigenschaftsdatenbank (z. B. "berufliche Zugehörigkeit - Universität - TU Darmstadt", "Freizeitaktivität - Laufsport - Marathon") - anders als in D1 - immer eine Lösung für die Anpassung des vorgegebenen Vorlagedokuments gefunden - und dies auch ohne einen hochrelevanten Treffer für eine "Erstellungseigenschaft" des Vorlagedokuments (z. B. "TU Darmstadt"). Dieser Effekt ergebe sich nämlich daraus, dass für den Fall, dass der der Erstellungseigenschaft zugeordnete "Relevanzwert" dem "Sollrelevanzwert" nicht entspreche, eine relevante, hierarchisch über der "Erstellungseigenschaft" angeordnete Personeneigenschaft ausgewählt werde. Beispielsweise werde "Die Universität lädt zur Konferenz" anstelle von "Die TU Darmstadt lädt zur Konferenz" benutzt, falls die vorgegebene Person nicht zur TU Darmstadt gehören sollte.
1.1.4 Die Beschwerdegegnerin entgegnet hierzu, dass in Anspruch 1 weder das Erfassen, die Verarbeitung, das Formatieren der personenbezogenen Daten bzw. deren Aufteilung in einzelne Eigenschaften noch die Erstellung der "Eigenschaftsdatenbank" oder das Einpflegen der Daten und ihre Eigenschaften beansprucht werde. Auch Merkmal M3 fordere lediglich das Vorliegen einer "hierarchisch organisierten Eigenschafts-datenbank" mit Personeneigenschaften. Das reine Vorsehen einer "Eigenschaftsdatenbank" sei indes mit keinerlei technischer Wirkung verbunden, da Anspruch 1 nicht vorgebe, welche Auswirkung eine solche Hierarchie auf die Verfahrensschritte haben soll. Nicht einmal die von der Beschwerdeführerin genannte "baumartige Einordnung" sei dem Anspruch zu entnehmen.
1.1.5 Nach Ansicht der Kammer offenbart Dokument D1 in Absatz [0070], dass das Internet eine einfache Möglichkeit bietet, Informationen über die Zielpersonen zu sammeln und dass die Erfassung der Daten automatisiert werden kann. Eine "Personendatenbank" ist in diesem Zusammenhang jedoch weder erwähnt noch unbedingt notwendig. Unter Berücksichtigung der von der Beschwerdeführerin angenommenen Unterscheidungs-merkmale M2 bis M13, d. h. selbst wenn auch Merkmal M2 ein weiteres Unterscheidungsmerkmal darstellen sollte, stellt sich die Frage, ob der Gegenstand von Anspruch 1 auf einer erfinderischen Tätigkeit beruht.
1.1.6 Die Kammer teilt hierbei die von der Einsprechenden dargelegte Auffassung, wonach Anspruch 1 des Streitpatents ein Verfahren zur Erstellung eines Phishing-Dokuments beansprucht, dessen Schritte einer vorgegebenen "Geschäftsmethode" folgen, die z. B. Schulungen des Firmenpersonals umfassen kann (vgl. Absatz [0004] des Streitpatents). Diese "Geschäftsmethode" befasst sich hierbei mit der Auswahl des kognitiven, d. h. nicht-technischen, Inhalts für die Erstellung eines an die Person des Empfängers gerichteten Dokuments unter Berücksichtigung von "Relevanzwerten" von hierarchisch organisierten Personeneigenschaften. Ziel der "Geschäftsmethode" soll es dann sein - obwohl nicht beansprucht -, dass diese Person mittels des erstellten Dokuments auf psychologischer Ebene getäuscht wird, um dadurch das Personal gegenüber realen Phishing-Attacken zu sensibilisieren und zu schulen. Für den Erfolg dieser Geschäftsmethode ist es demnach entscheidend, welche Bedeutung ein Mensch als Adressat des erstellten Phishing-Dokuments diesem Inhalt, d. h. dieser kognitiven Information, tatsächlich zuordnet. Beispielsweise geht es in diesem Zusammenhang darum, inwiefern "Jörg Schmidt" aus der "TU München" einen empfangenen Text mit dem Begriff "Universität" als vertrauenswürdiger wahrnimmt als einen Text mit dem Begriff "TU Darmstadt". Somit wird hier in der Tat ein nicht-technisches Ziel verfolgt.
Im Gegensatz zur Ansicht der Beschwerdeführerin kann hingegen die bloße Verwendung von abstrakten, technisch nicht näher definierten Einheiten wie einer "Personen-datenbank", einer sog. "hierarchisch organisierten Eigenschaftsdatenbank" oder Parametern wie "Relevanzwerte" oder sog. "Entsprechungs-, Erstellungs- bzw. Vorbereitungs-eigenschaften" nicht glaubhaft zu einer "einfachen und effizienten" Bestimmung der erforderlichen Daten, geschweige denn zur Erstellung von "hochqualitativen" Phishing-Dokumenten, basierend auf deren kognitivem Inhalt, führen. Folglich besteht die hier zu lösende objektive technische Aufgabe lediglich darin, das Verfahren von D1 so anzupassen, dass die oben definierte "Geschäftsmethode", die eine zu erfüllende nicht-technische Vorgabe im Sinne des etablierten COMVIK-Ansatzes (vgl. T 641/00, Leitsatz II) darstellt, in einer technisch effizienten Weise implementiert wird.
1.1.7 Ausgehend von dieser objektiven Aufgabe wäre es aber für die Fachperson auf dem Gebiet der digitalen Sicherheitstechnik eine reine Routinemaßnahme, das Verfahren so zu modifizieren, dass es irgendwelche nicht näher definierten "Entsprechungseigenschaften", welche zusammen mit zugeordneten, nicht näher spezifizierten "Relevanzwerten" in einer (separaten hierarchischen) "Eigenschaftsdatenbank" gespeichert sind, irgendwie nutzt. Am Rande sei erwähnt, dass hierarchische Datenbanken als solche bereits zum relevanten Zeitpunkt zum allgemeinen Fachwissen gehörten, was die Beschwerdeführerin auch nicht bestritten hat. Gleiches gilt auch für die Überprüfung, ob ein (wie auch immer berechneter) "Relevanzwert" einem (nach welchen Kriterien auch immer) vorgegebenen "Sollwert" entspricht, um dann entweder die "Entsprechungseigenschaft" oder eine andere nicht weiter spezifizierte "Personeneigenschaft" bei der Erstellung des simulativen Phishing-Dokuments zu nutzen. Darüber hinaus hätte die Fachperson bei Berücksichtigung der von der Beschwerdeführerin in der mündlichen Verhandlung vor der Kammer angeführten Aufgabenstellung, d. h. zu gewährleisten, dass zumindest eine Personeneigenschaft für die Erstellung des Vorlagedokuments genutzt werden kann (vgl. Punkt 1.1.3 oben), umso mehr Veranlassung gehabt, zur beanspruchten Lösung zu gelangen.
1.2 Somit steht der Einspruchsgrund nach Artikel 100 a) EPÜ in Verbindung mit Artikel 56 EPÜ der Aufrechterhaltung des Streitpatents entgegen.
2. Die Beschwerde ist folglich zurückzuweisen.
Entscheidungsformel
Aus diesen Gründen wird entschieden:
Die Beschwerde wird zurückgewiesen.
