diff --git a/docs/HOMELAB_REVIEW_MATRIX.md b/docs/HOMELAB_REVIEW_MATRIX.md
index 32e50d0..6c20f28 100644
--- a/docs/HOMELAB_REVIEW_MATRIX.md
+++ b/docs/HOMELAB_REVIEW_MATRIX.md
@@ -112,7 +112,7 @@ powershell -ExecutionPolicy Bypass -File .\ops\policy-checks\check_repo.ps1
 SEND_NTFY=0 bash /mnt/user/services/homelab-infra/services/posture-check/compose-runtime-drift.sh
 SEND_NTFY=0 bash /mnt/user/services/homelab-infra/services/posture-check/komodo-stack-hygiene.sh
 bash /mnt/user/services/homelab-infra/services/authelia-diff.sh
-rsync -nci --checksum /mnt/user/services/homelab-infra/traefik/dynamic/ /mnt/user/appdata/traefik/dynamic/
+bash /mnt/user/services/homelab-infra/services/traefik-dynamic-diff.sh
 ```
 
 **Befund 2026-06-26**
@@ -123,7 +123,7 @@ rsync -nci --checksum /mnt/user/services/homelab-infra/traefik/dynamic/ /mnt/use
 | Runtime-Ist | Aus der Windows-Shell nicht gegen Unraid verifizierbar | Host-Pruefung offen; lokale Docker-Missing-Meldungen nicht als Homelab-Drift werten |
 | Komodo Self-Stack | `ops/komodo/docker-compose.yml` ist Spiegel/Recovery-Anker; live inline in Komodo | Repo-Aenderung wirkt nicht live; hoechster Drift-Hebel |
 | Stack-ENV | Komodo Stack-ENV bewusst nicht vollstaendig in Git | Git allein ist kein vollstaendiger Sollzustand |
-| Traefik dynamic | Manuelle Sync-Ausnahme | Auth-Middlewares/File-Routen koennen vom Repo abweichen |
+| Traefik dynamic | Manuelle Sync-Ausnahme; `traefik-dynamic-diff.sh` (read-only, in `posture-check.sh` als `traefik_dynamic_drift`) vergleicht Repo-Spiegel<->Host | Auth-Middlewares/File-Routen koennen vom Repo abweichen; Drift-Check vorhanden, Host-Lauf bewerten |
 | Authelia Host-Config | `authelia-diff.sh` vergleicht `access_control` | Live-Host-Datei und OIDC-Clientnamen muessen regelmaessig abgeglichen werden |
 | Gitea/Komodo Integritaet | Webhook-Regeln dokumentiert; Branch Protection nicht repo-belegt | Prozess-Gate belegt, technisches Enforcement offen |
 
@@ -138,4 +138,7 @@ rsync -nci --checksum /mnt/user/services/homelab-infra/traefik/dynamic/ /mnt/use
   Werte maskieren, nur Variablennamen/Pfade dokumentieren.
 - Gitea Branch Protection, aktive Hooks, PATs und Deploy-Keys live
   inventarisieren; ungenutzte Zugriffe entfernen.
-- Healthchecks-Doku-Widerspruch "Webhook offen" vs "Webhook aktiv" bereinigen.
+- Healthchecks-Doku-Widerspruch "Webhook offen" vs "Webhook aktiv" am 2026-06-26
+  bereinigt: Status lebt in `docs/MASTER_TODO.md` (Webhook seit 2026-06-23 aktiv);
+  SERVICE_CATALOG, Architecture §7.6 und `ops/healthchecks/README.md` nachgezogen.
+  Optional: Gitea-Hook `last_status` live gegenpruefen.