docs: commit pending status updates from 2026-06-06 sprint wrap-up

Preserves uncommitted working-copy updates (Veeam recovery test done,
BitLocker decision, ACL rollout, freshness negative test) before the
documentation consolidation restructures these files.

Co-Authored-By: Claude Fable 5 <noreply@anthropic.com>

docs/AUDIT_2026-05-25_TODO.md

@@ -3,9 +3,9 @@
 Status: **kompakte Restliste**. Die erledigten Sprint-Tabellen und langen
 Audit-Snapshots wurden aus der Arbeitskopie entfernt; Detailhistorie liegt in Git.
 
-Letzter Sync mit `docs/MASTER_TODO.md`: 2026-06-05. Offene Punkte sind deckungsgleich;
-neue Restore-Runbook-Stubs (Unraid Flash / AdGuard / Tailscale / Redis 8) wurden
-in `docs/RESTORE_MATRIX.md` ergaenzt.
+Letzter Sync mit `docs/MASTER_TODO.md`: 2026-06-06. Offene Punkte sind
+deckungsgleich; diese Datei ist nur noch die Audit-Restliste, nicht die
+fuehrende Arbeitsliste.
 
 ## Aktuell offene Punkte
 
@@ -25,17 +25,17 @@ Ergebnis des Restore-Skills-Audits (Session 2026-06-02/03). Die kritischen Bugfi
 | P2 | Mailarchiver-Restore-Test | **erledigt 2026-06-03** | Data-Protection-Keys + 645M pg_restore + HTTP 200. Report `/mnt/user/backups/restore-reports/mailarchiver-2026-06-03.md` |
 | P2 | Mealie-Restore-Test | **erledigt 2026-06-03** | Borg-Data + pg_restore + HTTP 200, 3 Rezepte. Report `/mnt/user/backups/restore-reports/mealie-2026-06-03.md` |
 | P2 | Traefik-Restore-Test | **erledigt 2026-06-03** | dynamic/ + letsencrypt/ aus Borg, File-Provider + Ping 200. CF-Token bewusst nicht im Smoke. Report `/mnt/user/backups/restore-reports/traefik-2026-06-03.md` |
-| P3 | Negativ-Test fuer Frische-Check | offen | Einmal pro Quartal bewusst kaputten Dump einfuettern und pruefen ob `homelab-alerts` feuert |
+| P3 | Negativ-Test fuer Frische-Check | **validiert 2026-06-06** | Quartalsweise wiederholen: `ops/restore-tests/run-restore-checks.sh freshness-negative`; Host-Report `/mnt/user/backups/restore-reports/freshness-negative-2026-06-06-130320.md` |
 | P3 | End-to-end-DR-Drill | offen | Komplett-Bootstrap Phase 1-5 auf einem Wegwerf-Host; realistisch nur mit zweiter Hardware |
 
 ## Bewusst geparkt
 
 | Punkt | Entscheidung |
 |---|---|
-| Authelia 2FA fuer Operator-UIs (Rest) | Tier-1-Operator-UIs sind 2026-06-03 auf `two_factor` gehoben (`files`, `scrutiny`, `borg`, `code`). Restliche Admin-UIs (`monitoring`, `glances`, `glance`, `speedtest`, `paperless-gpt`, `pdf`, `mail`, `hermes`, `sp`) bleiben bewusst auf `one_factor`, bis die finale Auth-Policy steht. |
-| Authelia OIDC fuer Apps | Geparkt bis klare Familien-/SSO-Entscheidung |
+| Authelia 2FA fuer Operator-UIs (Rest) | **Erledigt 2026-06-06:** Catch-all `*.kaleschke.info` steht in Repo und Host-Config auf `two_factor`; Login-Smoke erfolgreich. |
+| Authelia OIDC fuer Apps | **Aktiv seit 2026-06-06:** Grafana und Mealie live verifiziert; Paperless, Immich und Nextcloud verbleiben als aktiver Rollout-Block in `docs/MASTER_TODO.md`. |
 | CrowdSec vor Traefik | Bewusst nicht umgesetzt: einzige WAN-Tuer ist `443/tcp`, Operator-Pfad ist Tailscale, Authelia-`regulation:` deckt Auth-Brute-Force ab. Neu bewerten bei breiterer Attack Surface. |
-| Nextcloud 2FA/Brute-Force-Haertung | UI-Schritt fuer Operator-Account (`twofactor_totp` aktivieren) bleibt offen. App-weite Familien-Policy gemeinsam mit OIDC entscheiden. |
+| Nextcloud 2FA/Brute-Force-Haertung | **Geparkt 2026-06-06:** Operator-TOTP erst zusammen mit der app-weiten OIDC-/Familien-Login-Policy entscheiden. |
 | Hermes-Agent | NAS-Stack bleibt deaktiviert; Review-Deadline 2026-07-25 |
 | USV | Anschaffung verschoben; Power-Loss-Risiko bewusst akzeptiert |
 | Zweites Off-site-Ziel | Bewusst nicht umgesetzt; neu bewerten bei Hetzner-Problemen, stark wachsendem Datenwert oder geaenderter Betreiber-Praeferenz |