diff --git a/security/authelia/configuration.yml b/security/authelia/configuration.yml
index 1a58e2c..4713535 100644
--- a/security/authelia/configuration.yml
+++ b/security/authelia/configuration.yml
@@ -41,17 +41,17 @@ access_control:
         - git.kaleschke.info
       policy: bypass
 
-    # Admin-Dienste - 2FA erforderlich (Operator-UIs mit Host-/Backup-Zugriff)
+    # Expliziter 2FA-Block (Tier-1-Operator-UIs). Redundant, seit die Catch-all
+    # unten ohnehin alles auf two_factor zwingt - bleibt nur zur Lesbarkeit.
+    # borg/code brauchen hier keinen Eintrag mehr: sie sind via Catch-all 2FA.
     - domain:
         - files.kaleschke.info
         - scrutiny.kaleschke.info
-        - borg.kaleschke.info
-        - code.kaleschke.info
       policy: two_factor
 
     # Alles andere mit Authelia-Middleware - 2FA (Haertung 2026-06-06).
     # Vorher one_factor; alle restlichen Admin-UIs (monitoring, glances, glance,
-    # speedtest, pdf, mail, paperless-gpt, hermes, sp ...) sind damit two_factor.
+    # speedtest, pdf, mail, paperless-gpt, hermes, sp, borg, code ...) sind damit two_factor.
     # Voraussetzung: Operator-Account hat Authelia-TOTP enrolled (Tier-1-UIs nutzen es bereits).
     # Komodo hat bewusst keine ForwardAuth-Middleware und wird hier nicht ausgewertet.
     - domain: "*.kaleschke.info"