Alleinstellungsmerkmal: unidirektionale Aufrufe

Besonders macht das Patent vor allem eine Funktion: Der sehr breit gefasste Hauptanspruch bezieht sich zunächst auf ein "Verfahren zur Präsentation von Daten", die in einem Speicher eines Servers gespeichert sind, für Nutzer, die über ein Netzwerk darauf zugreifen. Das hört sich zunächst nach der um die Jahrtausendwende längst verbreiteten Client-Server-Architektur an. Die Besonderheit ist nun aber, dass zumindest ein zusätzlicher Datenpfad für Kontrolldaten verwendet wird, der "unidirektional ist", also nur in eine Richtung weist.

Als Beispiel für ein solches Netzwerk nennt die Beschreibung das Internet beziehungsweise das World Wide Web. Das darin herkömmliche Verfahren der Verknüpfung von Inhalten über Links birgt Zoe Life zufolge aber "erhebliche Sicherheitsrisiken".

Böswillige Nutzer seien damit imstande, die Struktur der Datenbank anhand der Hierarchie der Seiten zu analysieren. Mit Hilfe der so erlangten Information und unter Ausnutzung des Zugangs zur Anwendung könnten sie das System zurückverfolgen, um sich Zugang zur Datenbank zu verschaffen und sensible Daten zu sehen oder zu manipulieren. Damit sei es möglich, einen Server oder eine Website zu "kapern" und deren Inhalt und Darstellung gegen den Willen des Betreibers zu ändern. Das ist tatsächlich ein übliches Angriffsszenario.

Um die Datenbereitstellung sicherer zu gestalten, wird in der Lösung der unidirektionale Pfad für Kontrollinformationen wie eine spezielle Zugangskennung eingesetzt. Er dient laut der Patentverwertungsfirma dazu, "das Zurückverfolgen des Systems zu verhindern". Die dafür genutzten Daten könnten nur in eine Richtung übermittelt werden.

Dies werde etwa dadurch gewährleistet, dass ein Eingabemodul die Daten von einem Kommunikationsmodul entgegennehme, auf die Einhaltung eines vorgegebenen Formats überprüfe und nur bestimmte Anfragen an das Haupt- und Datenauswahlmodul weiterleite.

"Absolute Datensicherheit"

Als Beispiel für eine solche, "absolute Datensicherheit" garantierende Anwendung wird eine Serveranfrage genannt, die bei einer Anfrage eine Nachricht an eine Sicherheitsschnittstelle sendet. Von dort geht es weiter an ein Haltemodul und parallel an ein Vermittlungsmodul. Letzteres erzeugt eine interne Anfrage, leitet sie an eine Einheit mit einem besonderen Betriebssystem (BOS) weiter und stellt die angeforderten Daten im Falle einer berechtigten Anfrage zusammen.

• 

Beispiel des "unidirektionalen" Datenflusses (Bild: Europäisches Patentamt, EP1126674B1)

Die interne Antwort des BOS geht laut der juristisch ausgefeilten Beschreibung zu einem Seitenerstellungsmodul, das eine externe Antwort erstellt und an die Sicherheitsschnittstelle sowie letztlich an die Nutzer zurückgibt. Dadurch werde eine Einbahn-Schleife geschaffen, die keine Option zum Zurückverfolgen eröffne, heißt es. Statt also direkt mit einer Anfrage auf die Daten zuzugreifen, werden diese nach einer Überprüfung auf einer dynamischen Webseite dargestellt und dann erst auf die Anfrage zurückgegeben. Auch das ist inzwischen ein übliches Vorgehen, wird aber eben von dem nun als gültig anerkannten Patent beschrieben.

Ein weiterer Anspruch bezieht sich auf ein "Computerprogrammprodukt", das eine Software zur Durchführung des beschriebenen Verfahrens umfasst. Einbezogen wird ferner ein Datenserver für den gleichen Zweck. Insgesamt erhebt das umfangreiche und für juristische Laien nur schwer verständliche Patent 31 Ansprüche.

Um die Neuheit dieses Verfahrens und der zugehörigen Vorrichtung zu widerlegen, verwies Microsoft etwa auf eine Darstellung des Client-Server-Prinzips in dem 1997 veröffentlichten Buch Internet Intern, zwei frühere US-Patente unter anderem für einen sicheren Datentransfer sowie auf ein koreanisches Patent für ein Onlinebankingsystem.

Der BGH ließ all diese Beispiele zum Stand der Technik aber nicht gelten, da dadurch der unidirektionale Datenpfad nicht vorweggenommen beziehungsweise ein Fluss in die Gegenrichtung nicht ausgeschlossen werde.