33-5 · Kapitel 33 · 5 Min. Lesezeit

Kill Switch: Eine defekte Funktion abschalten ohne Rollback

Ein Kill Switch deaktiviert eine fehlerhafte Funktion in Sekunden – ohne Rollback, ohne Pipeline-Lauf. Erfahre, wie du Feature Flags als Notbremse einsetzt.

Kill Switch: Eine defekte Funktion abschalten ohne Rollback

Du hast gerade eine neue Funktion für zehn Prozent deiner Nutzer freigeschaltet. Fünf Minuten später trudeln die ersten Fehlermeldungen ein. Die Funktion zerstört bei manchen Nutzern die Seitenladezeit, bei anderen beschädigt sie Daten. Mit jeder Sekunde, in der die Funktion aktiv bleibt, werden mehr Nutzer beeinträchtigt. Dein erster Impuls ist vielleicht, das gesamte Deployment zurückzurollen – aber das dauert: Die Pipeline muss laufen, Images müssen gepusht, Server neugestartet werden. In der Zwischenzeit treffen Nutzer weiterhin auf den fehlerhaften Code.

Hier kommt der Kill Switch ins Spiel – deine Notbremse.

Was ein Kill Switch tatsächlich bewirkt

Ein Kill Switch ist ein Mechanismus, mit dem du eine problematische Funktion abschalten kannst, ohne die gesamte Anwendung auf eine frühere Version zurückzusetzen. Wenn du Feature Flags verwendest, ist ein Kill Switch schlicht das Umschalten eines Flags von true auf false. In dem Moment, in dem das Flag kippt, wechselt deine Anwendung zurück zum alten Codepfad. Nutzer, die die neue Funktion gesehen haben, sehen wieder die alte Oberfläche oder den alten Ablauf. Kein erneutes Deployment. Kein Rollback. Kein Warten auf eine Pipeline.

Der Unterschied zwischen einem Kill Switch und einem Rollback ist grundlegend. Ein Rollback setzt die gesamte Anwendung auf eine frühere Version zurück. Das bedeutet, dass alle Änderungen des letzten Releases rückgängig gemacht werden – auch Bugfixes für andere Probleme und kleine Verbesserungen, die einwandfrei funktioniert haben. Ein Rollback kostet außerdem Zeit: Die Pipeline muss laufen, Container-Images müssen neu gebaut und gepusht, Server neugestartet werden. Ein Kill Switch hingegen deaktiviert nur eine einzige Funktion. Alles andere in der Anwendung läuft auf der aktuellen Version weiter.

Das folgende Diagramm zeigt, wie viel schneller ein Kill Switch die Auswirkungen auf Nutzer stoppt als ein vollständiger Rollback.

Hier ein minimales Beispiel, wie ein Kill-Switch-Flag eine Funktion in JavaScript kapselt:

const featureFlags = {
  isEnabled(flagName) {
    // In Produktion wird dies von einem Remote-Konfigurationsdienst gelesen
    return config[flagName] === true;
  }
};

function handleCheckout(userCart) {
  if (featureFlags.isEnabled('new-checkout')) {
    // Neuer Checkout-Ablauf mit potenziellen Fehlern
    return newCheckoutFlow(userCart);
  } else {
    // Alter, stabiler Checkout-Ablauf
    return oldCheckoutFlow(userCart);
  }
}

Wenn das Flag auf false gesetzt wird, fällt die Anwendung sofort in den alten Codepfad zurück – ohne erneutes Deployment.

flowchart TD subgraph Kill_Switch_Path A1[Feature bricht] --> B1[Flag umlegen] --> C1[Alter Code läuft sofort] --> D1[Nutzer unbeeinträchtigt] end subgraph Rollback_Path A2[Feature bricht] --> B2[Pipeline-Neubau] --> C2[Erneutes Deployment] --> D2[Server-Neustart] --> E2[Nutzer minutenlang beeinträchtigt] end A1 -->|Zeit gespart| D1 A2 -->|Zeit verloren| E2

Wann Kill Switches glänzen

Kill Switches sind am nützlichsten für neu veröffentlichte Funktionen, die sich noch nicht als stabil erwiesen haben. Stell dir einen neuen Checkout-Ablauf vor, der einen Fehler in der Versandkostenberechnung enthält. Mit einem Kill Switch kannst du diese neue Checkout-Funktion sofort deaktivieren. Nutzer gelangen zurück zur alten Checkout-Seite. Dein Team kann den Fehler dann in Ruhe beheben, weil die Nutzer nicht mehr vom Problem betroffen sind.

Dieses Muster eignet sich gut für:

Neue UI-Komponenten, die unter echtem Nutzerverkehr brechen könnten
Experimentelle Funktionen, die die Geschäftslogik ändern
Integrationen von Drittanbietern, die sich in der Produktion anders verhalten als im Staging
Änderungen mit hohem Risiko, die du zuerst mit einer kleinen Zielgruppe validieren möchtest

Der Schlüssel ist, dass der Kill Switch den problematischen Codepfad sauber isoliert. Wenn das Flag ausgeschaltet ist, sollte sich die Anwendung genau so verhalten wie vor der Einführung der neuen Funktion.

Wo Kill Switches an ihre Grenzen stoßen

Kill Switches sind keine universelle Lösung. Wenn das Problem nicht in der neuen Funktion selbst liegt, sondern in Infrastrukturänderungen oder Datenbankmigrationen, hilft das Umlegen eines Flags nicht. Wenn beispielsweise eine neue Datenbankabfrage deine Produktionsdatenbank überlastet, reicht es möglicherweise nicht aus, das Feature-Flag zu deaktivieren – die Abfrage wurde bereits ausgeführt. Der Schaden ist angerichtet. In solchen Fällen brauchst du einen Rollback oder eine direkte Behebung der Infrastruktur.

Kill Switches erfordern außerdem eine sorgfältige Code-Architektur. Das Flag, das als Kill Switch dient, muss den neuen Code sauber vom alten Code trennen. Wenn die neue Funktion bereits Daten in der Datenbank geändert hat, stellt das Deaktivieren des Flags diese Daten nicht automatisch wieder her. Dein Team muss diese Nebeneffekte bedenken, bevor es sich auf einen Kill Switch verlässt.

Betrachte eine Funktion, die in eine neue Datenbanktabelle schreibt. Wenn du den Kill Switch umlegst, hört die Anwendung auf, in diese Tabelle zu schreiben – aber die bereits geschriebenen Daten bleiben dort. Wenn der alte Codepfad nicht aus dieser Tabelle liest, verursachen die veralteten Daten vielleicht keine unmittelbaren Probleme. Wenn der alte Codepfad jedoch Daten in einem anderen Format oder an einem anderen Ort erwartet, können Inkonsistenzen entstehen, die später schwer zu entwirren sind.

Kill Switches mit Circuit Breakern kombinieren

Einige Teams kombinieren Kill Switches mit Circuit Breakern. Ein Circuit Breaker deaktiviert eine Funktion automatisch, wenn die Fehlerrate einen definierten Schwellenwert überschreitet. Wenn die Fehlerrate beispielsweise innerhalb einer Minute über fünf Prozent steigt, schaltet der Circuit Breaker die Funktion ohne menschliches Eingreifen aus.

Diese Kombination ist besonders nützlich für Funktionen, die außerhalb der Geschäftszeiten laufen oder wenn dein Team nicht in Rufbereitschaft ist. Der Circuit Breaker fungiert als automatisches Sicherheitsnetz, während der Kill Switch dir einen manuellen Eingriff ermöglicht, wenn du schneller handeln musst, als das automatisierte System reagieren kann.

Das Circuit-Breaker-Muster fügt eine weitere Ebene hinzu: Es kann auch erkennen, wann das zugrunde liegende Problem behoben ist, und den Datenverkehr schrittweise wieder auf die Funktion lenken. Das macht es ausgefeilter als einen einfachen Kill Switch, aber auch komplexer in der Implementierung und im Test.

Was passiert, nachdem der Kill Switch ausgelöst wurde

Das Umlegen eines Kill Switches ist eine Notfallmaßnahme, keine dauerhafte Lösung. Sobald die Funktion deaktiviert ist, muss dein Team die Ursache finden. Die abgeschaltete Funktion wird nicht aufgegeben. Du behebst den Fehler, testest die Korrektur und schaltest das Flag dann wieder ein.

Wenn du nicht nachhakst, bleibt das Flag auf unbestimmte Zeit im Code. Tote Flags werden zu technischen Schulden. Sie blähen den Code auf, verwirren zukünftige Entwickler und erhöhen das Risiko, dass jemand versehentlich eine defekte Funktion Monate später wieder aktiviert.

Praxis-Checkliste für Kill Switches

Bevor du dich in der Produktion auf einen Kill Switch verlässt, gehe diese Checkliste durch:

Kann das Flag den neuen Code sauber vom alten Code trennen, ohne Nebeneffekte?
Hinterlässt das Deaktivieren der Funktion die Daten in einem konsistenten Zustand?
Ist der Flag-Umschalter für das Rufbereitschaftsteam zugänglich, ohne dass ein Deployment nötig ist?
Hast du das Verhalten des Kill Switches in einer Staging-Umgebung getestet?
Weiß das Team, wer befugt ist, den Kill Switch umzulegen?
Gibt es einen dokumentierten Prozess für das, was nach dem Auslösen des Kill Switches passiert?

Die konkrete Erkenntnis

Ein Kill Switch gibt dir die Möglichkeit, eine einzelne Funktion in Sekunden zu deaktivieren, ohne die gesamte Anwendung zurückzurollen. Er ist kein Ersatz für Rollbacks oder gründliches Testen, aber ein kritisches Sicherheitsmerkmal für jedes Team, das Funktionen inkrementell ausrollt. Gestalte deine Feature Flags so, dass sie als Kill Switches dienen können. Teste, dass sie tatsächlich funktionieren. Und wenn du einen umlegst, behandle ihn als den Beginn eines Behebungszyklus, nicht als das Ende der Diskussion.