Bzgl. des "Risikos" wird der eigentlich wichtigste Punkt außer Acht gelassen.
Serversoftware für übliche Protokolle kann verdammt viel ab was fehlerhafte oder ungültige Anfragen angeht. Keine Ahnung, was das BMW ZGW so treibt, wenn man einfach mal eine Null-Byte Injection oder irgendeine willkürliche Anfrage drauf schmeißt. Und solche Anfragen gibt es im öffentlichen Netzraum durchaus. Ich wage mal anzuzweifeln, dass das im Testumfang der Diagnoseschnittstelle ausgiebig geprüft wird.
Es wird vermutlich Wochen bis Monate dauern, bis jemand aktiv die Verbindung missbraucht oder Nutzdaten abgreift - falls überhaupt, denke nicht dass das Protokoll bei irgendwem im Fokus ist. Zufallsopfer eines Netzscans zu werden, ist aber auch nicht unmöglich. Der nichteinmal bösartig sein muss, das wird routinemäßig von Providern oder Forschungseinrichtungen gemacht, teils einfach über ganze Netzsegmente bis hin zum vollständigen IPv4 Adressraum.
Wenn man "Mitlesen" toleriert, würde ich den Zugriff zumindest auf die bekannte Gegenstelle eingrenzen, damit sind die o.g. Punkte raus.
Pro Direktverbindung:
* keine zusätzliche Software erforderlich
* mindestens ein Hardware-Hop weniger
* weniger Overhead durch Tunnel/Verschlüsselung
Contra Direkverbindung:
* Routerzugriff erforderlich (und zumindest grundlegende Konfigurationskenntnisse)
* Router erforderlich, der Portweiterleitung zulässt (manche kastrierten Provider-Geräte können das nicht)
* Internetanschluss erforderlich, der Portweiterleitung zulässt (im Mobilfunknetz und Teilen des Kabelnetzes ist das dank CG-NAT nicht möglich)
* bei komplexeren Firewalls mit IPS/DPI kann bei nicht-standardisiertem Traffic ggf. eine Regel getriggert werden, die Pakete filtert oder die Verbindung zwangsweise trennt (OK, im Heimrouter-Bereich eher weniger zu finden)
* es wird eine Kabelverbindung zwischen Fahrzeug und Netzwerk benötigt (oder eine adäquate WiFi Brücke)
Pro TeamViewer/VPN:
* Installation beschränkt auf einen verbunden Rechner
* bei Bedarf Remote-Einrichtungsunterstützung möglich
* funktioniert auch an Anschlüssen mit CG-NAT, DSLite, etc.
* Datenübertragung und Fernsteuerung möglich (siehe Antwort von jininrage)
* gesicherte Tunnelverbindung
* erhöhte Fehlertoleranz möglich (SSH Tunnel überlebt bspw. die Upstream-Umschaltung von Glasfaser auf LTE Fallback und zurück und entsprechend die getunnelten Pakete, wenn die Timeouts hoch genug sind)
Contra TeamViewer/VPN:
* zusätzliche Software erforderlich
* leicht verringerter Datendurchsatz (Overhead durch Tunnel/Verschlüsselung)
Wie schon mehrfach erwähnt, funktionierende Lösungen gibt es einige. Welche in der individuellen Lage am besten passt, muss man abwägen.