Man muss das mal so sehen. Natürlich sind regelmäßige Sicherheitsupdates wichtig. Aber dann müssen da auch Sicherheitsprobleme gefixt werden. Die Hersteller selbst sind da beim finden von Sicherheitsbugs immer etwas betriebsblind. Die machen ihre Zertifizierungstests und haken das dann als Compliance-Theater ab. Bestenfalls werden Fixes der verwendeten OpenSource-Komponenten eingebaut, wenn diese bekannt werden.
Wo kommen nun also die vielen Sicherheitsfixes bei z.B. Smartphones her? Überwiegend von Sicherheitsforschern und White-Hat Hackern. Da gibt es dann diese CVE Nummern, über die das öffentlich gemeldet wird, nachdem es gefixt wurde.
Für PkWs gibt es das bislang praktisch nicht. Warum? Weil die Autos nur über Mobilfunk kommunizieren und eine eigene LTE-Funkzelle aufzubauen und zu betreiben sehr teuer ist. Das hat kaum einer und daher kann man in der Praxis kaum unabhängig an der Sicherheit forschen. Das führt dann dazu, dass von den sicherlich vorhandenen Sicherheitsproblemen kaum welche gefunden werden. Die erschwerte Analyse wird von den Herstellern aber ernsthaft sogar noch als Obscurity-Sicherheitsfeature verkauft.
Allerdings investieren böse Hacker ausreichend Geld, wenn es auch genug zu holen gibt. Dieser Welpenschutz ist bald vorbei, wenn eine kritische Masse an Fahrzeugen auf der Straße unterwegs sind und sich hacken lohnt. Da man das durchaus erwartet, kam ja diese neue Cyber-Richtlinie auf in Verbindung mit gewissen Standards, die alle Autos ab 2024 erfüllen müssen. Die Hälfte davon ist wieder Compliance-Theater, aber wenigstens wird damit erzwungen, dass jeder Hersteller binnen weniger Wochen, notfalls Tagen, einen Fix bereitstellen kann. OTA-(Sicherheits-)Updates werden damit faktisch verpflichtend.
Letztlich ist der Stand der sogenannten Cyber-Sicherheit bei PKWs echt schlecht und es wird sich zeigen, ob es effektive Sicherheitsforschung geben wird, bevor es zu den ersten Ransomware-Vorfällen kommt ("Zahlen Sie 0,1 Bitcoin um losfahren zu können"). Dazu müssten die Hersteller offener damit umgehen und auch ermöglichen optional per WLAN mit dem Auto zu kommunizieren. Bug-Bounty-Programme wären auch hilfreich, mehr OpenSource erst recht (spässle). Einfach alles, was die Anbieter von Handybetriebssystemen auch machen.
Ich jedenfalls verzichte auf die lausige App und der Wagen ist nur bei Bedarf online (wenn wir die Ladeplanung auf Langstrecke brauchen). Im Alltag ist er zu 95% offline und das ist auch gut so.