"==> Dass die keine Lösung haben, kann ich mir nicht vorstellen. Das ist doch innerhalb der IT ein ziemlich triviales Problem."
Es ist auch innerhalb der IT ein Problem, wenn das Konzept schlecht ist. Siehe Android vs. iOS, siehe macOS vs. Windows. 100% Sicherheit wird es nie geben, aber wenn das Konzept schlecht ist, dann bewegt man sich bei 50% Sicherheit, und wenn das Konzept gut ist, bewegt man sich bei 99% Sicherheit.
Hängt nur davon ab, welchen Stellenwert der Hersteller dem Aspekt Sicherheit beimisst.
Was die Autobauer mit den Schlüsseln als Problem haben ist eine Mischung aus Man-in-the-middle und Sniffern. Man steht um die Ecke und sammelt einfach den Code - und da der schlecht gesichert ist, muss man den später nur wieder abspielen, und die Tür geht auf (vereinfacht ausgedrückt).
Es ist meistens das Konzept das krankt, nicht die eigentliche Software.
Sie könnten natürlich eine komplexe Verschlüsselung einführen - aber wenn das Signal dennoch einfach mitgeschnitten und als Kopie abgespielt wird, läuft das ins Leere. Sieht in der Broschüre gut aus (256-Bit-verschlüsselt!), aber Copy and Paste, und das war's.
Es muss also eine 'Hardware' Instanz her, die das prüft und freigibt. Und die haben sie anscheinend nicht. Nicht, wenn sie nicht das System komplett ersetzen wollen - und das kostet. Und dann müssten sie alle Systeme zurückrufen, weil das System nicht funktioniert.
Also lieber Kopf in den Sand und die Versicherungen bezahlen lassen. So kauft der Kunde eben ein neues Auto. Who cares.
(Stichworte Zwei-Faktor-Authentifizierung, Token System, getrennte Übertragungswege. Wenn z.B. ein Auto an ein Smartphone gekoppelt wäre, was ja jeder dabei hat, könnte man via GPS (anonymisiert via Token) prüfen lassen, ob sich Smartphone und Auto in der Nähe befinden. Da ließe sich einiges machen. Softwareseitig und vom Konzept her.
Btw: weil das aktuell ein Thema ist: SOFORT Überweisungen funktionieren prinzipiell nach einem 'freiwilligen' Man-in-the-middle' Ansatz: man lässt sowohl TAN als auch PIN über einen Dritten laufen - ein m.E. fragwürdiges System, weil der Anbieter die Daten auch sammeln könnte, und man mit ihm keine Geschäftsbeiehung eingegangen ist.)
"==> Wozu denn alte Autos updaten? Das interessiert doch niemand wirklich."
Doch: ab dem Moment, ab dem Du vom Hof fährst, IST Dein Auto 'alt' - und ein potentielles Ziel. Es gibt doch ganze Banden, die Audis, BMWs und Daimler SUVs in die osteuropäischen Länder schaffen. Da ist dann durchaus ein Markt vorhanden.
Aus Sicht der Autohändler ist es dann aus den Augen, aus dem Sinn: wird es geklaut, verkaufen sie Dir gerne ein neues Auto. Darüber hinaus ist das Dein Problem.
"IT-Sicherheit interessiert praktisch niemanden ernsthaft."
Doch, Apple, Tesla, AVM und einige andere Unternehmen schon, die Masse eben nicht, die ignorieren das Thema. Deswegen sollte man beim Kauf auch gut aufpassen, was man sich ins Haus holt.
"==> Also muss man gar nichts updaten. In neue Autos könnte man aber was Besseres einbauen."
Es werden neue Autos mit den alten schlechten Systemen weiter verkauft. Und so argumentierst Du sicher nicht, wenn Dein 70.000€ BMW plötzlich nicht mehr vor dem Haus steht. Da fragst Du dann schon, was sich BMW dabei gedacht hat, und warum bei 70.000€ Kaufpreis nicht ein sicheres System eingebaut wurde.
"==> Bevor du mit deiner Lieblingsstory über Dinos und ihre Lobbys kommst: Das betrifft in gleicher Weise natürlich auch Tesla."
Ja, aber die können das schnell anpassen. Bei den Dinos heißt es: einmal unsicher, immer unsicher. Und dann ist das Auto mal eben im Urlaub plötzlich weg.