diff --git a/docs/MASTER_TODO.md b/docs/MASTER_TODO.md
index d87d129..d19c47f 100644
--- a/docs/MASTER_TODO.md
+++ b/docs/MASTER_TODO.md
@@ -58,6 +58,7 @@ Bewusst nicht jetzt - Begruendungen in `docs/DECISIONS.md`, hier nur Thema und T
 | Filebrowser-Mount-Scope | naechster Hardening-Sprint | `docs/SERVICE_CATALOG.md` |
 | Scrutiny Privileged-Ausnahme | nur mit klarer Begruendung aendern | `docs/SERVICE_CATALOG.md` |
 | Immich Redis named volume | passende Wartung am Immich-Stack | `docs/SERVICE_CATALOG.md` |
+| `backend_net` auf `internal:true` (Containment-Hardening) | naechstes Docker-Wartungsfenster; Prereq aus Audit-Egress-Analyse 2026-06-23: nur `dawarich_sidekiq` ist backend_net-only Worker -> Outbound messen, bei Egress-Bedarf dediziertes `dawarich_egress`-Netz analog `immich_egress` (DECISIONS 2026-06-16); alle anderen Mitglieder (DB/Cache + dual-homed) sind sicher | `HOMELAB_ARCHITECTURE_MASTER_V2.md` Abschnitt 3.1 |
 | Komodo keys named volume | gemeinsames Wartungsfenster mit Operator | Live-Volume `komodo_komodo_keys` nach `/mnt/user/appdata/komodo/keys` migrieren, Compose anpassen, Periphery-Reconnect pruefen, dann in Borg-Scope aufnehmen |
 | Storage-Wachstum (zweite NVMe, zweite Array-Disk, ZFS/BTRFS) | Trigger aus Capacity-Doku | `docs/STORAGE_LAYOUT.md`, `docs/CAPACITY_AND_LIFECYCLE.md` |
 | Wiederkehrende Restore-Drills | laufend nach Kadenz, inkl. quartalsweisem Frische-Negativtest (`run-restore-checks.sh freshness-negative`) | `docs/RESTORE_MATRIX.md`, `ops/restore-tests/schedule.md` |