Elektroauto-Software: Wenn Over-the-Air-Updates schaden

Mehr als 400.000 Fahrzeuge musste Tesla allein in den USA zurückrufen, weil ein Over-the-Air-Update Sicherheitsfunktionen wie die automatische Notbremsung beeinträchtigte — und das, obwohl OTA-Updates ursprünglich als die Lösung für genau solche Probleme vermarktet wurden. Die Branche hat ein Softwareproblem, das mit jedem Update größer werden kann.

Was OTA-Updates sind — und was sie versprechen

Over-the-Air-Updates, kurz OTA, funktionieren im Prinzip wie Software-Aktualisierungen am Smartphone: Der Hersteller sendet neue Programmcode-Pakete drahtlos über das Mobilfunknetz direkt ans Fahrzeug. Das Auto lädt die Daten herunter, installiert sie — oft nachts, wenn es in der Garage steht — und startet bestimmte Systeme neu. Keine Werkstatt, kein Termin, keine Wartezeit.

Das klingt komfortabel, und tatsächlich war es genau dieses Versprechen, mit dem Tesla das Konzept in der Automobilindustrie popularisierte: Fahrzeuge sollten nicht mit dem Kauftag veralten, sondern über die Zeit besser werden. Neue Funktionen, Effizienzgewinne, Sicherheitsverbesserungen — all das sollte per Update kommen, so wie man eine App auf dem Telefon aktualisiert.

Mittlerweile haben nahezu alle großen Hersteller OTA-Fähigkeiten in ihre Elektrofahrzeuge integriert. BMW, Volkswagen mit der ID-Reihe, Mercedes-Benz, Rivian, Hyundai — keiner kann es sich leisten, auf das Feature zu verzichten. Die Frage ist längst nicht mehr, ob ein Auto OTA kann, sondern wie sicher und zuverlässig diese Updates wirklich ausgerollt werden.

Denn die Praxis zeigt: Wenn Software-Updates bei Smartphones schiefgehen, friert das Gerät ein oder eine App stürzt ab. Wenn dasselbe bei einem Fahrzeug passiert, können Bremssysteme, Lenkhilfen oder Assistenzfunktionen betroffen sein — mit potenziell gefährlichen Konsequenzen. Wer verstehen will, warum das manuelle Verschieben von Software-Updates in anderen Bereichen als Sicherheitsmaßnahme diskutiert wird, erkennt schnell: Auch im Automobilbereich ist unkontrolliertes Update-Rollout ein ernstes Thema.

Die bekanntesten Fälle: Tesla, VW, BMW im Vergleich

Tesla steht bei OTA-Updates sowohl an der Spitze der Innovationen als auch der Pannenliste. Wiederholt musste der Konzern Updates zurückziehen oder korrigieren, nachdem Fahrerassistenzsysteme durch neue Software-Versionen verändert wurden — in einer Weise, die die US-Behörde NHTSA (National Highway Traffic Safety Administration) als sicherheitsrelevant einstufte. Besonders brisant: Weil Tesla Updates oft ohne detaillierte Vorabinformation ausrollt, bemerkten viele Fahrer die Veränderungen erst im Nachhinein — oder gar nicht.

Volkswagen kämpfte bei der Einführung seiner ID-Reihe mit einem anderen Problem: Software-Updates, die neue Funktionen bringen sollten, führten stattdessen dazu, dass bestehende Features nicht mehr oder nur eingeschränkt funktionierten. Das Infotainment-System fror ein, die Sprachsteuerung reagierte nicht, Ladezustandsanzeigen waren ungenau. Der Konzern musste mehrere Updates nachliefern, um die durch Updates entstandenen Fehler zu beheben — ein Update-Karussell, das Nutzer frustrierte und das Markenimage beschädigte.

BMW wiederum geriet in die Kritik, weil das Unternehmen Funktionen, die Käufer bei Auslieferung ihres Fahrzeugs erwartet hatten, nachträglich per Software deaktivierte oder hinter Abonnementschranken sperrte. Sitzheizung, adaptiver Tempomat, erweiterte Navigationsfunktionen — plötzlich kostete das extra, obwohl die Hardware längst verbaut war. Das ist kein technischer Fehler im klassischen Sinne, aber es zeigt eine andere Dimension des OTA-Problems: Updates als Monetarisierungsinstrument.

Warum Updates im Auto komplexer sind als auf dem Smartphone

Sicherheitskritische Systeme und Echtzeit-Anforderungen

Ein Smartphone steuert keine mechanischen Prozesse in Echtzeit. Ein Elektrofahrzeug hingegen ist ein hochkomplexes System, in dem Dutzende von Steuergeräten — sogenannte ECUs (Electronic Control Units) — kontinuierlich miteinander kommunizieren. Das Steuergerät für die Rekuperation (die Energierückgewinnung beim Bremsen) muss in Millisekunden mit dem Antriebssystem, dem ABS und dem Batteriemanagementsystem synchronisiert sein.

Wenn ein OTA-Update auch nur eine dieser Schnittstellen geringfügig verändert, können unvorhergesehene Wechselwirkungen entstehen. Das Testen solcher Szenarien in allen denkbaren Kombination aus Fahrsituationen, Wetterbedingungen, Ladezuständen und Fahrerverhalten ist nahezu unmöglich vor einem Rollout. Hersteller setzen auf gestufte Ausrollstrategien — zunächst an eine kleine Gruppe von Fahrzeugen, dann breiter — doch auch diese Methode hat Grenzen, wenn sicherheitsrelevante Fehler erst unter bestimmten Bedingungen auftreten.

Die Parallelen zur IT-Infrastruktur sind auffällig: Auch dort gibt es Debatten darüber, wie Updates sicher und kontrolliert verteilt werden können. Die Diskussion darüber, wie KI-Agenten als autonome Software Entscheidungen treffen, ist eng verwandt mit der Frage, welche Fahrzeugsysteme autonom auf neue Software-Stände reagieren dürfen — und welche eine menschliche Freigabe erfordern sollten.

Regulierung hinkt der Technik hinterher

In der Europäischen Union gilt seit einigen Jahren die UNECE-Regulierung R156, die Mindestanforderungen an Software-Update-Management-Systeme für Fahrzeuge definiert. Hersteller müssen nachweisen, dass ihre OTA-Prozesse kontrolliert, dokumentiert und rückverfolgbar sind. Doch die Norm deckt nicht jede Eventualität ab, und die Behörden haben begrenzte Kapazitäten, jeden einzelnen Update-Zyklus zu prüfen.

In den USA agiert die NHTSA reaktiv — sie greift ein, wenn Probleme bekannt werden oder gemeldet werden. Das bedeutet: Verbraucher sind oft die ersten, die Fehler entdecken, nämlich dann, wenn sie im Fahrzeug sitzen. Eine proaktive, verpflichtende Zertifizierung jedes einzelnen OTA-Updates vor dem Rollout existiert nicht — weder in Europa noch in Nordamerika.

Dieses Regulierungsdefizit ist kein Einzelphänomen. Auch bei Netzinfrastruktur und Telekommunikation — etwa beim Abschalten des 2G-Mobilfunkstandards oder der Konsolidierung von Mobilfunkanbietern — zeigt sich, dass technologische Veränderungen schneller voranschreiten als der gesetzliche Rahmen, der sie begleiten sollte. Fahrzeugsoftware ist hier keine Ausnahme, sondern ein besonders risikoreiches Beispiel.

Transparenz als strukturelles Problem

Ein zentrales Kritikpunkt von Verbraucherschützern und unabhängigen Technikexperten ist die mangelnde Transparenz der Hersteller gegenüber den Fahrzeugkäufern. In vielen Fällen erhalten Nutzer vor einem OTA-Update lediglich eine knappe Mitteilung über eine App oder das Fahrzeugdisplay — ohne detaillierte Information darüber, welche Systeme verändert werden und welche Risiken bestehen.

Das ist problematisch aus mehreren Gründen. Erstens: Käufer haben rechtlich gesehen Anspruch auf ein Fahrzeug, das den vereinbarten Eigenschaften entspricht. Wenn ein Update Reichweite, Fahrcharakteristik oder Assistenzfunktionen verändert, kann das als vertragsrelevante Änderung gewertet werden. Gerichte in Deutschland und anderen EU-Ländern haben in ersten Urteilen begonnen, diese Frage zu klären — aber die Rechtslage ist noch nicht abschließend definiert.

Zweitens: Ohne transparente Changelogs — also detaillierte Protokolle aller Änderungen, die ein Update mitbringt — können Nutzer nicht einschätzen, ob ein gemeldetes Fahrzeugproblem auf ein Update zurückzuführen ist. Das erschwert auch die Arbeit von Werkstätten und Sachverständigen bei der Fehlerdiagnose erheblich.

Das Thema Transparenz und Nutzerkontrolle ist übrigens kein automobiles Spezifikum. Bei Software-Barrierefreiheit und Audit-Standards geht es ebenfalls darum, dass Nutzerinnen und Nutzer verstehen und nachvollziehen können, was Software mit ihren Daten und ihrem Gerät macht — ein Prinzip, das auf Fahrzeugsoftware ebenso angewendet werden müsste.

Was Käufer wissen sollten

Wer ein vernetztes Elektrofahrzeug kauft oder besitzt, sollte einige grundlegende Punkte kennen. Erstens empfiehlt es sich, Update-Benachrichtigungen nicht automatisch zu bestätigen, sondern zu prüfen, welche Informationen der Hersteller bereitstellt. Viele Hersteller veröffentlichen auf ihren Webseiten oder in Foren Detailinformationen zu Updates — es lohnt sich, diese vor der Installation zu lesen.

Zweitens sollten auffällige Veränderungen im Fahrverhalten nach einem Update sofort gemeldet werden — an den Hersteller, an den Händler und gegebenenfalls an die zuständige Behörde. In Deutschland ist das Kraftfahrtbundesamt (KBA) die zuständige Stelle für fahrzeugtechnische Sicherheitsprobleme. Je mehr Meldungen eingehen, desto schneller kann auf problematische Updates reagiert werden.

Drittens: Bei gravierenden Problemen — etwa wenn Sicherheitsfunktionen nach einem Update nicht mehr korrekt funktionieren — sollte rechtliche Beratung in Betracht gezogen werden. Das Thema, wie staatliche und wirtschaftliche Akteure auf technologische Veränderungen reagieren, zeigt sich auch in anderen Bereichen: So wie der neue Heizungsgesetzentwurf des Wirtschaftsministeriums zeigt, dass technische Transformation politische Regulierung nach sich zieht, ist auch bei Fahrzeugsoftware mittelfristig mit schärferen gesetzlichen Anforderungen zu rechnen.

Was die Industrie ändern muss

Laut einer Einschätzung von Gartner werden Hersteller, die keine robusten Software-Governance-Prozesse etablieren, in den kommenden Jahren zunehmend mit regulatorischen Sanktionen und Reputationsschäden konfrontiert sein. IDC betont, dass Investitionen in Testing-Infrastruktur und Rollout-Kontrollsysteme für die Automobilindustrie keine Kür, sondern Pflicht werden.

Konkret bedeutet das: Hersteller müssen ihre Update-Prozesse verlangsamen und gründlicher testen, auch wenn das bedeutet, Features später auszuliefern als angekündigt. Sie müssen detaillierte, verständliche Changelogs veröffentlichen. Sie müssen Nutzern echte Wahlmöglichkeiten geben — einschließlich der Option, ein Update zu verschieben, bis seine Stabilität belegt ist. Und sie müssen klare Ansprechpartner und Rückrufprozesse für software-induzierte Probleme definieren.

Das Over-the-Air-Versprechen — das Auto wird besser, während Sie schlafen — ist nicht grundsätzlich falsch. Es ist aber zu lange als Marketing-Botschaft kommuniziert worden, ohne die damit einhergehende Verantwortung ehrlich zu benennen. Software, die sicherheitskritische Systeme steuert, muss nach anderen Maßstäben entwickelt, getestet und ausgerollt werden als eine Smartphone-App. Die Automobilindustrie hat das noch nicht vollständig verinnerlicht — und die Konsequenzen dieser Lernkurve tragen bislang vor allem die Verbraucherinnen und Verbraucher.