CIS-Benchmark™ für NGINX v3.0.0 veröffentlicht: Das Update für 2026

Das Center for Internet Security® (CIS®) hat den neuen CIS NGINX Benchmark™ v3.0.0 offiziell freigegeben. Als Editor durfte ich dieses globale Härtungsprofil maßgeblich mitgestalten und fit für die technischen Anforderungen des Jahres 2026 machen. Hier ein Überblick, was sich geändert hat.


Ein Weihnachtsgeschenk im Januar


Manchmal kommen Geschenke etwas versetzt. Während ich die Nachricht über die Fertigstellung schon zu Heiligabend erhalten habe, folgte am 13.01.2026 die offizielle Pressemitteilung von CIS®: Der neue Standard für sichere NGINX-Webserver ist da.

In den vergangenen Monaten habe ich als offizieller Editor – gemeinsam mit Krishna Rayavaram – daran gearbeitet, den Benchmark von Grund auf zu modernisieren. Das Ziel war klar: Weg von theoretischen Altlasten, hin zu Praxisrelevanz und modernen Sicherheitsstandards.


Was ist neu? (Technik)


Die Version 3.0.0 ist kein kleines Update, sondern ein echter Generationswechsel. Über 40 Maßnahmen wurden überarbeitet:

  • Support für TLS 1.3 & HTTP/3: Endlich sind die aktuellen Protokolle Standard.
  • JSON-Logging: Eine längst überfällige Empfehlung. Strukturierte Logs sind essenziell für modernes Monitoring (z.B. mit Wazuh).
  • Content Security Policy (CSP): Härtung findet nicht nur am Server, sondern auch im Browser statt
  • Cleanup: Veraltete Techniken, Protokolle und obsoletes wurden rigoros entfernt.


Was ist besser? (Qualität)


Neben der Technik lag mein Fokus auf der Usability für Administratoren und Auditoren:

  • Autoritative Quellen: Jede Empfehlung fußt auf verifizierbaren Quellen (NGINX Doku, OWASP, Mozilla und RFCs).
  • Präzise Audits: Die Schritte zur Überprüfung ("Wie teste ich das?") wurden vereinheitlicht.
  • Klartext: Die Beschreibungen ("Warum mache ich das?") wurden komplett neu geschrieben, um Missverständnisse zu vermeiden.


Ein persönliches Highlight


Besonders gefreut habe ich mich über die offizielle Danksagung in den Release Notes des CIS®. Es ist eine Ehre, an einem Dokument mitzuwirken, das weltweit als Goldstandard gilt:


  "A huge and special thanks to Stephan Wenderlich for making this Benchmark happen."


Fazit & Download


Wer NGINX im professionellen Umfeld betreibt, sollte zeitnah einen Blick in die neue Version werfen. Sie bildet die Grundlage für sichere Webserver im Jahr 2026.


Zur offiziellen Ankündigung des CIS®: CIS Benchmarks January 2026 Update
(Hinweis: Der Download erfordert ggf. eine kostenlose Registrierung beim Center for Internet Security® (CIS®).