Hallo portseven,

wie schon erkannt: IP ist sinnlos. Zum einen schnell neu beschafft, zum anderen gibt es die Leute die hinter der gleichen IP sitzen. Vielleicht kannst Du das für deinen Anwendungsfall ausschließen; aber im Allgemeinen nicht: 100 Leute in einem Firmennetz kommen allesamt mit der IP des Firmengateways bei Dir an.

Für sicheres Voting brauchst Du Accounts, und um Fake-Accounts zu verhindern, hilft nur Verifikation der Accounts. Das ist ARBEIT, und zwar teuere, und kann je nach Wichtigkeit des gevoteten Themas leichten bis massiven Aufwand bedeuten.

Bei Foren ist die Identifikation per Mail-Adresse gängig. Angesichts der Leichtigkeit, mit der man Wegwerf-Mailadressen bekommen kann, ist das für ein Abstimmsystem nicht hinreichend. Es gibt z.B. Zuschicken von Ausweiskopien, Post-Ident oder persönliches Erscheinen der Teilnehmer. Und noch viel viel mehr.

Und dann musst Du noch validieren, dass ein zugelassener Account rechtmäßig im System ist und nicht gehackt ist. Passwort ist der einfachste Weg - aber wenn ein Passwort kompromittiert ist, stimmt der falsche ab. Dann kommen Zusatzmaßnahmen ins Spiel, wie Mobil-TAN oder Chipkarten. In Fällen mit geringem Sicherheitsbedarf könntest Du auch eine Art Mobil-TAN per Mail verwenden: schicke deinen Nutzern eine Mail mit einem Vote-Link zu, der eine persönliche Codenummer enthält. Damit können sie einmal an einer bestimmten Abstimmung teilnehmen und danach ist die Codenummer ungültig.

Entscheide über deinen Sicherheitsbedarf - sprich: mach eine Bedrohungsanalyse, und wähle dann die nötigen Maßnahmen :)

Rolf