Wie die Post künstliche Intelligenz einsetzt

Im Herbst 2023 sorgten Sparpläne der Post für Schlagzeilen. Wie stark ist Ihr IT- und Digitalgeschäft davon betroffen?

Wolfgang Eger: Die IT der Post ist sehr gut aufgestellt. Nur so können wir unsere Dienstleistungen in allen Konzernbereichen in hoher Qualität und entsprechend den Kundenbedürfnissen umsetzen. Sei es für die Logistik, das Banking (Postfinance) oder für den sicheren Transport von digitalen Daten – das Rückgrat unseres Geschäfts ist unsere IT. Gerade vor dem Hintergrund der digitalen Entwicklung und künftigen Anforderungen an Technologie-Knowhow wäre es fatal, wenn wir aufhören würden, in unsere IT zu investieren. Aber natürlich müssen wir auch seitens IT unseren Effizienzbeitrag für die Post von morgen leisten. Dabei gilt es, dass wir die Balance halten können zwischen Effizienzen und Investitionen. Auch der Einsatz von neuen Technologien wie RPA, AI und LLM ermöglicht es uns, schneller und effizienter zu werden. Um das zu erreichen, sind aber auch Investitionen nötig.

Was genau hat die Post im Schweizer Software­geschäft vor?

Lassen Sie mich kurz einordnen: Über allem steht: Wir wollen eine hochstehende Grundversorgung für die ganze Schweiz erbringen. Mit selbst erwirtschafteten Mitteln. Dazu müssen wir Gewinne erwirtschaften. Und wir müssen uns den Bedürfnissen der Menschen und Unternehmen anpassen. Es geht nicht um die Zukäufe per se: Wir reagieren auf rasante Bedürfnisänderungen im Alltag unserer Kundinnen und Kunden. Die Post kauft nur dann Firmen, wenn es sinnvoll und notwendig ist – also sorgfältig ausgewählte Übernahmen in unseren Kerngeschäften Kommunikation und Logistik. Wir wachsen also gezielt und punktuell dort, wo wir einen Mehrwert für unsere Kunden sehen und dadurch die Relevanz der Post auch in der digitalen Welt festigen können. Im Bereich Kommunikationsservices sehen wir vor allem in drei Bereichen weiteren Bedarf für den Aufbau von weiterem Know-how im Softwaregeschäft: erstens in der Kommunikation, zweitens in der Cybersecurity und drittens im Behördenumfeld. Es geht um eine Modernisierung entlang der Bedürfnisse der Bevölkerung. Unsere Kundinnen und Kunden sollen selbst wählen können, ob sie ihre Post und Korrespondenz auf dem physischen oder digitalen Weg erledigen möchten. 

Anfang 2023 eröffnete die Post ihren IT-Standort in Portugal. Laut der letzten Medienmitteilung wurden dort weniger Leute rekrutiert als ursprünglich angestrebt. Wie sieht es aktuell aus?

Es sieht in Lissabon sehr gut aus – wir starteten im Februar und konnten inzwischen schon rund 47 IT-Fachleute an unserem Standort in Lissabon für uns gewinnen. Und zwar wirklich Fachleute, die wir in der Schweiz nicht so schnell gefunden hätten: hochspezialisierte Datenanalysten, Cybersecurity-Spezialisten wie auch Softwareentwickler. Wir sind also auf gutem Kurs. Und noch viel wichtiger ist es, dass all die Kollegen viel schneller in unsere Organisation in der Schweiz eingebunden wurden, als wir es uns erhofft haben – das heisst, man sieht, dass wir den richtigen Weg eingeschlagen haben und Lissabon für uns ein Erfolgsmodell ist, neben all den Aktivitäten, die wir in der Schweiz lanciert haben.

In einem «Blick»-Interview plädierte Post-Chef Roberto Cirillo dafür, den Grundversorgungsauftrag der Post um elektronische Kommunikationsdienstleistungen zu ergänzen. Warum sollte der Bundesrat gerade der Schweizerischen Post diesen Auftrag geben und nicht zum Beispiel einem Telko?

Die Post transportiert – sicher und vertraulich – schon seit 175 Jahren Informationen per Brief und Paket und ist damit das Fundament für den Service Public in der Schweiz. Und das will sie auch in Zukunft sein. Im Zusammenhang mit der Weiterentwicklung des Service Public machen wir uns darüber Gedanken, wie auch im digitalen Bereich der sichere und vertrauliche Transport von Informationen für alle sichergestellt werden kann. Hier kommt die E-Post oder anders gesagt der digitale Briefkasten ins Spiel: Damit verfügen die Bevölkerung und die Wirtschaft sowohl physisch als auch digital über einen sicheren Kommunika­tionskanal. Und sie sollen selbst entscheiden können, wie sie ihre Post erhalten wollen. 

Zweimal kam im Jahr 2023 das E-Voting-System der Post zum Einsatz. Wie blicken Sie darauf zurück?

Wir ziehen eine positive Bilanz aus den vergangenen beiden Urnengängen. Die Sicherheit der elektronisch abgegebenen Stimmen war zu jeder Zeit gewährleistet. An den Eidgenössischen Wahlen 2023 war erstmals überhaupt ein vollständig verifizierbares E-Voting-System im Einsatz. Das System ist auf die rechtlichen Grundlagen des Bundes ausgerichtet. E-Voting zeigte sich bei dieser Wahl vor allem bei den Auslandschweizerinnen und Auslandschweizern als bevorzugter Stimmkanal. Rund 60 Prozent jener, die gewählt haben, haben dafür den elektronischen Kanal genutzt. Die Post ist die einzige Anbieterin: Ohne Post gibt es derzeit keine Aussicht auf die elektronische Stimmabgabe!

Nach wie vor gibt es kritische Stimmen von verschiedenen Seiten zum Thema E-Voting und werfen Ihnen im Extremfall vor, die Demokratie zu gefährden. Was sagen Sie dazu?

Die Post will eine massgebliche Partnerin für den digitalen Service Public sein, darunter fällt auch das E-Voting. Wir entwickeln unsere E-Voting-Lösung seit 2020 in unserem Kryptografie-Zentrum in Neuenburg. Weil uns das Thema Sicherheit sehr wichtig ist, haben wir diesen Standort auch laufend gestärkt. So arbeiten heute rund 60 Cyber- und IT-Fachleute der Post an einem sicheren E-Voting und weiteren Dienstleistungen für den verschlüsselten Informationsaustausch wie Incamail. Stillstand gibt es in der Informatik nicht und daher überprüfen und entwickeln wir das System auch seit der Inbetriebnahme im Juni 2023 kontinuierlich weiter. Die Post legte 2021 alle wesentlichen Komponenten und Dokumente ihres Systems offen. Seither nehmen es Fachleute aus der ganzen Welt unter die Lupe und melden Verbesserungen. Auch in öffentlichen Intru­sionstests wird das System regelmässig von ethischen Hackerinnen und Hackern auf die Probe gestellt. Am Test im Sommer 2023 etwa haben 2650 Hacker teilgenommen, deren bestätigte Schwachstellen wir jeweils abhängig vom Schweregrad mit bis zu 250 000 Franken pro Befund ­belohnten. Beim E-Voting-System wurden bisher keine kritischen Schwachstellen gefunden. Zudem haben auch unabhängige Expertinnen und Experten im Auftrag des Bundes das System bereits wiederholt geprüft. Diese vielschichtigen Sicherheitsprüfungen stellen sicher, dass wir mögliche Schwachstellen im System rasch erkennen und beheben können.

Die Post ist dafür bekannt, mit neuen Technologien zu experimentieren. So kündigte Ihr Unternehmen zusammen mit Swisscom 2018 eine Blockchain-Plattform an. Was ist aus diesem Projekt geworden?

Ja, das ist korrekt, 2019 lancierten die Post und Swisscom mit der Swiss Trust Chain eine Blockchain-Infrastruktur, welche die Datenhaltung in der Schweiz ermöglicht und die hohen Sicherheitsanforderungen von Banken erfüllt. Der Markt im Enterprise-Blockchain-Umfeld ist jedoch stark im Wandel und viele Unternehmen setzen vermehrt auf Public Blockchains oder auch sogenannte Public Permissioned Blockchains (öffentliche Blockchain mit beschränktem Zugang). Dieser Trend hat dazu geführt, dass insbesondere die Nachfrage nach einer Private-Blockchain-Infrastruktur wie die Swiss Trust Chain, die höchste Sicherheitsanforderungen erfüllt, deutlich unter den Erwartungen blieb. Aus diesem Grund haben die Post und Swisscom gemeinsam entschieden, sich als Betreiberinnen der Swiss-Trust-Chain-Infrastruktur zurückzuziehen. Dies erfolgte Ende 2022.

Viele Unternehmen lancierten 2023 neue, auf künst­liche Intelligenz (KI) aufbauende Produkte. Von der Post hörte ich in den vergangenen Monaten nicht so viel aus dem KI-Bereich. Woran liegt das?

Natürlich hat die Post KI im Einsatz und nutzt sie sehr aktiv – aber stark ausgerichtet auf unsere eigenen Prozesse. Wir beschäftigen uns schon seit mehreren Jahren mit diesem Thema, denn gerade die Logistik ist ein Bereich, in dem sehr komplexe Zusammenhänge bestehen, die für KI oder ML sehr geeignet sind: zum Beispiel für unsere Simulationsprognosen für Paket- und Briefmengen, für Routenplanungen etc. Das, was wohl eher «nach aussen» erkennbar ist, sind dann etwa die Ansätze bei den Voice-Devices: Wir haben den Ball schon im Oktober 2021 aufgenommen, als noch Goldgräberstimmung beim Thema Voice herrschte. Mit dem Post-Skill für Alexa ist es möglich, die eigenen Sendungen von A bis Z zu verfolgen und zu überwachen. Auch die Dienstleistung pick@home kann via Post-Skill genutzt und gesteuert, oder die Öffnungszeiten der nächsten Postfiliale, die Leerungszeiten der Briefweinwürfe und die Standorte der Postomaten eingesehen werden. Und bei den Large Language Models haben wir gerade im November 2023 eine neue Dienstleistung im Sinne eines MVP (Minimal Value Product) lanciert: Mit «Text-Ersteller mit KI» lancierte die Post als bisher einzige Postorganisation eine Anwendung, die sich die Technologie von OpenAI in dieser Art und Weise zunutze macht. Nur wenige Klicks sind nötig, damit Privat- und Geschäftskunden einen auf ihre Bedürfnisse abgestimmten Textvorschlag erhalten. Falls gewünscht, übernimmt der Service auch den Druck und den Versand des Texterzeugnisses. Auch hier läuft also einiges. Für unsere Leistung zur Schaffung von Mehrwert durch den Einsatz von KI haben wir in diesem Jahr von C-Level auch den «Corporate AI Award» erhalten.

Sprechen wir noch über das wichtige Thema Cyber­security. 2022 kam es zu mehreren Ransomware-Angriffen auf bekannte Schweizer ­Unternehmen. Auch Bundesbehörden waren davon betroffen. Was passiert, wenn die Post einem solchen Angriff zum Opfer fällt?

Vertrauen ist das Tor zur digitalen Welt. Cybersecurity hat daher bei der Post einen besonderen Stellenwert: Unsere Sicherheitsmaturität liegt auf ausgezeichnetem Niveau. Aber auch die Post ist immer mal wieder solchen Angriffen ausgesetzt. Damit wir uns dagegen möglichst gut schützen können, haben wir intern über 80 Cybersicherheitsexperten und Teams, die wir noch mit den Kollegen von Hacknowledge und Terreactive erweitert haben, die rund um die Uhr die Lage monitoren und für die Abwehr von möglichen Angriffen entsprechend ausgebildet sind. Wir sind hier sehr gut aufgestellt und haben Prozesse definiert, wie wir mit unterschiedlichen Angriffen umgehen. Zudem sind die Teams eng eingebettet in ein Schweizer Netzwerk von Sicherheitsexperten, unter anderem auch das NCSC. Unsere Fachleute unternehmen alles, um Cyberangriffe abzuwehren, um Systeme und Daten zu schützen. Sollte es dennoch zu einem erfolgreichen Angriff kommen, informiert die Post umgehend darüber. Diese Transparenz ist essenziell, um Vertrauen in digitale Dienste aufrechterhalten zu können.

Seit einigen Jahren führt die Post Bug-Bounty-Programme durch. Wie viel Ihrer digitalen Dienste lassen Sie aktuell auf diese Weise durchleuchten?

Jede Menge. Seit 2019 haben wir 16 unterschiedliche Programme durchgeführt, wobei aktuell 7 noch aktiv sind – einzusehen auf Swiss Post Bug Bounty Program – Yeswehack). Insgesamt haben wir durch das Bug-Bounty-Programm bisher über 1800 Schwachstellenmeldungen erhalten mit lediglich einer Handvoll kritischer Schwachstellen, deren Schliessung wir auch sofort angegangen sind. Und wie bereits erwähnt, lassen wir auch unser E-Voting-System regelmässig durch ethische Hacker prüfen. Darüber hinaus haben wir auch noch alle Webservices der Post im Juni 2022 an der Hacking-Konferenz «leHACK» in Paris während 24 Stunden einem Stresstest unterzogen: Dabei versuchten 100 ethische Hacker aus aller Welt, die Services zu knacken beziehungsweise die Internetdienste der Post zu hacken. Ohne Erfolg. Auch damit wollen wir sicherstellen, dass unsere Services so sicher wie möglich sind und auch laufend entsprechend weiterentwickelt werden.